Gestion de Riesgos

Gestión del Riesgo
Jorge A. Hernández O.
Agosto de 2018
Expectativas
¿Qué esperamos de esta sesión?
© Deloitte Touche Tohmatsu 2009 All rights reserved.

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 2
Antecedentes
Necesidad de
controlar sus
pertenencias y las En Antiguos
del grupo del cual imperios se percibía Hacia 1900 llegó a Estados
formaba parte. una forma de control
Napoleón Bonaparte Unidos, se desarrolló un
y cobro de
impuestos. establece Corte de Cuentas concepto diferente, el
Mantenimiento de las que vigilaba asuntos principal objetivo es la
cuentas por dos contables del estado y tenia revisión independiente de
Evolución de los escribanos atribuciones para investigar, los asuntos financieros.
números, uso de los independientes
dedos, uso de evitar desfalcos. juzgar y dictar sentencias.
piedras y palos,
hasta llegar al
desarrollo de
sistemas de
numeración.
La Ley Británica de Sociedades Anónimas
Revolución Francesa perfeccionó de 1862 reconoce la auditoria como
la separación de poderes, profesión. Entre 1862 y 1905, la profesión
estableciendo así un sistema de de auditor creció en Inglaterra y su principal
control apoyado en principios de objetivo entonces era la detección del
especialización y autonomía. fraude.

Antecedentes
Evolución de los Conceptos de Control Interno
1970 1980 1990 2000 2010
2002/4
Escándalo e Comienzo de los Ley SOX,
investigación del Caso años 80´s 1992 refuerza uso de
“Watergate” se incrementa el foco Committee Of COSO
en el Control interno Sponsoring Leyes de
y el Cumplimiento Organizations Gobierno
(COSO) publica la corporativo
Estructura
Integrada de
Control interno • UK Anti-bribery Act. (2011)
1977 • Estatuto Anticorrupción
Ley de prácticas de Perú, Colombia, Mexico
corrupción en países • COSO 2013
extranjeros (FCPA – • COSO ERM 2017
USA) 1985
Reporte de la
Comisión Nacional de
Fraudes Financieros
– Treadway
Commission (USA)
Década de los 90´s
Se acentúa el interés en el
Control Interno, la gestión de
riesgos y las responsabilidades
corporativas. 44
Control Interno y Administración de Riesgos
Algunos Referentes Internacionales
COSO
Control
Interno
COSO
IIA ERM
Administración
de Riesgos y
Control Interno
SOX Basilea
Cobit

COSO – Control Interno
• Primer estándar en temas de control

interno (1992)
• Identifica los Objetivos del Negocio
Actividades
como Operaciones, Reporte y
Monitoreo
Unidad de Negocios
Cumplimiento
Procesos
División
Información &
Entidad Legal
• 5 Componentes: Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control

COSO – ERM
• Enterprise Risk Management-

Integrated Framework (2004)
• Objetivos: Estratégicos, Operaciones,
Reporte y Cumplimiento
• 8 Componentes:
Actualización en 2017
Gestión de Riesgos Empresariales
• Aclara importancia de gestión de

Formulación
riesgos empresariales en planeación Misión, vision y
valores
Desarrollo
de la
de objetivos
empresariale
Implementación
y desempeño
Mejoramiento
del valor
fundamentales estrategia
s
estratégica y la incorpora a toda la
organización Gobierno y
Cultura
Estrategia y
objetivos
Desempeño Revisión
Información,
comunicación y
• Riesgo influye y están alineados a la reporte
estrategia y el desempeño en todas

las áreas, departamentos y
funciones.

CobiT
• Control Objectives for Information

and Related Technology
• ISACA: Information Systems Audit

and Control Association. Ayudar
ayuda a los profesionales globales a
liderar, adaptar y asegurar la
confianza en un mundo digital en
evolución ofreciendo conocimiento,
estándares, relaciones, acreditación y
desarrollo de carrera innovadores y
de primera clase
• Misión CobiT: Investigar, desarrollar,

publicar y promover un conjunto
internacionalmente aceptado de
Objetivos de Control sobre la
Tecnología de la Información
• CobiT hoy en día es un marco de

negocio para gobernar la tecnología
de la empresa.

Basilea
• Basel Committe on Banking

Supervision
• Framework for Internal Control

Systems in Banking Organizations
(1988)
• Basel II: International Convergence of

Capital Measurement and Capital
Standards: a revised framework (2004)
• Basel III: Medidas acordadas

internacionalmente que el Comité ha
desarrollado en respuesta a la crisis
financiera de 2007-09. El objetivo es
reforzar la regulación, la supervisión y
la gestión del riesgo de los bancos.

IIA
• Institute of Internal Auditors

• Código de Ética
• Estándares Profesionales para la
Práctica de la Auditoria Interna

SOX 404
• Sarbanes Oxley Act (2002)
• PCAOB Auditing Standard 2 (2004)

• PCAOB Auditing Standard 5 (2007)
• SEC Guidance regarding

Management´s Report on IC over
Financial Reporting (2007)

Definición
Control Interno
• Directorio
realizado • La administración
• Personal de la compañía
Proceso
diseñado para proporcionar seguridad razonable en el cumplimiento

de los objetivos relacionados con
Reportes de
Operaciones Cumplimiento
información

Definición
Reportes de
Operaciones Tanto Cumplimiento
información
Se relaciona con el
reporte de
información
financiera y no
financiera tanto
interna como Se relaciona con el
Se relacionan con
externa, incluyendo cumplimiento de las
la eficacia y
la confiabilidad, leyes y
eficiencia de las
oportunidad, regulaciones a las
Operaciones de la
transparencia y que está sujeta la
entidad,
otras características entidad
definidas por los
reguladores,
organos normativos
o la política de la
entidad
Características por tipo de objetivos
Operacionales De reporte De cumplimiento
• Enfocados en el uso • Guardar • Reflejar el

eficiente de los consistencia con entendimiento de
recursos estándares, leyes las leyes, normas y
• Incluye objetivos y regulaciones. regulaciones
relacionados con • Información aplicables a lo largo
ingresos, completa, de la entidad.
rentabilidad, relevante, neutral • Contemplar las
liquidez, nivel de y libre de errores leyes aplicables a
gastos y costos, • Información nivel nacional y
etc. oportuna, extraterritorial.
• Establecer en comparable, • Considerar las
forma clara los verificable y diferentes normas
objetivos permite entendible relacionadas con
determinar las • Información mercados, precios,
necesidades de clasificada y temas laborales,
recursos y resumida de una impuestos, medio
direccionarlos de manera razonable y ambiente,
manera adecuada. apropiada (sin más comercio exterior,
ni menos detalle de entre otras
lo necesario)
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 14 14

Generación de Valor
Misión - Visión
Objetivos estratégicos
Estrategias
Objetivos Relacionados
Operacionales Reportes (Informes) Cumplimiento
Eventos
Valoración de Riesgos
Respuesta al Riesgo

Control Interno COSO
OBJETIVOS – Lo que quiere alcanzar la entidad
Actividades
Monitoreo
ESTRUCTURA DE LA
Procesos
Unidad de Negocios
ENTIDAD – En donde se
División
Información & desarrollan los elementos para
Entidad Legal
Comunicación lograr los objetivos
COMPONENTES – Lo que
debe hacer la entidad para
lograrlo.
Se deben considerar los
principios Evaluación de Riesgos
Ambiente de Control

Estructura de Control Interno, según COSO
OBJETIVOS
COSO identifica cinco

componentes de control
NIVELES
Actividades
Monitoreo
interno que necesitan ser
Procesos
Unidad de Negocios
División
Información &
COMPONENTES
interrelacionados para
Entidad Legal
Comunicación
asegurar cada uno de los Actividades de Control
objetivos.
Ambiente de Control

Sistema de Control Interno
Modelo COSO
• El Ambiente de Control establece el “tono”
de una organización, para influenciar la
conciencia de control de su gente.
• La Evaluación de Riegos incluye todas las
actividades desarrolladas por la administración
relacionadas con la evaluación y aseguramiento
de los procesos y riesgos financieros.
• Las actividades de control son las políticas y
los procedimientos que ayudan a asegurar que
Actividades
Monitoreo
se están llevando a cabo las directivas
Procesos
Unidad de Negocios
División administrativas necesarias para manejar los
Información & riesgos.
Entidad Legal
Comunicación
• Información y Comunicación representa el
proceso por medio del cual se asegura que la
información relevante es identificada y
comunicada de manera adecuada y oportuna.
Evaluación de Riesgos • El Monitoreo es el proceso que evalúa la
calidad del desarrollo del Control Interno en el
tiempo, mediante una evaluación continua de
Ambiente de Control
los controles, tomando las acciones correctivas
necesarias.

COSO 2013 - Principios
Principios describen conceptos/prácticas clave por Componente
COMPONENTES Y PRINCIPIOS DE LA ESTRUCTURA INTEGRADA
Ambiente de Valoración del Actividades de Información y Actividades de

control riesgo control comunicaciones monitoreo
1. Demuestra 6. Especifica 10. Selecciona y 13. Usa información 16. Conduce

compromiso con objetivos desarrolla relevante. evaluaciones
la integridad y los adecuados/ actividades de 14. Se comunica propias y/o
valores éticos. relevantes control. internamente. separadas.
2. Ejerce la 7. Identifica y 11. Selecciona y 15. Se comunica 17. Evalúa y
responsabilidad analiza el riesgo. desarrolla externamente. comunica
de vigilancia. 8. Valora el riesgo controles deficiencias.
3. Establece de fraude. generales sobre
estructura, 9. Identifica y tecnología.
autoridad y analiza cambios 12. Implementa
responsabilidad. significativos. actividades de
4. Demuestra control a través
compromiso por de políticas y
ser competente. procedimientos.
5. Refuerza la
responsabilidad
última sobre el
control interno.
19
Evaluación de riesgos
La Evaluación de Riegos incluye todas las COMPONENTES

actividades desarrolladas por la
administración relacionadas con la
evaluación y aseguramiento de los procesos
y riesgos.
NIVELES
Actividades
Monitoreo
Prerrequisito para evaluación de riesgos es
Procesos
Unidad de Negocios
División
el establecimiento de objetivos Información &
COMPONENTES
Entidad Legal
Comunicación
Es la identificación y el análisis de hechos
relevantes para la consecución de Actividades de Control
objetivos y ayuda a establecer como
reducir el impacto de los riesgos al Evaluación de Riesgos
materializarse
Ambiente de Control

Actualmente…
La gestión de riesgos es un tema candente por las implicaciones de recientes incidentes en
la reputación / supervivencia de los negocios, entre otros por los siguientes factores:
• Pérdidas inmensas y repentinas
• Incertidumbre y difícil predictibilidad
• Irracionalidad
• Velocidad del cambio
• Complejidad e interconexión

Riesgos interrelacionados por silos
Deficiente coordinación por:

• Deficiencias en la definición de propiedad y rendición de cuentas
• Diferentes percepciones, criterios e informes
• Respuestas segregadas / fragmentadas
• Presentación de informes, el seguimiento y el escalamiento se producen de forma no
estándar.
Estrategia y Ejecución
Riesgos
Estratégicos
Economía Mercados de Capital& tesorería
RM, RL Flexibilidad
estratégica,
1
Riesgo de Mejora &
Sustain
Operaciones Gente, Credit ejecución Develop and
7 Continuously
continua y Desarrollo
Analytics Improve Deploy de
Procesos, sustentable Strategies
estrategias
Sistemas
Property, Casualty, Factores Monitor, 2
Liability Externos Assure &
Insurance Multiline, Multirisk Monitoreo
Escalate Gestión
Risk Management Insurance Products Risk Intelligence
Identificar
Identify
6 To Create
Integral de & riesgos
Risks
Preserve Value
Seguridad Física Riesgo Definir Riesgos
Seguridad Y de Información Proteccion Operacional yDesign
Test
probar &
Controls
Información De controles Assessyand
Evaluar 3
Activos Cumplimiento Internal Measure
Operations medir
Audit 5 Responder
Responda Risks
Compliance riesgos
Negocio toriesgos
los Risks
4
Profit
SOX Recovery
Financial
Internal Etica
Procesos Control
Cultura
Gestión de Riesgos22 22
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. © 2008 Deloitte Touche Tohmatsu
Mayores riesgos
Evolución del entorno de Negocios
Antes
En el pasado, las organizaciones
estaban aisladas de eventos
externos. Existía una confianza
limitada en los terceros y el
entorno era predecible.
Interconnected and interdependent Ahora

Customer
Enterprise
Customer Las organizaciones hoy más
Customer
Content
que nunca están
Technology
Customer
interconectadas,
Outsource Company Provider Competitor exponiéndolas a mayores
Outsource oportunidades así como a
Supplier
Supplier
nuevos factores de riesgo.
License
License
Supplier

Mayores Riesgos
Las Fuentes de Valor están cambiando
Las fuentes tradicionales...

Balance General Estado Resultados
Activos Ingresos
Flujo de
Efectivo
Pasivos Gastos
Patrimonio Utilidad Neta

Las nuevas Fuentes de Valor…
…deben ser reconocidas, protegidas y aprovechadas

• Terrenos • Clientes
• Edificios Recursos Recursos • Canales
• Equipos físicos de clientes • Afiliados
• Inventarios
Recursos de la
organización
• Efectivo • Empleados
Recursos de
• Cartera Recursos • Proveedores
Financieros empleados &
• Obligaciones Proveedores • Socios
• Inversiones estratégicos
• Capital
• Liderazgo • Marca
• Estrategia • Innovación
• Conocimiento • Sistemas
• Valores • Procesos
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Fuente: Cracking the Value Code Gestión de Riesgos 25
Ampliando la definición de Riesgos
Riesgo del negocio:

“Es el nivel de exposición a incertidumbres que la
Organización debe identificar y efectivamente administrar
para alcanzar sus objetivos, ejecutar sus estrategias
exitosamente y crear valor”
“Los riesgos de negocio surgen tanto

de la amenaza de que algo malo
ocurra, como de la probabilidad de
que algo bueno no ocurra.”

Otros conceptos clave
Proceso dinámico e interactivo para

Administración de identificar, evaluar y gestionar los riesgos
riesgos que pueden impactar el logro de los
objetivos.
Es una ponderación que determina cuánto

Apetito al riesgo riesgo la administración está dispuesta a
aceptar en el logro de sus objetivos.
Es el nivel aceptable de variación en

Tolerancia al riesgo relación con la consecución o logro de un
objetivo

Tomando una perspectiva amplia de los riesgos
Los riesgos reconocidos deben gestionarse, no sólo deben mitigarse o
evitarse
Gestionar los riesgos para ayudar a crear valor para los accionistas
(crecimiento)
Desarrollo de nuevos productos
Riesgos Nuevos modelos de precios

recompen-
sados Enfocar nuevos mercados
Valor
Riesgos no Sanciones y penalidades

recompen-
sados Fraudes
Desastres
Gestionar los riesgos para proteger el valor de los accionistas (activos

existentes)
Los negocios prosperan asumiendo riesgos, pero fallan cuando los riesgos son
gestionados ineficazmente. Las organizaciones deben dedicar recursos tanto para
asumir riesgos como para la gestión de riesgos.
28
La generación de valor en el corazón
de la gestión de riesgos
VALOR PARA LOS GRUPOS DE INTERÉS
Atención de
Aumento de Optimización Efectividad de
las
ingresos de costos los activos
expectativas
1
Gobierno Mejora
RIESGOS CORPORATIVOS
Sustain &
Procesos de
PROCESOS DE NEGOCIO
continua y Develop and
Corporativo 7 Continuously
sustentable Desarrollo
Deploy de Gobierno
Improve
estrategias
Strategies Corporativo
Estratégic
Monitor, 2
os Assure &
Monitoreo
Escalate
Risk Intelligence Procesos
Operacional INTELIGENCIA Identificar
Identify
Operacional
6 To Create & riesgos
es
es EN RIESGOS
Risks
Preserve Value
Definir
Financieros y Design
probar&
controles
Test Controls 3
Evaluar
Assessyand
medir
Measure Procesos de
Regulatorios 5 Responder
Respond a Risks
riesgos Apoyo
lostoriesgos
Risks
4
CONTROL Y MONITOREO
Auditoria Interna y Gestión de Riesgos
Creando valor para los grupos de interés
Los Impulsores de Valor se vuelven objetivos e iniciativas estratégicas…
Valor para el accionista
Crecimiento de Optimización de Efectividad de Atención de las

Ingresos costos los activos expectativas
Productos Cuentas por

Numero de Precio por Propiedad Factores
por Inventarios Cobrar y Fortalezas
Clientes Producto y equipo externos
Clientes por Pagar
Intereses
Costeo de Distrib. y
Admin. e
Producto venta
impuestos
Fuente: Deloitte Value MapTM

La Empresa Inteligente frente al Riesgo
Nueve Principios para Hacer una

Empresa Inteligente Frente al LA EMPRESA
Riesgo INTELIGENTE AL
RIESGO
Una Definición Común de Riesgo
Marco Común de Trabajo Frente al

Riesgo
Roles y Responsabilidades Supervisión Directorio

Gobierno del Riesgo
Mensaje desde
Transparencia en los Organismos
la dirección
Directivos
Infraestructura de Riesgo Común Infraestructura

Común de Riesgo
Infraestructura y
manejo del riesgo Gerencia
Responsabilidad de la Gerencia
Personas Procesos Tecnología
Aseguramiento Objetivo y
Monitoreo
Responsabilidad de las Unidades Unidades de

de Negocio Propiedad del
negocio y
riesgo funciones de
Soporte de las funciones de toda la soporte
organización

Gobierno del riesgo: Roles y responsabilidades
Directorio y Presidente
La Directorio tiene la responsabilidad última por la gestión de riesgos, pero puede
delegar la responsabilidad a la alta gerencia
Oficial / Comité de Riesgos

“Monitoreo del ERM”
Centro de Información de riesgos, la política, el establecimiento de apetito, y la
gobernabilidad
Áreas de Función de Riesgos Auditoría Interna Estrategia

Negocio Soportar a CRO, Comité Provee Incorporación
Gestionar riesgos ERM, Alta gerencia y aseguramiento de la Gestión
Directorio independiente de Riesgos
 Identificación del
riesgo  La validación periódica  estrategia
 Autoevaluaciones  Gobierno, política de gestión de control y el corporativa
de riesgos, cumplimiento  Iniciativas
 Estrategias y medidas
para hacer frente el  Métodos de evaluación de  Revisión objetiva del principales
riesgo, en marco de la riesgos proceso de gestión de  M&A
política  Medición, agregación, riesgos
 Nuevos
 Garantizar el herramientas y normas de  Aseguramiento Productos y
cumplimiento de reportes de riesgo independiente a la Servicios
políticas y  Supervisar el estado de la gerencia y Junta sobre
procedimientos exposición al riesgo e las afirmaciones de la
 Proporcionar informar a la Junta exposición al riesgo
afirmaciones sobre la
exposición
Evaluación de riesgos
La Evaluación de Riegos incluye todas las COMPONENTES

actividades desarrolladas por la
administración relacionadas con la
evaluación y aseguramiento de los procesos
y riesgos.
NIVELES
Actividades
Monitoreo
Prerrequisito para evaluación de riesgos es
Procesos
Unidad de Negocios
División
el establecimiento de objetivos Información &
COMPONENTES
Entidad Legal
Comunicación
Es la identificación y el análisis de hechos
relevantes para la consecución de Actividades de Control
objetivos y ayuda a establecer como
reducir el impacto de los riesgos al Evaluación de Riesgos
materializarse
Ambiente de Control

Características de objetivos claramente definidos
Alineados con las prioridades estratégicas
Articulados con tolerancia al riesgo
Alineados con leyes, regulaciones y estándares aplicables
Específicos, medibles, observables y relevantes
Difundidos a lo largo de la entidad
Alineados con circunstancias que requieren un foco de atención especial por

la Entidad

Especifica objetivos con suficiente claridad para permitir la identificación y

evaluación de riesgos
• Refleja las decisiones de la administración
• Considera tolerancias al riesgo
Objetivos Operacionales • Incluye metas operacionales y financieras
• Establece bases para la destinación de los recursos
• Cumple con los estándares contables aplicables

Objetivos de Reporte
• Considera la materialidad
Financiero Externo
• Refleja las actividades de la entidad
• Cumple con estándares y frameworks externos

Objetivos de Reporte No- establecidos
Financiero Externo • Considera el nivel requerido de precisión
• Refleja las decisiones de la administración

Objetivos de Reporte
Interno • Considera el nivel requerido de precisión
Objetivos de • Refleja las leyes y regulaciones externas

Cumplimiento • Considera tolerancias al riesgo
35
Ciclo de identificación y análisis de riesgos
• Considerar entidades y
subunidades
• Considerar factores internos
y externos
• Considerar las
respuestas a los
Identificar • Considerar riesgos a nivel de
riesgos entidad y transacción
• Evaluar las
opciones de
respuesta
• Seleccionar las
respuestas • Determinar la
significancia del
riesgo
Responder Analizar • Determinar el
nivel de riesgo
inherente

Identificación de riesgos
Riesgos del entorno
Competencia Necesidades del cliente Innovación tecnológica Sensibilidad Relaciones de los accionistas Disponibilidad de capital
Sober anía política Legalidad Regulación Industria Mer cado Financieros Pérdidas por catástrofes
Riesgos de procesos
Operaciones Ot orgamiento de podere s Financiero
Sa tisfa cción de l cliente Lide ra zg o Pr ecio Tasas d e inte rés
Recurso s humano s Limite s de a uto ridad Mo ned a
Cono cimien to Terce rización Pa trimo nio
Desarrollo d e prod ucto In ce ntivos de de se mpe ño Commodity
Eficiencia Predispo sición a l ca mbio In st rument os finan cie ros
Capa cida d Comu nica cio nes
Brecha de desempeñ o
Tie mpo de ciclo Procesam iento de la inform a- Liquidez Flu jo de fon dos
Orígen es ción/Tecnología Costos de opo rtu nidad
Efe ctivida d de l ca nal Concen tra ció n
Relevancia
Accionistas/ so cios
integrid ad Incobrabilid ades
Cump limien to Credito
Acceso Concen tra ció n
In terrup ció n de l neg ocio
Dispo nibilida d Conven io s/pag os
Fra ca sos en produ ct os/servicios In fra estru ctura
En torno Garan tías
Sa lu d y seg urida d
Desgaste de marcas Int egrida d
Fra ude de la Gerencia
Fra ude de emp le dos o tercero s
Acto s ileg ales
Uso no aut orizad o
Modelo de Procesos Repu tación
Riesgo de información para la toma de decisiones

Procesos/operacionesl Inf ormes del negocio Entorno/e strategia
Fijación de pre cio s de p ro ducto s Plan es y presup uesto En tend imie nto del e ntorno
Cump limien to d e con tra tos In formación co nta ble Mo delo de n ego cio
Me didas (op era cio nes) Evalua ció n de informe s fin ancieros Po rtfo lio del ne gocio
Identificar
Alinea miento Impue st os Va lu ació n
Fond os de pe nsio nes Estructura o rg anizativa
Evalua ció n de inversion es Me didas (Estrateg ia )
In formación a en tidad es re gulad oras Asigna ció n de re curso s
Plan eamie nto
Ciclo d e vida
Modelo de Riesgos
Herramientas Proceso para

identificación

Modelo de Procesos
Visión funcional vs. procesos
La evolución en el manejo de las operaciones en las organizaciones ha llevado a
abandonar antiguos paradigmas:
Orientación Orientación
funcional Paradigma procesos
Empresa Hoy Empresa futuro

Invest. y des.
Manufactura
De la toma del pedido al cobro

Finanzas
Compras
Ventas
De la requisición de la compra al pago
De la planeación de producción a la entrega
Del desarrollo de productos a la venta
• Feudos de poder • Enfoque de servicio al cliente

• Procesos costosos • Generación de valor
• Tiempos muertos • Accountability claro
• Objetivos incongruentes • Objetivos alineados
• Control y rigidez en exceso • Flexible para responder a cambios
38
Esquema de Clasificación de Procesos
Planeación y Administración Estratégica

Estratégicos
Procesos
Gestión de Calidad y Mejora Contínua
Gestión Juridica
Ejecutar Programas de Seguridad y Salud Ambiental

Producir
& Entregar
Operativos
Productos
Procesos
Facturar
Entender Desarrolar Diseñar & Servicios
Mercadear & Brindar
Mercados & Vision & Productos Servicio al
&Vender Producir
Clientes Estrategia & Servicios Cliente
& Entregar
Organización
de Servicio
Desarrollar y Administrar el Recurso Humano

Procesos de Soporte
Administrar Recursos de Información y Tecnología

y Administración
Administrar Recursos Financieros y Físicos
Ejecutar Programas de Seguridad y Salud Ambiental
Administrar Relaciones Externas
Administrar el Mejoramiento y el Cambio

39
Modelo de Riesgos
• Lista de referencia de tipos de riesgos que pueden impactar a una

organización, como un todo, los procesos de negocios al interior de la
organización.
• El modelo ayuda a la organización, su gerencia y los auditores a:
− definir los riesgos de fracasos y oportunidades de mejora del negocio,
− evaluar la integridad de los riesgos de fracasos y oportunidades de mejora
de negocio identificados
− comunicar los riesgos de falla y las oportunidades de mejora del negocio a
la gerencia.
• Provee un lenguaje común para identificar y entender los riesgos del negocio.
Provee los fundamentos a partir de los cuales riesgos más específicos y los
controles sobre esos riesgos pueden ser identificados.

Incertidumbres que afectan
las fuentes de valor
Incertidumbres que afectan

Riesgo
viabilidad del modelo de
del entorno
negocios
Fuentes de Incertidumbres que

Riesgo afectan la ejecución del
incertidumbre del proceso modelo de negocios
Incertidumbres sobre la
Riesgo de información relevancia y confiabilidad de la
información que soporta
para toma de decisiones
decisiones de creación de valor

Lenguaje común: Modelo de Riesgos
Riesgos del entorno
Riesgos de procesos
Financiero
Dirección
Precio
Tecnología/
Operaciones Procesamiento Liquidez
de información
Integridad Crédito
Riesgo de información para la toma de

decisiones
Procesos/
Financieros Estrategia
operaciones
Fuente:
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Enterprise-wide Risk Management: Strategies for linking risk and opportunity Gestión de Riesgos 42
Riesgos del entorno

Riesgos de procesos
Relevancia
Acto s ileg ales
Uso no aut orizad o
Repu tación

Plan eamie nto
Ciclo d e vida
Deloitte & Touche S.R.L. – Jorge A. HernandezFuente:

O. Enterprise-wide Risk Management: Strategies for linking risk and opportunity Gestión de Riesgos 43
Históricamente, CFOs se han focalizado sobre el riesgo financiero únicamente. Pero las
empresas se han dado cuenta que otros riesgos crean tremendos impactos financieros.
Factores de Riesgo
Estratégico  Tasas de cambio externas  Inadecuado plan de

suceción
 Precios de Commodities
 Cambio cultural
Financiero  Equity prices
 Tasas de interés
 Conducta fraudulenta
 Comercio ilegal
 Additional losses (eg
employers’
Operacional
 Reputación corporativa
liability)
 Inadecuado entrenamiento
 Reclamos de clientes
 Inadecuado desarrollo
 Ciclo de tiempo en (RD)
Comercial
producción
 Pobre IT estrategia
 Cambios en
comportamiento mercado  Relación cliente/proveedor
 Falla en los sistemas  Prácticas de empleo

Técnico  Desastres naturales  Errores de asesores.
Omisiones
 Auditores

Risk Intelligence Map

Inteligencia al
Riesgo
Estrategia y Operaciones /
Gobierno Cumplimiento Reporte
Planeación Infraestructura
Responsabilidad y
Sostenibilidad Factores Externos Planeación Estrategia
Corporativa
Categorías de Riesgo

Inteligencia
al Riesgo
Operaciones /
Estrategia y
Gobierno Infraestructur Cumplimiento Reporte
Planeación
a
Responsabilid y
Factores
Sostenibilidad Planeación Estrategia
Corporativa Externos
Administració
n Continuidad
del Negocio
Planeación del
Capital
Administració
n del
Conocimiento
Subcategorías de Riesgo
Planeación
Operacional
Administració
n del
Desempeño
Planeación por
Escenarios
Inteligencia al
Riesgo
Estrategia y Operaciones /
Gobierno Cumplimiento Reporte
Planeación Infraestructura
Responsabilidad
Factores
y Sostenibilidad Planeación Estrategia
Externos
Corporativa
Administración Administración
Planeación del Planeación Administración Planeación por
Continuidad del del
Capital Operacional del Desempeño Escenarios
Negocio Conocimiento
Inadecuada representación
de departamentos en la
preparación del plan
Establecimiento de planes
Riesgos Específicos inalcanzables
Inapropiada asignación de
recursos
Inteligenci
a al Riesgo
Operaciones
Estrategia y / Cumplimient
Gobierno Reporte
Planeación Infraestructu o
ra
Cumplimiento con
Gobierno Responsabilidad Activos Comunicaciones y
Principios
Corporativo Social Corporativos Capacitación
Contables
Cultura de Revelaciones
Etica Factores Externos Finanzas
Cumplimiento Financieras
Administración Disponibilidad de
Recursos
Planeación Información de Información
Humanos
Cumplimiento Financiera
Fraude en
Tecnología Organización para
Estrategia Estados
Informática Cumplimiento
Financieros
Reportes de Reportes
Aspectos Legales
Cumplimiento Gerenciales
Desarrollo de Controles y Reportes

Productos Monitoreo Regulatorios
Ventas Mercadeo Políticas y Calidad de

y Comunicaciones Procedimientos Reportes
Cadena de Valoración del Reportes

Suministro Riesgo Estatutarios
Reportes
Supervisión
Sostenibilidad
Reportes
Tributarios
Identificando riesgos en Procesos
Entendimiento del
Identificación de Identificación de
Proceso (Objetivos,
riesgos inherentes riesgos clave
Metas e Indicadores)
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. 50 50

Gestión de Riesgos
Identificar / Entender
Los Objetivos del Proceso
El primer paso consiste en entender los objetivos del proceso, que son aquellos que buscan
lograrse tras la aplicación del ciclo de gestión de riesgos.
Ejemplos de Objetivos en el proceso de Producción.
• Maximizar de manera sostenida el valor para los accionistas

• Contribuir al desarrollo sostenible de los clientes y grupos de interés
• Entregar productos con criterios de volumen, calidad y oportunidad
• Asegurar la eficiencia operacional
• Alcanzar estándares internacionales en HSE
• Maximizar la producción con una utilización eficiente de recursos
• Incorporar y desarrollar las reservas de crudo y gas en el ámbito nacional
e internacional
• Concretar nuevos negocios nacionales e internacionales
• Asegurar una gestión integral y efectiva
• Garantizar una gestión socialmente responsable
• Asegurar el Talento Humano y el Ambiente Laboral que apalanquen la
estrategia
• Asegurar el conocimiento, la información, la innovación y el desarrollo
tecnológico

Gestión de Riesgos
Entendimiento del Identificación Identificación

Proceso (Objetivos, de riesgos de riesgos
inherentes clave

Gestión de Riesgos
Identificando riesgos de los Procesos
Riesgos del entorno

Riesgos de procesos
Relevancia
Acto s ileg ales
Uso no aut orizad o
Repu tación

Plan eamie nto
Ciclo d e vida
Gestión de Riesgos
Identificación de Riesgos –
Ejemplo de herramientas y técnicas
Herramientas y Técnicas
de Identificación de riesgos
Técnicas de análisis y
Técnicas de Recopilación de
Información diagramación
• Lluvia de Ideas
• Flujos de proceso
• Entrevistas
• Inventario de Riesgo
• Cuestionarios y
encuestas • Diagramas
causa/efecto
• Análisis FODA

Gestión de Riesgos
Los Objetivos del Proceso (cont.)
Un registro de riesgos debería contener la siguiente información
Registro de Riesgos
• Riesgo: Hace referencia al evento qué podría
ocurrir, positivo o negativo
• Causas: Hace referencia a por qué podría
ocurrir el evento
• Consecuencias: Hace referencia a cuál sería el
impacto de dicho evento
• Objetivos afectados: Relaciona a qué
objetivos impacta el evento.
• Categoría del riesgo: Otorgada por la
clasificación de la compañía.
• Protección o Generación de valor

Gestión de Riesgos
Ejemplo de Riesgos identificados – Proceso de Producción
Riesgo Descripción Objetivos Categoría Valor
Relacionados
Recepción Recibir bienes y/o servicios ficticios, no Gestionar el Operacional Preservar
inadecuada autorizados o que no correspondan con lo eficiente
de bienes y acordado (orden de compra, solicitud, seguimiento a la
servicios contrato) en cuanto a valores, cantidades, ejecución y
tiempos, calidad, entre otros, debido a un liquidación de
inadecuado seguimiento a la ejecución de comparas para
la compara, que puedan generar posibles verificar: tiempo,
conflictos de segregación funcional y/o costos y la
colusión con el contratista que generan recepción
afectación económica, reputacional, adecuada de los
sobrecostos y reprocesos. bienes y servicios.
Incorrecta Direccionamiento y/o inadecuada selección Seleccionar y Operacional Generación
selección y/o vinculación de personal, debido a fallas mantener
del personal en la definición de los perfiles, errores en personal
el proceso de evaluación, documentación competente que
de contratación, supeditaje gerencial, soporte el
direccionamiento del proceso de selección, cumplimiento de
complicidad de funcionarios o proveedores la estrategia de la
para favorecer a un candidato en beneficio compañía
propio o de terceros, lo cual puede
generar la contratación de talento no apto,
sobrecostos y reprocesos.

Gestión de Riesgos
Ejemplo de Riesgos identificados – Proceso de Producción
Riesgo Descripción Objetivos Catego Valor
Relacionados ría
Fraude en Errores y/o información fraudulenta en Que los hechos Reporte Preservar
reporte la información financiera reportada, económicos
financiero debido a una inadecuada revisión y reportado del
análisis de las cifras contables, período son
incumplimiento de las políticas y/o registrados en
procedimientos y la normativa forma exacta e
aplicable y supeditaje gerencial, lo cual integra y
puede afectar la toma de decisiones de corresponden a la
los usuarios de la información y el operación del
correcto análisis de la situación negocio.
económica de la compañía
Falta de Afectación de la competitividad debido Maximizar el uso Operacion Generació
competitivid a altos costos operacionales superiores de los recursos al n
ad de a estándares de la industria originados productivos
costos por modelos operacionales ineficientes,
operativos por mala planeación, limitaciones en
de contratación, falta de estandarización,
producción falta de gestión eficientes, lo cual
puede generar sobre costos, afectar la
sostenibilidad financiera de algunas
operaciones de la Empresa
Gestión de Riesgos
Entendimiento del Identificación

Identificación de
Proceso (Objetivos, riesgos inherentes de riesgos
clave

Gestión de Riesgos
Identificar Riesgos Clave
Identificar riesgos clave que puedan tener el mayor impacto potencial en el

logro de las metas y objetivos del proceso. Concentrarse en el riesgo
crítico permitirá enfocar sus esfuerzos en los asuntos que potencialmente
pueden causar la mayor problemática a la Unidad de Negocio o función
empresarial.
Cómo identificar riesgos clave:
• Entendiendo las metas y objetivos del proceso.
• Usando estándares o información relevante de riesgos de industria o de la
localidad de la operación, tomada de fuentes externas, como: reportes
anuales de empresas competidoras, reportes de analistas, estudios
sectoriales, entre otros.
• Considere los riesgos materializados o las deficiencias señaladas, tales
como: Incumplimientos, reportes adversos de auditoría, contingencias, entre
otros.

Gestión de Riesgos
Cómo identificar riesgos clave (continua):

• Use experiencias de pérdida de pares (Competidores), que podrían
representar riesgo de contagio.
• Planee y desarrolle entrevistas y sesiones tipo “lluvia de ideas con expertos”
de la Unidad de Negocio o Proceso involucrado.
• Use herramientas de análisis de riesgos para considerar que puede salir
mal, tales como “Análisis de Árbol de Eventos”
• Sopórtese en especialistas externos.
Rete los riesgos del Proceso, están actualizados o

solo son un reporte de papel?

Gestión de Riesgos
Escenario de Riesgos
Considerar la interrelación de riesgos
Ilustrativo
Business Business Process People /
Environme Reporting & Technology
Human
nt Strategy Execution Analysis & Data
Capital
•Legal •Strategy &

•Contract Compliance •Skills / •Performanc •Technology
Liabilities Innovation Competencies e Infrastructur
•Operations – Process Managemen e
•Regulatory •Capital / Technology Design •Change t
Allocation & Execution Readiness •Information
•Budgeting / Management
•Privacy •Business •Resource Capacity & •Performance Financial
Product Allocation Planning •Technology
•Catastrophi Portfolio •Incentives Reliability &
c Events •Provider Network •Accounting Recovery
•Organizatio Relations •Fraud & / Tax
•Medical n Policies Abuse Information •IT Security
Cost/ •Customer / Member
Utilization •Mergers & Satisfaction •Culture •External •Emerging
Trend Acquisitions Reporting & Technology
•Knowledge / •Integrity Disclosure
•Strategic Intellectual Capital
•Customer Relationshi •Accountability •Pricing /
& Provider ps Margin
Expectatio
ns •Credit/
Liquidity

Gestión de Riesgos
•Qué debería entenderse?:

−Cuáles eventos de riesgo podrían ocurrir?
−Qué causas o factores contribuyen a que estos eventos tengan mayor
probabilidad de materializarse?
−Qué reacciones en cadena podrían generarse?
−Cómo están interconectados estos eventos de riesgo?
−Cuáles son las consecuencias si se materializan?

Gestión de Riesgos
Diseño de Procesos de Mitigación de Riesgos -
Las definiciones de prevención, detección y corrección
Riesgo de NO alcanzar los Objetivos:
Las causas potenciales o Impactos potenciales

cadenas de acontecimientos Eventos (Financieros y No-financieros)
de riesgo
Prevención Detección / Monitoreo /

Corrección / Recuperación
Actividades / mecanismos / Las actividades de
Procesos o mecanismos
estrategias escalamiento
¿Qué se hace para evitar este ¿Qué se hace para controlar Lo que está en su lugar para
riesgo que se produzcan y las estadísticas de riesgo y asegurar la corrección oportuna y
garantizar la preparación adecuada detectar este riesgo en caso eficaz o recuperación que
en caso de producirse: de que se produzca: deberían ocurrir si este evento de
• Propiedad de la Gestión de • Indicadores de riesgo riesgo se materializa:
riesgos / responsabilidad • Análisis de tendencias • Planes de contingencia
• Entrenamiento y desarrollo de • Procedimientos de análisis • Sistema redundante
habilidades de eventos • Procedimientos de emergencia
• Diseño de procesos • límites de escalamiento • Proceso de resolución de
• Mecanización y automatización errores
• Políticas, procedimientos y
normas
La mitigación del riesgo que se necesita en cada uno: Prevención, Detección y Corrección
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos63 63
Una vez identificados los riesgos, se debe realizar su valoración en términos de la
probabilidad de que ocurra el evento y el impacto generado, para determinar aquellos que
pueden tener un mayor incidencia sobre el logro de objetivos.
De la valoración del riesgo sin tener en cuenta el efecto que pueden tener los controles se
deriva el concepto de Riesgo Inherente.
Riesgo Inherente
Es el máximo riesgo sin

los efectos mitigantes
de la administración del
riesgo
Es la pérdida derivada
del peor escenario
posible

Gestión de Riesgos
Respuesta a los Riesgos
Evitar Retirode
Retiro deactividades
actividadescausantes
causantesde deriesgos
riesgos.enSelas
presenta entratamiento
cuales su situaciones
riesgos donde el no
adicional retorno no es en
es efectivo atractivo
costo yenelrelación
retorno al
noriesgo involucrado
es atractivo en relación al
riesgo involucrado (ej: avisos de devolución, revocación de proyectos).
Actividades y medidas tendientes a reducir la probabilidad de ocurrencia

Mitigar Actividades y medidas tendientes a reducir la probabilidad de ocurrencia
de un riesgo y/o minimizar la severidad de su impacto en caso de
de un riesgo y/o minimizar la severidad de su impacto en caso desuceder
materializarse
riesgos
Actividades y medidas tendientes a transferir a un tercero la

Transferir responsabilidad por el manejo de los riesgos y/o la obligación por las
Actividades y medidas
consecuencias tendientes
financieras, a transferir
en caso a un tercero la
de materializarse.
riesgos Se decide convivir con el riesgo y no tomar medidas para su mitigación.

Aceptar Se presenta en situaciones donde los retornos potenciales son atractivos
en relación con los riesgos involucrados
En las respuestas considerar:

riesgos
El efecto en la significancia del riesgo y la alineación con la tolerancia al riesgo.
Segregación de funciones
Costo - beneficio

Gestión de Riesgos
Respuestas a los riesgos
Retirar: Salir mercado, geografía. Vender o liquidar productos o unidades

Prohibir: actividades, transacciones o exposición de activos a riesgos no
aceptable
Detener: actividades especificas por cambio de objetivos o estrategias
EVITAR Enfocar: desarrollo de negocios o mercado para evitar aquellos que están fuera
de la estrategia
Filtrar: proyectos de capital o inversión para evitar bajos retornos, proyectos
fuera de estrategia o con alto riesgo inaceptable
Eliminar: en la fuente al diseñar e implementar procesos internos preventivos
Aceptar: a nivel actual no se realiza acción alguna

Reajustar: precios para compensar riesgo tomado
RETENER Auto-asegurar: provisiones, compañías captivas
Compensar: con otros riesgos
Planear: acciones a seguir en caso de presentarse riesgo
Dispersar: financiera, física o geográficamente para mantener nivel adecuado

REDUCIR
Controlar: procesos internos que reducen la probabilidad de eventos
Respuestas a los riesgos
Asegurar: mediante contrato con tercero

Reasegurar: reducir portafolio de exposición con otros aseguradores
TRANSFERIR Cobertura: mediante contratos con terceros
Compartir: alianzas o contratos de riesgo compartido JV
Tercerizar: procesos no core el riesgo se transfiere en contrato
Asignar: capital o inversiones a opciones de mayor retorno

Diversificar: financieramente, activos materiales, clientes, empleados,
Expandir: portafolio a nuevas industrias, geografías, áreas, clientes
Crear: productos, servicios o canales
UTILIZAR Re-diseñar: modelo de negocios
Reorganizar: procesos reestructuración, integración vertical, reingeniería
Precio: clientes hacia productos más acorde con perfil de riesgo
Re-negociar: contratos actuales para mejorar perfil de riesgos
Influenciar: reguladores, opinión publica, gremios
Ciclo de identificación y análisis de riesgos
• Considerar entidades y
subunidades
• Considerar factores internos y
externos
• Considerar las • Considerar riesgos a nivel de
respuestas a los Identificar entidad y transacción
riesgos
• Evaluar las opciones
de respuesta
• Seleccionar las
respuestas
• Determinar la
significancia del
riesgo
• Determinar el
Responder Analizar
nivel de riesgo
inherente

Gestión de Riesgos
Valorar y Evaluar Riesgos Claves
Impacto:
Bruto o Efectividad en la Vulnerabilidad o Riesgo
– Administración de Riesgos =
Riesgo Inherente Residual
¿Qué tan bien?

Qué tan grave? ¿Qué tan rápido? Aceptable?
Tendencia?
• Financiero Prevenir o rápidamente:
• Operaciones /
clientes • Detectar • Mejor
• Reputación • Corregir • Peor
• Legal / Regulatorio • Escalar • No hay cambio
• Ambiente / Seguridad
• Partes interesadas

Gestión de Riesgos
Técnicas de calificación de riesgos
Cualitativas Determinísticas Estocásticas
• Consumen menos tiempo • Consume más tiempo • Tiempo adicional para crear el
• Requieren de juicio • Requerimientos substanciales modelo.
de datos • No se requiere datos
• Requerimientos menores de
• Permite escalas con más adicionales de los recolectados
datos
exactitud para la priorización de en el análisis deterministico
• Mejor para un ejercicio inicial riesgos • Salto substancial en el rigor y
• Suficiente para muchos • Facilita un análisis costo utilidad del modelo para la toma
riesgos /beneficio más riguroso para el de decisiones
• No puede ser correlacionada, tratamiento de riesgo • Habilidad para calcular
agregada o integrada. • El mayor defecto es la probabilidades realistas y
inhabilidad para calcular una distribuciones de perdidas para
• Insuficiente para el riesgo
probabilidad realista y
evaluaciones rigurosas de
distribuciones de pérdidas para • Los factores de riesgos y sus
opciones de tratamientos
el riesgo ( no considera los consecuencias pueden ser
para riesgos factores de la probabilidad de correlacionadas, agregadas e
los factores de riesgos integradas.
ocurriendo concurrentemente
D E K
C en el mismo intervalo)
I S
B
m R
Frequency
p I GU
O
a
c
t H A Severity
o Vulnerabilidad

Gestión de Riesgos
Cómo se mide el riesgo – Algunas Opciones
Impacto ¿Qué tan grave sería el impacto de este evento de riesgo?

– Impacto Financiero – Impacto No Financiero
• % utilidad • Reputación
• % of EBIT • Legal/Regulatorio
• Ingresos • Clientes
• Costo de Recuepración • Empleados
• Operaciones
¿Qué tan probable es que este evento de riesgo se produzca en un plazo
Probabilidad
determinado?
– Con qué frecuencia este evento de riesgo se ha producido en el pasado
Efectividad en la
¿Qué tan efectivos son nuestros procesos de gestión y técnicas de
Administración de
Riesgo mitigación para hacer frente a este riesgo?
– Capacidad de prevención
– Capacidad de detección
– Capacidad de Corrección / Recuperación
Considerando el impacto, velocidad de materialización, probabilidad y
Vulnerabilidad efectividad en la administración de riesgo cuál es la vulnerabilidad a este
riesgo por parte de la Compañía ?
– Nivel de Exposición
– Magnitud e incidencia a eventos de riesgo
Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos71 71

Cómo se mide el Riesgo –
Ejemplo Criterios de Calificación
IMPACTO - Las consecuencias potenciales negativas del evento de riesgo, sin tener en cuenta lo
que se pueda hacer para disminuir este evento. El impacto puede ser expresado en áreas
financieras y no financieras como reputación, legal / regulatorio, clientes, empleados u
operaciones.
Qué tan severo sería el impacto de este evento de riesgo?
• Entre $16.000 y $26.000
• La ocurrencia del riesgo tendría un impacto de escala mayor nacional e internacional en la
imagen de la Compañía
• La ocurrencia generaría acciones legales o sanciones de forma inminente; podrían
Alto
presentarse demandas por terceros (empleados, proveedores, clientes).
• La ocurrencia del riesgo afecta en forma significativa el cumplimiento del objetivo de
diversificar los ingresos
• Afectaría la operación de la empresa más de tres dias
• Entre $6.000 y $16.000
• La ocurrencia del riesgo generaría cubrimiento de prensa local, habría impacto pasajero en
la imagen
• Podrían presentarse solicitudes de Organismos de Control del Estado o terceros, pero la
Medio probabilidad de demandas o acciones legales no es relevante
• La ocurrencia del riesgo puede dificultar el logro de metas de ingreso de algunas Unidades
de Negocio, dificulta el cumplimiento de la meta de diversificación a otros ingresos (15%
del total de ingresos) pero aún así podría lograrse la meta.
• Afectaría la operación de la empresa entre medio y tres dias
• <$6.000
• No habría impacto en reputación o marca
• La ocurrencia del riesgo no generaría demandas o acciones legales del Estado o terceros
Bajo • La ocurrencia del riesgo tendría muy poco o ningún impacto en el logro de metas de
ingreso de la Unidad de Negocio o en la Compañía. El impacto sobre la meta de
diversificación de ingresos es mínimo.
• Afectaría la operación de la empresa menos de medio día
PROBABILIDAD – Qué tan probable es que el evento de riesgo ocurra dado
un periodo de tiempo?
• Es probable que el evento de riesgo suceda en el próximo año

Alto
• El evento ha sucedido varias veces en el ultimo año
• El evento de riesgo puede ocurrir en los próximos tres años pero solo en
Medio ciertas condiciones.
• El evento ha sucedido en los últimos 5 años
• Es poco probable que el evento de riesgo suceda en los próximos 3 años

Bajo
• El evento no ha ocurrido en los últimos 5 años.

Gestión de Riesgos
EFECTIVIDAD EN LA ADMINISTRACIÓN DE RIESGO – La existencia y efectividad de todos
los mecanismos / estrategias con las que actualmente cuenta la compañía para responder a
este riesgo, incluyendo gente / habilidades/ conocimiento, capacidad de terceros, capacidad de
los procesos, sistemas / TI / capacidad de datos y controles / mitigación / monitoreo / pruebas /
Reportes de efectividad.
Qué tan efectivos son los procesos de administración y las técnicas de mitigación de
riesgos?
Los mecanismos y estrategias para administrar los riesgos existen y son

Fuerte
efectivas en todas las áreas. (ej. Los mecanismos y estrategias existen, son
aplicadas constantemente, monitoreadas y son parte integral de la
operación).
Los mecanismos y estrategias para administrar los riesgos existen, pero

Medio necesitan ser mejoradas. (ej. Los mecanismos y estrategias existen,
necesitan ser actualizadas y mejoradas; falta de monitoreo rutinario).
No existen mecanismos y estrategias para administrar los riesgos o son

Débil inefectivas. (ej. Los mecanismos y estrategias existen pueden existir pero no
funcionan o no son monitoreadas).

VULNERABILIDAD – Considerando su evaluación de impacto, velocidad de
materialización, probabilidad y efectividad de administración de riesgo, Cuál
es la vulnerabilidad de la Compañía al riesgo?
No existe una estructura de control o los controles no están funcionando; el costo se
encuentra entre $16.000 y $26.000 u otras situaciones de materialización con impacto
Alto ALTO según los criterios de ingresos, margen, operacional, penetración de mercado;
transacciones: el riesgo afecta un número ALTO de transacciones, de procesos o de
Unidades de Negocio.
Existen controles detectivos que ayudan a minimizar las pérdidas ocasionadas por el
riesgo, pero no hay una estructura adecuada para prevenirlo; costo entre $6.000 y
Medio $16.000 u otras situaciones de materialización con impacto MEDIO según los criterios de
ingresos, margen, operacional, penetración de mercado; transacciones: el riesgo afecta
una cantidad MEDIA de transacciones, de procesos o de Unidades de Negocio.
Los controles son apropiados para prevenir y detectar la ocurrencia del riesgo; costos
<$6.000 u otras situaciones de materialización con impacto BAJO según los criterios de
Bajo ingresos, margen, operacional, penetración de mercado; transacciones: el riesgo afecta
una cantidad BAJA de transacciones, de procesos o de Unidades de Negocio.

Valorando: Mapa de Riesgos
10
alto
9
8 Cuadrante II Cuadrante I
(Identificar y Monitorear) (Prevenir en la fuente)
7
6
I m p a c t o
5
4
Cuadrante IV Cuadrante III
3 (Bajo Control) (Monitorear)
2
bajo1
baja alta
1 2 3 4 5
ProbabIlIdad
Valorando (Eje): Compras
Acceso de Concentración
proveedores al sistema Funciones Director de
de información Compras
Errores en II Cambio de claves para

ingresar al sistema
I
Excesos o faltantes de
inventarios y
IMPORTANCIA
preparación de
declaraciones de suministros
impuestos
Subutilización del
sistema de
Información información
desempeño del
proceso
IV
Depurar base de datos
proveedores
Registro de
proveedores
Manuales de
funciones III
PROBABILIDAD
Evaluar el impacto y la probabilidad
Guía Básica
Alto Aseguramiento de la preparación Aumentar la mitigación de riesgo

• Auditoría / inspección / pruebas a las • Confirmar elmanagement
• Confirm compromiso ownership
de las directivas
and y
medidas de mitigación de riesgos la rendición de cuentasfor
accountability para la resolución
resolution
existentes. • Plan de auditoría, hitos de progreso y
• Confirmar la finalización de los planes de •efectividad
Audit timetable, progress milestones, and
mitigación de riesgos. • Validar que los planes de acción correctiva
effectiveness
• Probar el cumplimiento de los controles de hayan sido implementados
riesgos y el proceso de monitoreo •• Validates
Evaluar elcorrective
proceso de monitoreo
actions continuo de
are implemented
continuo. riesgo
Impacto
• Assess ongoing risk monitoring process
Re-ubicar recursos Medida de impacto acumulativo
• La administración revisa la eficiencia de • Determinar daños o consecuencias ocultas

las medidas de mitigación de riesgos . • Evaluar la frecuencia de ocurrencia y los
• Menor prioridad en la atención de auditoría impactos agregados
• Apoyo a la administración para racionalizar • Foco en monitorear las señales claves de
hacia medidas más eficientes de control problemas y análisis de tendencias.
Bajo
Baja Probabilidad Alta

Priorización de riesgos
Categoría de Riesgos
ID
Claves
Mapear los riesgos de acuerdo con los factores de A Estrategia internacional
riesgo para visualizar la priorización de los riesgos B Acciones competitivas
empresariales claves. C Demanda del consumidor
D Riesgo País
A E
Desarrollo de nuevos
productos
E B F Recuperación de desastres
C G Cadena de abastecimiento
G F
Impacto en valor
A H Seguridad de la información
J I Impuestos
Cambios legales y/o
J
regulatorios
D
I Días o semanas
H Meses
B A
Años
Vulnerabilidad
Cómo se reporta el Riesgo –
Ejemplo
Según el nivel de riesgo a quien se reporta y que medidas se deben tomar
• Informar a Presidencia y Directorio

Alto • Acción inmediata requerida
• Requiere reporte a Directorio sobre efectividad de los planes de mitigación
• Informar a Presidencia y Vicepresidente o Gerente relacionado
Medio • Gestión de mitigación y monitoreo permanente
• Requiere reporte a Presidencia
• Aceptar, pero vigilar los riesgos

Bajo
• Gestión de los procedimientos de rutina dentro del programa y sitio

Mapa de riesgos

Objetivos de Control
¿Qué quiero asegurar /controlar en el proceso

Identificar
Objetivos para cumplir con los objetivos y metas del
de Control proceso y la Organización?
Objetivos de control – Control =

Exposición
Oc - C = E
Control/
Entender Exposición
Administración
Objetivos Aceptable
de Riesgos
Identificar
Riesgos
Control
Deloitte & ToucheInterno y Administración
S.R.L. – Jorge A. Hernandez O. de Riesgos 82
Gestión de Riesgos 82
Identificación de objetivos de control – Ejemplos
Objetivos para el ambiente de control

• que la administración demuestre carácter, integridad, y valores éticos
• que la compañía esté comprometida con la competencia
• que el comité de auditoría y/o la Directorio participe activamente y tenga influencia
importante en el control interno de la compañía
Objetivos para información y comunicación

• que la información financiera y los sistemas de información aplicativos que le son
relacionados sean confiables
• que la información apropiada y necesaria sea obtenida de, y entregada a, la
administración
• que la información sea obtenida de y difundida a la gente apropiada y en forma oportuna
Objetivos para el monitoreo

• que el alcance, las responsabilidades y los planes de la auditoría interna sean apropiados
para la compañía
• que la auditoría interna se adhiera a estándares profesionales, tales como los emitidos
por The Institute of Internal Auditors
• que la entidad de respuesta a las recomendaciones de auditorías internas y externas
Control
S.R.L. – Jorge A. Hernandez O. de Riesgos Gestión de Riesgos 83
Mapa de Riesgo / Control
May be
Under-Controlled Appropriate Level
of Control
High
Assess Process
Performance
Level of and control
Risk Gaps
Low
Low High
Appropriate Level May be
of Control Over-Controlled
Control Effectiveness
Control
Ejemplo de actividades de control
• Autorización de una transacción.

• Tree way match.
• Revisión de listado de ordenes de compra pendientes.
• Prueba de cambios a programas antes de pasar a producción.
Control
 ¿Cómo controlar el proceso?

 ¿Qué tengo que hacer para asegurar el cumplimiento de
los objetivos de control?
Identificar
actividades Políticas y procedimientos que ayudan a asegurar que se están
de control llevando a cabo las directivas administrativas necesarias para
apoyar el cumplimiento de los objetivos de control.
Naturaleza
• Revisiones de Alto Nivel
• Preventivos • Procesamiento de
• Detectivos información
• Controles Físicos
Tipo • Indicadores de desempeño
• Manuales • Segregación de funciones
• Automáticos • Políticas y Procedimientos
• Acceso al sistema
Relevancia
• Clave • Listas de chequeo
• Suplementar • Otros
ios
Procesos
Controles
Manual manuales
Tipo de control
Tecnología
Controles Informática
manuales
basados en TI
Automático Controles de
aplicación
Previene Detecta
Soportan el
funcionamiento
continuo de controles
Errores en los Estados Financieros automáticos
Objetivo de control
Control
Integrated control environment.
Sistemas de información y control interno
e. g. HR process
- Salary Expense - Payroll Related
- Wages Expense Accruals
- Payroll Related - Payroll Related
Affected accounts Expenses Provisions
Impact
Hire Record Calculate Disburse

Personnel Employee Payroll
Maintain Payroll
Time
Processes Payroll
Master
File
control environment
Terminate
Personnel
General
ledger
Controles
Impact
automáticos
Payroll Application System
Hiring
Pers onnel Maintaining
Payroll
Master File
Application and
database layer
Terminating
Personnel
Recording
Time
Calculating
Payroll
Database
Disbursing
General
Payroll
Ledger
Controles Impact
generales de TI
Host/Servers
Infrasturcture
layer
Networks
Tipología de controles
CLAVE
Cubre de manera suficiente el

objetivo de control
Control
Tipología de controles
Información
para toma de
decisiones
Supervisión
Controles generales
Controles de riesgo específico

Controles del Controles de la información y su
negocio procesamiento
Realidad Información acerca de la realidad

Informació
Procesos y Estados
Datos del n contable
decisiones de contables y
negocio y de
negocio de gestión
gestión
Control
Controles específicos
• Obtener las aprobaciones

establecidas.
• Establecer controles sobre

transacciones/ documentos
• Comparar y verificar documentos

internos y externos
• Verificar el ingreso de datos y los

resultados del procesamiento
• Establecer totales de control para

asegurar procesamiento y transmisión
de datos
• Recalcular cómputos / re-ejecutar

procesamientos
• Informar y resolver excepciones.
Control
S.R.L. – Jorge A. Hernandez O. de Riesgos • Realizar conciliaciones. Gestión de Riesgos 91
Controles generales
• Comunicar los objetivos de control.
• Establecer la autoridad y asignar

tareas:
• Establecer autoridad y límites.
• Asignar tareas claves a
personas calificadas.
• Segregar responsabilidades incompatibles y

restringir accesos
• Políticas, manuales, procedimiento, etc.
• Crear salvaguardas físicas.
• Administrar los desarrollos y

modificaciones de los procesos /
sistemas informáticos.
Control
Controles de supervisión
• Obtener evidencia directa de la

operatividad de los controles:
• Observar, reprocesar o revisar

controles
• Revisar conciliaciones y la
disposición de partidas conciliatorias
• Revisar informes de excepciones y la

disposición de las excepciones
• Revisar las verificaciones

independientes y sus diferencias
(P.e. Informes de auditoría)
• Revisión de indicadores
• Probar los resultados de los controles

específicos (P.e. probar muestras de
transacciones, revisión analítica de
Control
S.R.L. – Jorge A. Hernandez O. de Riesgos resultados de procesos). Gestión de Riesgos 93
Pruebas de controles
Objetivo Riesgo Control

Prueba del control
Diseño
Recorrido /
Implementación
Operatividad
Control
Evaluación de los controles
Definir Transacciones se realizan de acuerdo

objetivo de con autorización de la administración
control
Definir cuenta Inversiones
específica
Documentar
los procesos
Identificar Inversiones no ajustadas a

riesgos y políticas de inversión
controles Niveles de aprobación para
Documentar realizar transacciones
controles
Evaluar la Políticas, niveles y personal
Documentació efectividad que autoriza es adecuado
n y Evaluación del diseño*
Evaluación
de las
eficiencias y
reporte
Validar la Revisión de transacciones
eficacia para verificar
operacional cumplimiento
Validación Evaluación de
las
deficiencias y
reporte
Control
Evaluación de los controles
Definir Transacciones se realizan de acuerdo

objetivo de con autorización de la administración
control
Definir cuenta Inversiones
específica
Documentar
los procesos
Identificar Transacciones no
riesgos y autorizadas
controles Controles de acceso
Documenta mediante uso de perfiles
r controles
Evaluar la Perfiles son adecuados a
Documentació efectividad funciones y cargo
n y Evaluación del diseño*
Evaluación
de las
eficiencias y
reporte
Validar la
eficacia Revisión de Perfiles
operacional
Validación Evaluación de
las
deficiencias y
reporte
Control
Preguntas / Comentarios .
Jorge Alfredo Hernández
jorgehernandez@deloitte.com
@JAHernandezO

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by
guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member
firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not
provide services to clients. Please see www.deloitte.com/about for a more detailed description of DTTL and its
member firms.
This communication is for internal distribution and use only among personnel of Deloitte Touche Tohmatsu
Limited, its member firms, and their related entities (collectively, the “Deloitte network”). None of the Deloitte
network shall be responsible for any loss whatsoever sustained by any person who relies on this
communication.
© 2017. For information, contact Deloitte Touche Tohmatsu Limited

Gestion de Riesgos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion de Riesgos

Cargado por

Copyright:

Formatos disponibles

Gestión del Riesgo

¿Qué esperamos de esta sesión?

© Deloitte Touche Tohmatsu 2009 All rights reserved.

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 3

1970 1980 1990 2000 2010

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 5

• Primer estándar en temas de control

• Identifica los Objetivos del Negocio

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 6

• Enterprise Risk Management-

• Aclara importancia de gestión de

• Riesgo influye y están alineados a la reporte

estrategia y el desempeño en todas

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 7

• Control Objectives for Information

• ISACA: Information Systems Audit

• Misión CobiT: Investigar, desarrollar,

• CobiT hoy en día es un marco de

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 8

• Basel Committe on Banking

• Framework for Internal Control

• Basel II: International Convergence of

• Basel III: Medidas acordadas

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 9

• Institute of Internal Auditors

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 10

• Sarbanes Oxley Act (2002)

• PCAOB Auditing Standard 2 (2004)

• SEC Guidance regarding

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 11

diseñado para proporcionar seguridad razonable en el cumplimiento

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 12

Operacionales De reporte De cumplimiento

• Enfocados en el uso • Guardar • Reflejar el

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 14 14

Operacionales Reportes (Informes) Cumplimiento

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 15

OBJETIVOS – Lo que quiere alcanzar la entidad

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 16

COSO identifica cinco

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 17

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 18

Ambiente de Valoración del Actividades de Información y Actividades de

1. Demuestra 6. Especifica 10. Selecciona y 13. Usa información 16. Conduce

La Evaluación de Riegos incluye todas las COMPONENTES

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 20

• Pérdidas inmensas y repentinas

• Incertidumbre y difícil predictibilidad

• Velocidad del cambio

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 21

Deficiente coordinación por:

Interconnected and interdependent Ahora

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 23

Las fuentes tradicionales...

Patrimonio Utilidad Neta

…deben ser reconocidas, protegidas y aprovechadas

Riesgo del negocio:

“Los riesgos de negocio surgen tanto

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 26

Proceso dinámico e interactivo para

Es una ponderación que determina cuánto

Es el nivel aceptable de variación en

Deloitte & Touche S.R.L. – Jorge A. Hernandez O. Gestión de Riesgos 27

Desarrollo de nuevos productos