Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Generalidades
Sesión 8: Información, comunicación y reporte
Septiembre de 2021
1
Contenido
4. Conclusiones y cierre
2
Información, comunicación y
reporte
Los avances en la tecnología y los negocios han dado como resultado un
crecimiento exponencial en volumen y atención en los datos. Hoy en día,
las organizaciones se enfrentan al reto de la enorme cantidad de datos y la
velocidad a la que debe procesarse, organizarse y almacenarse. Con tantos
datos disponibles, las organizaciones pueden sentirse abrumadas por la
"sobrecarga de información". En este entorno, es importante que las
organizaciones proporcionen la información correcta, en la forma
correcta, con el nivel de detalle adecuado, a las personas adecuadas,
en el momento adecuado.
Principios
18.Aprovecha los sistemas de información y la tecnología
19.Comunicar información de los riesgos.
20.Informes de Riesgo, Cultura y Desempeño.
5
5
Principio 18: Aprovecha los sistemas de información y la
tecnología
La organización utiliza los sistemas de información y tecnología de la entidad
para lograr la gestión del riesgo empresarial
b) Información evolutiva.
c) Fuentes de datos.
f) Requerimientos cambiantes.
6
Principio 18: Aprovecha los sistemas de información y la
tecnología
Información relevante
• Información que ayuda a las organizaciones a ser más ágiles en su toma de decisiones,
brindándole una ventaja competitiva.
• Las organizaciones usan información para anticipar situaciones que le puedan impedir o
dificultar alcanzar la estrategia y los objetivos de negocio.
• La idea no es crear sistemas de información separados ni flujos separados para la gestión los
riesgos empresariales.
7
Principio 18: Aprovecha los sistemas de información y la
tecnología
La información en una estructura piramidal
Información con
Conocimiento
significado
Datos con
Información contenido o
Valor
contexto
Datos Hechos,
observaciones
8
Principio 18: Aprovecha los sistemas de información y la
tecnología
¿Qué características debe tener la información relevante?
9
Principio 18: Aprovecha los sistemas de información y la
tecnología
Información relevante
Retenida
Accesible Protegida
Actualizada
Correcta
10
Principio 18: Aprovecha los sistemas de información y la
tecnología
Información relevante
Suficiente Verificable
Válida
Oportuna
11
Principio 18: Aprovecha los sistemas de información y la
tecnología
Disponer de información relevante para apoyar ERM.
12
Principio 18: Aprovecha los sistemas de información y la
tecnología
Información en evolución.
Data
estructura-
da
Información
que ayuda a la
organizaciones
a tomar
mejores
decisiones
13
Principio 18: Aprovecha los sistemas de información y la
tecnología
Información en evolución.
La tecnología semántica genera conciencia de la situación dentro y a lo largo de su organización.
Empleados
Su
Clientes Proveedores
organización
Competidores
Opinión
Temas
Stock Markets Patents Banking
Blockchain Telecom …
14
Principio 18: Aprovecha los sistemas de información y la
tecnología
¿Qué tipo de datos proporcionan estas fuentes?
No
Fuentes Ejemplos de datos Estructurados
estructurados
Reuniones de junta y Actas y notas sobre potenciales transacciones
gerencia.
Encuestas de satisfacción Retroalimentación de clientes prioritarios sobre su
de clientes interacción con los empleados
Correo electrónico Información relacionada con toma de decisiones y
desempeño de la entidad
Reportes y estudios Cambios de población en mercados emergentes
geopolíticos producidos por
el gobierno
Reportes del fabricante Interés emergente en productos enviados desde un
fabricante de la competencia.
Metadata Detalle sobre el contenido de un archivo de video
incluyendo detalles técnicos y descripción de
escenas en texto
Social media and blogs Retroalimentación y conteo de comentarios
negativos y positivos sobre un producto de la
compañía.
15
Principio 18: Aprovecha los sistemas de información y la
tecnología
Fuentes de datos
No
Fuentes Ejemplos de datos Estructurados
estructurados
Reuniones de junta y Actas y notas sobre potenciales transacciones
gerencia.
Encuestas de satisfacción Retroalimentación de clientes prioritarios sobre su
de clientes interacción con los empleados
Correo electrónico Información relacionada con toma de decisiones y
desempeño de la entidad
Reportes y estudios Cambios de población en mercados emergentes
geopolíticos producidos por
el gobierno
Reportes del fabricante Interés emergente en productos enviados desde un
fabricante de la competencia.
Metadata Detalle sobre el contenido de un archivo de video
incluyendo detalles técnicos y descripción de
escenas en texto
Social media and blogs Retroalimentación y conteo de comentarios
negativos y positivos sobre un producto de la
compañía.
16
Principio 18: Aprovecha los sistemas de información y la
tecnología
Administración de los datos.
Procesos y controles
17
Principio 18: Aprovecha los sistemas de información y la
tecnología
Usando tecnología para soportar la información.
18
Principio 18: Aprovecha los sistemas de información y la
tecnología
Requerimientos cambiantes.
Cambios en el
Adaptar Adaptar Adaptar
contexto del
objetivos estrategia tecnología
negocio
19
¿Qué es Analytics?
Nuestra visión amplia de Analytics.
Algoritmos optimizados
“FUTURO”
FUTURO
Entender las señales para modelar el Predictivo y Simulación y modelaje
futuro Prescriptivo
Análisis cuantitativos
Alertas y excepciones
20
¿Qué es Analytics?
Nuestra visión amplia de Analytics.
Hoy en día el mercado brinda soluciones con análisis avanzados de aprendizaje automático, para explorar el horizonte en busca de riesgos
emergentes y proporcionar conocimientos procesables que ayuden a las compañías a gestionar las interrupciones y aprovechar las oportunidades.
Análisis de Sentimentalidad
El análisis de sentimentalidad detecta patrones
de riesgo y da forma a la identificación de
riesgos emergentes
Análisis de Texto no
estructurado
Descubre temas abstractos y temas comunes
discutidos dentro de las narraciones de texto.
Aprendizaje automático
supervisado
Aprovechamiento de especialistas de la
industria
aprendizaje automático para la detección de
señales de riesgo débiles que podrían tener un
Tema, entidad, extracción de alto impacto
ubicación
Extracción utilizando procesamiento de lenguaje Perspectivas de riesgo de
natural y modelos estadísticos de aprendizaje escaneo del horizonte
automático. perspectivas impulsadas por especialistas en
la material y cientificos de datos.
21
Metodología para el Monitoreo Continuo(CM)
Categorización Adición de Aplicación de Monitoreo
del Riesgo Información Analíticas Continuo
Desarrollar flujos de procesos Identificar los sistemas fuente y
Afinar las reglas de manera Alineación de los procesos,
desde de los sistemas fuente a el flujo de datos desde el origen
iterativa la gente y tecnologías
los reportes a informe
Actividades Clave
Extracción de datos y
Desarrollar modelos de Aplicar reglas y modelos
Identificar procesos y controles comprobación de integridad de
analíticas para determinar analíticos para el monitoreo
para gestionar los riesgos datos mediante ETLs y
anomalías continuo de transacciones
consultas de prueba
Determinar pruebas analíticas Análisis de brechas entre Determinar la causa raíz para Identificar y resolver
alineadas a los controles y las informes y consultas de prueba identificar los problemas problemas de procesos y
reglas del negocio y normalización de datos. gestión de cambios
Source Systems
Report Name: Blue Sheet 1. System Name: Description
2. System Name: Description
3. System Name: Description
4. System Name: Description
System / People Inputs
required
for Report Format
Conjunto de reglas de
C2 C3: Reconciliation of data to stock ledger is required
Trade
Stock Ledger Management
C4: Review is performed prior to submission to regulators
System
C5: Acknowledgement of submission is received
C3
ETL
*Include understanding as to who owns process and how
performed / documented
Report Submission
23
Principio 19: Comunicar Información sobre Riesgos
La organización utiliza canales de comunicación como soporte a la gestión del
riesgo empresarial
c) Métodos de comunicación.
24
Principio 19: Comunicar Información sobre Riesgos
¿Cuáles son las partes interesadas en una organización?
25
Principio 19: Comunicar Información sobre Riesgos
¿Que comunica a sus partes interesadas?
Importancia, relevancia y valor de la gestión
empresarial de riesgos
Estrategia
Objetivos estratégicos
Colaboradores
Proveedores
Objetivos estratégicos
Objetivos comerciales
Accionistas
Sociedad Competencia Apetito y tolerancia
Identificar y priorizar los proyectos de inversión
para establecer el presupuesto de capital
Expectativas de la Gerencia
Mercado de
Valores
Medios Riesgo empresarial
Gestión del desempeño
Auditores
Expectativas de la Organización
Asuntos relacionados con debilidad, deterioro o
falta de cumplimiento
26
Principio 19: Comunicar Información sobre Riesgos
Comunicación con grupos de interés.
Enfoque para el análisis de grupos de interés
Desarrollarlo a nivel
Actividades realizadas de procesos
27
Principio 19: Comunicar Información sobre Riesgos
Comunicación con las partes interesadas.
Algunos ejemplos de atributos para el mapeo de las partes interesadas
28
Principio 19: Comunicar Información sobre Riesgos
Gestión de partes interesadas - ejemplo
Las audiencias de
“Direccionar las Mantenerse Informado Involucrar según sea necesario
Preocupaciones” y
“Mantenerse Informado” • No son muy influyentes ni están impactadas • Tienen una influencia significativa sobre la
necesitan menos por el riesgo pero tienen participación en su gestión del riesgo y tienen el potencial de
comunicaciones, pero gestión. ayudar o afectar la gestión.
• Actividades mínimas de comunicación se
estas deben ser claras e requieren. Las comunicaciones masivas
• Es particularmente importante anticipar las
informativas y objeciones y reacciones adversas a las
usualmente son eficientes y el principal decisiones de gestión.
proporcionarse de manera objetivo es mantenerlos informados para • El objetivo de las Comunicaciones debería ser
oportuna y programada. evitar problemas o entendimientos enfocado en mantener y aumentar su apoyo.
incorrectos.
Bajo Alto
Grado de Influencia en la Gestión de Riesgo 29
Principio 19: Comunicar Información sobre Riesgos
Comunicación con la Junta
La administración proporciona cualquier información que ayude a la junta a cumplir con sus responsabilidades de
supervisión con respecto al riesgo: Relación con la Estrategia
Abordar el riesgo según
lo determinado por la
Información pertinente estrategia de la entidad y Información vs responsabilidades
los objetivos de negocio.
Presentar información Proveer información que
actualizada y con la esté alineada con el Rol y
frecuencia requerida en responsabilidades de la
concordancia con la Junta
evolución y severidad de los
riesgos
Apetito de Riesgo
Reportes que presenten el
perfil de riesgo de la
Pasado, presente y futuro entidad frente al apetito de
Presentar información que riesgo definido
muestre información
histórica de exposición a Desviaciones
riesgos así como tendencias
Reportes que presenten
a futuro y sus explicaciones.
indicadores cerca o en exceso de 30
los límites tolerables, así como
planes para su normalización
Principio 19: Comunicar Información sobre Riesgos
Prácticas y tendencias del Comité de Riesgos
31
Principio 19: Comunicar Información sobre Riesgos
Métodos de comunicación
Proceso de la Comunicación
Programación
Identificación Análisis de Definición de
Definición de de Medición de
y Análisis de Medios Mensajes
Estrategia Actividades y la Efectividad
Audiencias Actuales Claves
Eventos
• Reuniones a nivel de • Promueve la • Gestiona tareas y comunica • Permite establecer • Puede agilizar el
grupo permiten un interactividad y se procesos relaciones personales y traspaso de
contacto personal gestiona en tiempo real • Permite que quede un registro afianzar las existentes información entre
• Es un canal que suele compañeros y equipos
aglutinar muchos otros de trabajo
33
Principio 19: Comunicar Información sobre Riesgos
Preguntas claves
b)Tipos de reportes.
d) Reportar la cultura.
e)Indicadores claves.
36
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Identificación de usuarios de reportes y sus roles
• Vigilancia de riesgos • Establecer las políticas de ERM • Vigilar la infraestructura de la • Proveer liderazgo y dirección
• Vigilancia del Sistema de • Integrar ERM con el resto del administración de riesgos en la definición de objetivos a
Control Interno planeamiento de la empresa • Vigilar la exposición al riesgo nivel de la entidad
• Definir expectativas sobre • Establecer un lenguaje común • Asesora a la Junta sobre • Mantener supervisión y
integridad, valores éticos, de ERM, el cual incluye medición estrategia frente al riesgo control sobre los riesgos que
transparencia y responsabilidad • Reportar al Comité de Riesgos enfrenta la entidad
• Establecimiento de líneas de • Liderar el desarrollo de
comunicación separadas de la actividades de control a nivel
gerencia (P.e. líneas de de entidad
denuncia) • Comunicar expectativas y
• Declaración del apetito al requerimientos de información
riesgo
37
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Identificación de usuarios de reportes y sus roles
Vista de actores desde las líneas de defensa
Línea de Rol Descripción
Comité de Riesgos de la Junta Defensa
Primera • Unidades de Gestión diaria y
Linea de Negocio control de riesgos:
Defensa Responsables directos
Vista de “Arriba a abajo”
por la administración y
Agregación e Integración control de riesgos
• Delegación de Autoridad • Agregar y transformar los datos de
• Establecer el tono riesgo en información comercial
Segunda • Comité de Políticas de riesgos,
• Revisar, aprobar y supervisar • Reportar exposicion al de riesgo,
brechas significativas, problemas Línea de Riesgos de la metodología y
funcionales cruzados. Defensa Junta supervisión:
Auditoría Interna
Áreas Funcionales
38
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Tipos de reporte
Integración parcial (Vista perfil de
Inventario de riesgos riesgos)
(Integración Limitada) Se enfoca en los objetivos de negocios y
Utiliza el inventario de riesgos y los riesgos que se alinean con esos
los organiza mediante objetivos (por ejemplo, todos los
categorías. Las categorías de objetivos potencialmente impactados por
riesgo a menudo reflejan la los riesgos relacionados con el
estructura operativa de la cumplimiento). Además, se identifican y
entidad e informan sobre los se consideran las dependencias que
roles y responsabilidades. pueden existir entre los objetivos del
negocio.
Perfil de riesgo
Muestra la severidad de los Integración total (Vista de
riesgos, pero se enfoca en portafolio)
niveles dentro de la entidad. El enfoque se desplaza a la
Por ejemplo perfil de riesgo estrategia general de la entidad y
por proceso los objetivos de negocio permite
identificar, evaluar, responder y
revisar riesgos en los niveles
apropiados para la toma de
decisiones.
39
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Tipos de reporte
Seguimiento a gestión de
Riesgos Análisis de riesgos
Control de efectividad
emergentes
# de controles
40 Muestran un resumen de
planes de acción e iniciativas Provee una mirada hacia
20
para mantener el proceso de adelante en el tiempo para
gestión de riesgos, buscar anticipar cambios en el
0
incluyendo resultados de entorno que impacten el
A B C D E AVG
monitoreo y brechas inventario de riesgos, recursos
Effectivo Parcialmente Efectiv o No Efectivo identificadas requeridos o el desempeño de
la entidad
40
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Ejemplos de Reporte: Tableros de Riesgo
Principales
Riesgos y
Calificaciones Métrica
C A - TBD 4%
3
A 3% 3%
B % Cartera
0% 2.5%
vencida
2
Riesgos que Responde a:
12/31/11 3/31/12 6/30/12 9/30/12
5
1 Otros Riesgos Identificados 5
# De quejas de 3
0
1 2 3 4 5 clientes. 2
PROBABILIDAD 12/31/11 3/31/12 6/30/12 9/30/12
B - TBD
Logros Recientes 750
600 700
# Pedidos 500
• TBD
entregados a 0
tiempo 12/31/11 3/31/12 6/30/12 9/30/12
# De
54 53
cotizaciones 52
0 50
colocadas en el
12/31/11 3/31/12 6/30/12 9/30/12
mes
C- TBD
Retos 30
# De 25
cotizaciones 0 20
Reto Apoyo Requerido 17
rechazadas
12/31/11 3/31/12 6/30/12 9/30/12
TBD TBD
41
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Indicadores Clave
b) Son métricas utilizadas por las organizaciones para proporcionar alertas tempranas sobre la exposición al riesgo.
c) Indicadores que realizan la medición de eventos clave en la organización para la identificación de necesidades de
recursos.
42
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Indicadores Clave
KRI
Los indicadores clave de riesgo son métricas utilizadas por las organizaciones para proporcionar
alertas tempranas sobre la exposición al riesgo.
KPI KRI
• Proporcionan una visión general y de alto nivel sobre el • Proporcionan información temprana sobre riesgos
desempeño y funcionamiento de la organización y sus emergentes, internos o externos.
unidades (áreas).
• Se basan en el análisis de tendencias que puedan afectar
• Se centran en el comportamiento histórico de la compañía, el logro de objetivos.
por lo cual no corresponde a un indicador de alerta
• Son importantes debido a que permite que las compañías se
temprana de riesgos.
anticipen a la materialización de los riesgos y puedan
• Son importantes para el éxito de la gestión de las tomar acciones al respecto.
organizaciones, debido a que permiten identificar aspectos de
• Ejemplo: Análisis de cartera vencida en ciertas industrias que
bajo rendimiento o aquellos en los que las compañías
muestran tendencias negativas.
requieran aumento de recursos.
• Análisis de resultados financieros de los 25 clientes más
• Ejemplo: Ventas de nuevos productos a clientes habituales,
importantes.
realizadas en el último año.
43
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Desarrollo de KRIs Clave
Objetivo
• Identificar indicadores pertinentes que proporcionen
información útil sobre los riesgos potenciales que
pueden tener impacto en el logro de objetivos de la
Organización.
Diseño de KRIs
1. Tener una sólida comprensión de los objetivos y
estrategias organizacionales.
2. Identificar los eventos de riesgo que podrían afectar la
consecución de los objetivos.
• Varios riesgos potenciales pueden tener impacto
en uno o más objetivos y/o estrategias.
3. Diseñar e implementar indicadores clave por cada
riesgo con el fin de monitorear el cumplimiento de los
objetivos y/o estrategias y para anticipar la presencia
y/o materialización de tales riesgos.
Analizar un evento de Identificar las relaciones causa inmediata y de raíz que llevaron a la materialización del riesgo
riesgo o a la pérdida de la oportunidad
Datos disponibles que están siendo utilizados para la medición del KRI, ya sea que la fuente sea
Calidad de Datos
interno o externa.
45
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Claves para un efectivo diseño de KRI’s
Los requerimientos de
Porcentaje de nuevos empleados que
capacitación no son prioritarios
completan el entrenamiento.
para el personal.
46
Taller – Diseñando KRI’s
Respuesta Sugerida:
Gestion de cobro de cartera • Información inoportuna de clientes • Días promedio de incumplimiento al
que entran en incumplimiento procedimiento para inicio de gestión
Incapacidad para mantener
adecuados niveles de liquidez y • Insuficiente gestión de cobro de cobro
capital de trabajo, debido a sobre clientes en incumplimiento • Número de clientes gestionados /
inadecuada gestión de Número total de clientes en mora
• Acuerdos de pago con clientes que
recuperación de cartera no son efectivos • Acuerdos de pago incumplidos / Total
• Imposibilidad de recuperación de acuerdos de pago alcanzados con
cartera por fallas en clientes
procedimientos o documentos • Clientes castigados por fallas en
legales (garantías) procedimientos documentos legales /
Total de clientes en incumplimiento
47
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Claves para un efectivo diseño de KRI’s
48
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
Ejemplo de KRI’s
Descripción: Porcentaje de acuerdos de pago que son incumplidos por clientes que entraron en mora
Fórmula: Acuerdos de pago incumplidos / Total acuerdos de pago alcanzados con clientes
Unidad de Medición: %
Tendencia: Negativa (valores superiores al 10% indican una alarma para el riesgo)
49
04 Conclusiones
50 50
Conclusiones y Plan de Acción
COSO ERM 2017 es una oportunidad para fortalecer el impacto y el nivel de influencia de la Gestión
de Riesgos en la Organización
51
Nota: Deloitte se refiere a una o más de las firmas miembros de Deloitte Touche Tohmatsu Limited, una compañía privada del Reino Unido limitada por garantía, y su red de firmas miembros, cada una como una
entidad única e independiente y legalmente separada. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembros puede verse en el sitio web
www.deloitte.com/about.
Deloitte presta servicios de auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembros en más de 150 países,
Deloitte brinda sus capacidades de clase mundial y su profunda experiencia local para ayudar a sus clientes a tener éxito donde sea que operen. Los 200.000 profesionales de Deloitte se han comprometido a
convertirse en estándar de excelencia.