CUESTIONARIO

TÓPICO 1: EL RIESGO DENTRO DEL CONTEXTO DE UNA ORGANIZACIÓN

• ¿Qué es un Riesgo?

Efecto de la incertidumbre en los objetivos.

• ¿Qué es un evento?

Ocurrencia o cambio de un particular grupo de circunstancias.

• ¿Cuáles son los tipos de riesgo clasificados por su naturaleza?

• Riesgo accidental

• Riesgo operativo

• Riesgo financiero

• Riesgo de negocios

• ¿Qué es riesgo estratégico?

Efecto de la incertidumbre en los objetivos (estratégicos)

EJEMPLO DE RIESGO OPERATIVO
• ¿Cuál es el concepto de Apetito de Riesgo?

Cantidad y tipo de riesgo que una organización está dispuesta a aceptar o retener.

• ¿Cuál es el concepto de Riesgo Inherente?

Es el riesgo al que está expuesto una organización en la ausencia de cualquier acción que la
gerencia (management) pudiera tomar para alterar la probabilidad de ocurrencia o la
consecuencia de dicho riesgo.

• ¿Cuál es el concepto de Tolerancia de Riesgo?

Riesgo que una organización o grupos de interés está preparado a manejar después que el
riesgo ha sido tratado, con el fin de conseguir sus objetivos.

• ¿Cuál es el concepto de Riesgo Residual?

Riesgo remanente después que el riesgo ha sido tratado.

TÓPICO 2: EL RIESGO ACCIDENTAL

• ¿Cuál es el concepto de Riesgo Accidental?

Este riesgo es el asociado a los eventos súbitos e imprevistos no predecibles (accidentes) a

los cuales está expuesto una organización.
• ¿Cuál es la Relación entre el riesgo accidental y el riesgo asegurable?

Debido a la característica de accidentabilidad que tienen los eventos asociados a este tipo
de riesgo (súbitos e imprevistos no predecibles), este tipo de riesgo es el objeto del seguro
comercial.

• ¿Cómo se clasifica los riesgos accidentales?

• Propiedades

• Personas

• Responsabilidad Civil

• Beneficio Bruto

TÓPICO 3: EL RIESGO OPERATIVO

• ¿Cuál es el concepto de Riesgo Operativo?

Es el riesgo asociado a eventos “no accidentales” originados por el no funcionamiento (fallo)

o el funcionamiento inadecuado (inadecuación) de los procesos, del personal y/o de los
sistemas internos de una organización.

• ¿Cuáles son los factores asociados al Riesgo Operativo?

• Personas

• Procesos

• Sistemas

• Cultura Organizacional
• ¿Cuál es la diferencia entre Riesgo Operativo y Riesgo Accidental?

Debido a la característica de no accidentabilidad que tienen los eventos asociados a este

tipo de riesgo (de carácter predecibles), este tipo de riesgo es totalmente opuesto al Riesgo
Accidental, el cual tiene como característica principal el carácter de accidentalidad de los
eventos asociados a dicho tipo de riesgo (hechos súbitos e imprevistos).

• ¿Cuál es el concepto de riesgo operativo en las instituciones financieras (Basilea II)?

Es el riesgo de sufrir pérdidas debido a la inadecuación o a fallos de los procesos, el
personal y los sistemas internos o bien a causa de acontecimientos externos. Esta
definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de
reputación.
TÓPICO 4: EL RIESGO FINANCIERO

• ¿Cuál es el concepto de Riesgo Financiero?

El riesgo financiero agrupa a todos aquellos riesgos que se originan debido a las exposiciones
a cambios en los mercados financieros, a las transacciones de naturaleza financiera con
otros y a las obligaciones legales de carácter financiero entre las partes.

• ¿Cuáles son los tipos de Riesgos Financieros?

• Mercado

• Crédito

• Contraparte

• Liquidez

• ¿Cuál es el concepto de Riesgo de mercado?

Es el riesgo asociado al impacto en los resultados financieros de una organización debido a

la exposición a cambios en los mercados financieros.

• ¿Cuáles son los tipos de Riesgos de Mercado?

• Riesgo de tasa de interés

• Riesgo de tasa de Cambio

• Riesgo de precios de las materias primas (commodities)

• Riesgo de precios de los instrumentos financieros.

• ¿Cuál es el concepto de Riesgo Crédito?

Es el riesgo asociado al impacto en los resultados financieros de una organización por

el no cumplimiento, por parte de los deudores, de las obligaciones legales de carácter
financiero para con la misma incluidas en contratos de crédito.
• ¿Cuál es el concepto de Riesgo de Liquidez?

Es el riesgo asociado al impacto en los resultados financieros de una organización que se

origina debido a la imposibilidad de poder liquidar activos al valor de esperado (asset
liquidity risk) o, a la imposibilidad de poder cumplir con las obligaciones financieras para con
terceros en base a lo planeado (funding liquidity risk).

TÓPICO 5: LA ADMINISTRACIÓN DE RIESGOS

• ¿Cuál es el concepto de Administración de Riesgos?

Actividades coordinadas para direccionar y controlar una organización en relación al riesgo.

• ¿Cuál es el concepto de Tratamiento de Riesgo?

Proceso para modificar el riesgo.

• ¿Qué es control?

Medida que está modificando el riesgo.

• ¿Mencione otros significados de Tratamiento de Riesgo?

Nota 1: El tratamiento de riesgo puede significar:
 - Evitar el riesgo decidiendo no comenzar o no continuar la actividad en donde se origina el
riesgo.
- Tomar o incrementar riesgo con el fin de buscar una oportunidad. - Remover la fuente del
riesgo.
- Cambiar la probabilidad.
- Cambiar la consecuencia.
- Compartir el riesgo con otra u otras partes (incluyendo arreglos contractuales y técnicas
de financiamiento de riesgos).
- Retener el riesgo en base a decisiones debidamente soportadas.
Nota 2: El tratamiento de riesgos que está enfocado a consecuencias negativas en algunas
ocasiones es referido como “mitigación de riesgo”, eliminación de riesgo”, “prevención de
riesgo” y “reducción de riesgo”
Nota 3: Tratamiento de riesgo puede crear nuevos riesgos o modificar los riesgos ya
existentes.

• ¿Qué es Intervención Operacional (Modificación de la Exposición a Riesgo)?

Aunque la intervención (cambio, mejora, actualización, etc.) de un elemento de la
arquitectura operacional (gente, procesos, tecnología, cultura organizacional) o la selección
de diferentes ambientes internos o externos donde la organización realiza sus actividades,
trae como consecuencia la modificación de la exposición a riesgo, por lo general este es el
último recurso que se utiliza para la transformación de los riesgos.

• ¿Cuál es el concepto de Sistema de Administración de Riesgos?

Conjunto de elementos pertenecientes a la administración de riesgos que se relacionan

entre si ordenadamente con el fin de lograr los objetivos que, en relación al manejo de sus
riesgos, se ha fijado la organización con el fin de apoyar su misión y visión.
• ¿Cuáles son los elementos mínimos de un Sistema de Administración de Riesgos?

• Política

• Proceso

• Portafolio de controles

• Función organizacional

TÓPICO 6: LA POLÍTICA DE ADMINISTRACIÓN DE RIESGOS

• ¿Cuál es el concepto de Política de Administración de Riesgos?

Declaración de la intención y el direccionamiento de una organización en relación a la

administración de riesgos.

• ¿Cuáles son características importantes de una política de Administración de Riesgos?

• Claros objetivos.

• Vigilancia tanto por la junta directiva como por la alta gerencia.

• Dirigida a crear y fomentar una sólida cultura de manejo de riesgos la cual debe de
combinar valores individuales y corporativos, aptitudes, competencias y el
comportamiento que determina el compromiso de la organización y el estilo de la
administración de riesgos.

• Establecer una sólida cultura de control interno en base a riesgo, incluyendo entre
otras claras líneas de responsabilidad y segregación de deberes.

• Establecer el rol de la auditoria Interna en relación al sistema de administración de

riesgos.

• Establecer un efectivo proceso de información y reporte interno.

• Fijar los criterios para el diseño del programa de manejo de los riesgos (apetito de
riesgo, tolerancia de riesgo, etc.)

TÓPICO 7: EL PROCESO DE ADMINISTRACIÓN DE RIESGOS

• ¿Cuál es el concepto del Proceso de Administración de Riesgos?

Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades

de comunicación, consulta, establecimiento del contexto, e identificación, análisis,
calificación, tratamiento, monitoreo y revisión, de los riesgos.
• ¿Cuáles son las etapas del proceso de Administración de Riesgos?

• Establecimiento del contexto

• Identificación de eventos
(identificación de riesgos)

• Evaluación de riesgos

• Determinación de las técnicas para el

tratamiento de los riesgos

• Implementación del portafolio de

controles

• Comunicación y consulta

• Monitoreo y revisión

TÓPICO 8: LA FUNCIÓN ORGANIZACIONAL DE ADMINISTRACIÓN DE RIESGOS

• ¿Cuál es la descripción general de la estructura organizacional de una entidad?

con el fin de que las organizaciones puedan lograr los objetivos que se plantean en relación
a la administración de riesgos, los esquemas organizacionales de las mismas se encuentran
divididos en dos grandes estructuras de responsabilidad:

• Estructura estratégica

- Junta Directiva
- Comité de Riesgos
• Estructura organizacional

- Unidad de Administración de Riesgos

- Unidades de Negocios (ejecución de la estrategia)

• ¿Cuál es el concepto de Dueño de Riesgo?

Persona o entidad que tiene la responsabilidad y la autoridad para administrar riesgos.

• ¿Cuál es el Modelo organizacional para la Administración de Riesgos y roles de las áreas de

riesgos y de los dueños de los procesos?
 - Modelo Centralizada - Modelo descentralizada.

TÓPICO 9: DIFERENTES ESTÁNDARES DE ADMINISTRACIÓN DE RIESGOS

• ¿Cuáles son los estándares internacionales de Administración de riesgo?

• COSO-Marco Integrado de Administración Integral de Riesgos (2017)

- Actualización de la versión original del 2004

- 5 componentes y 20 principios

• ISO 31000: 2018 – Administración de Riesgos – Directrices

- Actualización de la versión original del 2009

- 3 componentes:
i. Principios (total 8) ii. Marco de referencia
iii. Proceso

TÓPICO 10: LA ADMINISTRACIÓN INTEGRAL DE RIESGOS (ERM)

• ¿Cuál es el concepto de Riesgo de Negocios?

Este riesgo es el asociado a eventos cuya fuente es el entorno de negocios (o de actividades)

a los cuales está expuesto una organización. Estas fuentes pueden ser de carácter político,
económico, social, tecnológico, legal-regulatorio, demográfico, o ser originada por la
competencia, etc.

• ¿Cuáles son los tipos de Riesgos de Negocio?

• Políticos

• Económicos

• Sociales

• Tecnológicos

• Legal-Regulatorios

• Demográficos

• Competencia

VISIÓN DE SILOS
VISIÓN INTEGRADA
• ¿Cuál es el concepto de Administración Integral de Riesgos “RIMS”?

La Administración Integral de Riesgos ("ERM") es una disciplina empresarial estratégica que

respalda el logro de los objetivos de una organización al abordar el espectro completo de
sus riesgos y gestionar el impacto combinado de esos riesgos como una cartera de riesgos
interrelacionada.

ERM representa una evolución significativa más allá de los enfoques anteriores para

la gestión de riesgos, ya que:

▪ Abarca todas las áreas de exposición organizacional al riesgo (financiero, operativo,

reporte, cumplimiento, gobierno, estratégico, reputacional, etc.)
▪ Prioriza y gestiona esas exposiciones como una cartera de riesgos interrelacionada en lugar
de cómo "silos" individuales.
▪ Evalúa la cartera de riesgos en el contexto de todos los entornos, sistemas, circunstancias
y partes interesadas internas y externas importantes;
▪ Reconoce que los riesgos individuales en toda la organización están interrelacionados y
pueden crear una exposición combinada que difiera de la suma de los riesgos individuales.
▪ Proporciona un proceso estructurado para la gestión de todos los riesgos, ya sean
principalmente de naturaleza cuantitativa o cualitativa;
▪ Considera la gestión eficaz del riesgo como una ventaja competitiva.
▪ Busca integrar la gestión de riesgos como un componente en todas las decisiones críticas
a través de toda la organización.

TÓPICO 11: LA ADMINISTRACIÓN INTEGRAL DE RIESGOS (ERM) Y LA PLANEACIÓN

ESTRATÉGICA

• ¿Qué es planeación estratégica?

Proceso por el cual una organización diseña el mapa de ruta (que hacer y cómo) que le
permitirá, partiendo de su situación en su contexto de negocios (o actividades) en el
presente, alcanzar un futuro deseado en dicho contexto. Este mapa de ruta es el “PLAN
ESTRATEGICO”

• ¿Qué es un objetivo estratégico?

Logro que las organizaciones se proponen alcanzar, en una ventana definida de tiempo, con
el fin de contribuir a la obtención del resultado esperado (visión) dentro de un plan
estratégico. El objetivo estratégico puede ser de diferente naturaleza, siempre alineado a
alguna de las diferentes perspectivas estratégicas incluidas en el modelo siendo utilizado
para el desarrollo del plan estratégico al cual dicho objetivo estratégico pertenece.
 PLANEACIÓN ESTRATEGICA A BASE DE RIESGO

• ¿Qué es un Riesgo Estratégico?

Efecto de la incertidumbre en los objetivos (Estratégicos)”

TÓPICO 12: LA ADMINISTRACIÓN INTEGRAL DE RIESGOS (ERM) Y LA GESTIÓN DE LA

CONTINUIDAD DEL NEGOCIO (BCM)

• ¿Cuál es el concepto de Continuidad del Negocio?

Capacidad de una organización de continuar la entrega de productos o servicios en unos

aceptables y predefinidos niveles, una vez ocurrido un evento de interrupción.
• ¿Cuál es el concepto de Interrupción?

Desviación Negativa en la entrega esperada de producto(s) o servicio(s) de una organización

y que impacta objetivos prestablecidos.

• ¿A que hace referencia el Análisis de Impacto del Negocio (BIA)?

La organización deberá establecer, implementar y mantener un proceso formal y

documentado de evaluación para la determinación de las prioridades, objetivos y focos para
la continuidad y la recuperación. Este proceso deberá incluir la evaluación de los impactos
de actividades con potencial de causar interrupción y que soportan a los productos y
servicios de la organización.

• ¿A que hace referencia la evaluación de riesgos?

La organización deberá establecer, implementar y mantener un proceso formal y

documentado de evaluación de riesgos que de manera sistemática identifique, analice y
evalúe el riesgo de eventos de interrupción en la organización.

• ¿Qué es un Plan de continuidad del negocio?

Procedimientos documentados que guían a las organizaciones a responder, recuperarse,

retomar y restablecer un nivel de operación predefinido después de ocurrido un evento de
interrupción.

Nota: Típicamente, este plan cubre recursos, servicios y actividades requeridas para
asegurar la continuidad de funciones críticas del negocio.

TÓPICO 13: LOS INDICADORES DE RIESGO (KEY RISK INDICATORS “KRI’S)

• ¿Qué es un indicador de riesgo “KRI”?

Es una variable cuyo valor arroja información sobre alguno de los componentes de un tipo
de riesgo en particular.

• ¿Cuáles son los componentes de un Riesgo?

1. Evento
2. Probabilidad
3. Consecuencia
 4. Experiencia (historia)
5. Control del Riesgo (intervención de la probabilidad de ocurrencia)
6. Mitigación del Riesgo (intervención de la consecuencia)

• ¿Mencione algunos ejemplos de Indicadores de Riesgo “KRI’s”?

➢ Número de fraudes externos
➢ Número de transacciones por día
➢ Numero de procesos sin instructivo (manual de uso)
➢ Monto total de dinero perdido producto de robo
➢Índice de insatisfacción de clientes (externos/internos)
➢ gerente de sucursal-solicitud de vacaciones
➢ Porcentaje de programas de capacitación no realizados
➢ Tiempo fuera de servicio en línea

• ¿Cuáles son los Tipos de Indicador de Riesgo (KRI)?

• Por Tipo de Métrica (Indicador cuantitativo/cualitativo)

- Indicador cuantitativo: La métrica asociada a este tipo de indicador es una

medida en números o cantidades absolutas o relativas (#, $, %).
- Indicador cualitativo: La métrica asociada a este tipo de indicador es un aspecto
que no es cuantificado directamente (hecho, opinión, percepción, juicios sobre
algo, etc.).

• En Relación al Evento (Indicador causa/efecto)

- Indicador de Causa (Lead indicator): La métrica asociada a este tipo de

indicador expresa la existencia de una situación (sea esta de carácter cualitativa
o cuantitativa) la cual tiene el potencial de ser el origen por si sola, o en
combinación con otras, de un evento en particular. También son conocidos
estos indicadores como de alertas tempranas (early warning)
Ejemplos:
➢ Numero de procesos sin instructivo (manual de uso) ➢ Nivel del servicio al
cliente ➢ Porcentaje de programas de capacitación no realizados ➢ Calidad de
los programas de capacitación ➢ Evaluación del sistema contra incendio ➢
Eficiencia del proceso de control interno ➢ Nivel de madurez del sistema de
administración de riesgos
- Indicador de Efecto (Lag indicator): La métrica asociada a este tipo de indicador
tiene el potencial de expresar la existencia de una situación (sea esta de
carácter cualitativa o cuantitativa) la cual es la consecuencia de un evento que
está ocurriendo o que ha ocurrido.
Ejemplos:
➢ Número de fraudes externos ➢Numero de errores en los procesos ➢ Monto
total de dinero perdido producto de robo ➢ Gerente de sucursal-solicitud de
vacaciones
• ¿Qué es un Indicador de Desempeño “KPI”?

Es una variable cuyo valor arroja información sobre el cumplimiento de una meta asociada
a un objetivo en particular.

• ¿Qué son Indicadores de Riesgo (KRI’s) vs. Indicadores de Desempeño (KPI’s)?

Aunque ambos indicadores en principio se diseñan para propósitos diferentes, en la práctica
algunas “mediciones” (métricas) pudieran ser compartidas por ambos tipos de indicadores
(indicador dual).

• ¿Qué es un umbral de riesgo y para que se construye?

Para cada uno de las métricas (Indicadores de riesgo se hace necesario determinar un
conjunto de valores (o características, en el caso de indicadores cuya valoración es
cualitativa) denominadas umbrales.

Este conjunto de umbrales (valores frontera), se construye partiendo desde el

comportamiento esperado que debería mostrar el indicador (tolerancia) y que
adicionalmente incluye rangos de desviaciones los cuales representan cambio de estado del
driver del cual la métrica está arrojando información.

• ¿Qué es un tablero de riesgo?

Es una herramienta de gestión en formato matricial (filas y columnas) en donde se incluyen

diferentes indicadores de riesgo con sus correspondientes umbrales con el fin de tener
consolidados el monitoreo al cual dichos indicadores responden. Estos tableros pueden ser
construidos con diferentes criterios:

▪ Consolidando indicadores por tipo de riesgo ▪ Consolidando indicadores por proceso

especifico ▪ Algún otro tipo de criterio de consolidación

TÓPICO 14: EL RIESGO Y LA ESTRUCTURA DEL CAPITAL

TÓPICO 15: LA ADMINISTRACIÓN DE RIESGOS DENTRO DEL MODELO DE GESTIÓN
CORPORATIVA DE UNA ORGANIZACIÓN

• ¿Cuál es el modelo de gestión corporativa?

Misión: Es una clara declaración de para que (o el porqué) una organización existe.

Visión: Describe hacia donde se dirige la organización (a donde desea estar en un momento
determinado).

Valores: Describe de qué forma queremos hacer las cosas en la organización.

Estrategia: Describe de manera sintetizada cual es el fundamento de lo que va a hacer la

organización para el logro de su visión. ¿Cuál es mi plan de juego?

Objetivos estratégicos: Describen de manera específica que debe de ir alcanzando una

organización con el fin de lograr su misión. “Traducir la estrategia”
• ¿Qué es Gestión?

Conjunto de actividades que se realizan con el fin de lograr los objetivos establecidos. “La
Gestión es un Proceso”

• ¿Cuál es el proceso de Gestión ajustado al Riesgo?

• Planear

• Organizar

• Dirigir

• Controlar
TÓPICO 16: LA ADMINISTRACIÓN DE RIESGOS Y EL SISTEMA DE CONTROL INTERNO

• ¿Cuál es el concepto de Gobierno corporativo?

El sistema por el cual las organizaciones son dirigidas y controladas.

• ¿Cuál es el concepto de Sistema de Control Interno?

Es un proceso efectuado por la junta directiva, la gerencia y el resto del personal, diseñado
para proveer seguridad razonable en relación el logro de objetivos de la organización
relacionados con las operaciones, la revelación de información y el cumplimiento.

• ¿Cuáles son los componentes y los principios del Sistema de Control Interno del COSO?

• Ambiente de Control
• Evaluación de Riesgos

• Actividades de Control

• Información y Comunicación

• Actividades de Monitoreo
 TÓPICO 17: LA ADMINISTRACIÓN DE

TÓPICO 17: LA ADMINISTRACIÓN DE RIESGOS Y LA AUDITORIA INTERNA

• ¿Cuál es el concepto de Auditoria Interna?

La Auditoria es una actividad independiente y objetiva de aseguramiento y consulta,

concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

• ¿Cuál es el concepto de Auditoria Interna en “base a riesgo”?

Proceso que tiene como objetivo emitir una opinión independiente y objetiva sobre si los
riesgos de una organización están siendo manejados a niveles aceptables.
 • ¿Qué son los modelos de las tres líneas?

Primera Línea: Las Gerencias de la línea de negocios (dueños de los procesos).

Segunda Línea: La función general de administración de riesgos, así como adicionalmente

cualquier otra área de apoyo a la gestión de riesgos específicos (seguridad y protección,
cumplimiento, control de pérdidas, lavado de dinero, calidad y procesos, etc.).

Tercera línea: La función de aseguramiento independiente la cual es típicamente la función

de auditoría interna, pero pudiera incluir adicionalmente a otras organizaciones calificadas
e independientes (de aplicar) de carácter externo (reguladores, etc.)

TÓPICO 18: LA ADMINISTRACIÓN DE RIESGOS, EL GOBIERNO CORPORATIVO Y EL

CUMPLIMIENTO (GRC)
• ¿Cuál es el concepto de Gobierno Corporativo?
El sistema por el cual las organizaciones son dirigidas y controladas.

• ¿Cuál es el concepto de Cumplimiento?

Es la condición de actuar de acuerdo con leyes, regulaciones, reglas, estándares de
autorregulación, códigos de conducta, políticas, normas, procedimientos, etc. que sean
aplicables a la actividad y al entorno (interno y externo) en el cual una organización se
desenvuelve (ambiente de cumplimiento).

• ¿Cuál es el concepto de Desempeño basado en Principios “Principled Performance”?

Punto de vista y modelo del negocio que exige lograr los objetivos de manera confiable, al
mismo tiempo en que se aborda la incertidumbre (riesgo y retorno) y se actúa con
integridad (respetando las obligaciones legales y los compromisos voluntarios).

• ¿Cuál es el concepto de GRC “Gobierno Corporativo, Riesgo y Cumplimiento”?

Conjunto coordinado e integrado de todas las capacidades necesarias para apoyar el logro
del Desempeño basado en Principios en todos los niveles de una organización.