COSO ERM - Sexta Sesión Información y Comunicación para APolar Sin Imagenes

COSO ERM 2017 y la generación de valor
Generalidades
Sesión 8: Información, comunicación y reporte
Septiembre de 2021
1
Contenido
1. Principio 18: Aprovecha los sistemas de información y la tecnología
2. Principio 19: Comunicar información de los riesgos
3. Principio 20: Informes de Riesgo, Cultura y Desempeño
4. Conclusiones y cierre
2
Información, comunicación y
reporte
Los avances en la tecnología y los negocios han dado como resultado un
crecimiento exponencial en volumen y atención en los datos. Hoy en día,
las organizaciones se enfrentan al reto de la enorme cantidad de datos y la
velocidad a la que debe procesarse, organizarse y almacenarse. Con tantos
datos disponibles, las organizaciones pueden sentirse abrumadas por la
"sobrecarga de información". En este entorno, es importante que las
organizaciones proporcionen la información correcta, en la forma
correcta, con el nivel de detalle adecuado, a las personas adecuadas,
en el momento adecuado.
Las organizaciones transforman los datos en información sobre partes

interesadas, productos, mercados y acciones de la competencia. A
través de sus canales de comunicación, pueden proporcionar información
relevante y oportuna a públicos específicos. Las organizaciones también
pueden estructurar datos e información en categorías consistentes. De
esta forma, pueden identificar riesgos que podrían afectar la estrategia y
los objetivos de negocio de la entidad.
Deloitte Curso de Capacitación - COSO ERM 3

COSO ERM 2017
Componente: Información, comunicación y reporte
Principios
18.Aprovecha los sistemas de información y la tecnología
19.Comunicar información de los riesgos.
20.Informes de Riesgo, Cultura y Desempeño.
Copyright © 2018 Deloitte & Touche Ltda. All rights reserved.

4
01
Principio 18: Aprovecha los
sistemas de información y la
tecnología
5
5
Principio 18: Aprovecha los sistemas de información y la
tecnología
La organización utiliza los sistemas de información y tecnología de la entidad
para lograr la gestión del riesgo empresarial
La organización aprovecha los sistemas de

información y tecnología de la entidad para
respaldar la gestión del riesgo empresarial.
Se deben considerar los siguientes focos:
a) Disponer de información relevante.
b) Información evolutiva.
c) Fuentes de datos.
d)Administración de los datos.
e) Utilizando la tecnología para soportar la

información.
f) Requerimientos cambiantes.
6
tecnología
Información relevante
• Información que ayuda a las organizaciones a ser más ágiles en su toma de decisiones,
brindándole una ventaja competitiva.
• Las organizaciones usan información para anticipar situaciones que le puedan impedir o
dificultar alcanzar la estrategia y los objetivos de negocio.
• La información de riesgos es más que un repositorio histórico de datos, debe apoyar la

comprensión y el desarrollo de un perfil de riesgo completo, actual y evolutivo.
• La información es generada con mucha velocidad y es un reto para la administración,

procesar y convertir esa información en datos usables. Los sistemas de información
pueden ayudar a las organizaciones con ese reto.
• La idea no es crear sistemas de información separados ni flujos separados para la gestión los
riesgos empresariales.
7
tecnología
La información en una estructura piramidal
Información con
Conocimiento
significado
Datos con
Información contenido o
Valor
contexto
Datos Hechos,
observaciones
8
tecnología
¿Qué características debe tener la información relevante?
9
tecnología
Retenida
Accesible Protegida
Actualizada
Correcta
10
tecnología
Suficiente Verificable
Válida
Oportuna
11
tecnología
Disponer de información relevante para apoyar ERM.
Para el gobierno y la cultura – Estándares de conducta
Para la estrategia y establecimiento de objetivos - stakeholder
Para el desempeño - competidores
Para la revisión – tendencias emergentes en gestión de

riesgos
12
tecnología
Información en evolución.
Data
estructura-
da
Información
que ayuda a la
organizaciones
a tomar
mejores
decisiones
13
tecnología
Información en evolución.
La tecnología semántica genera conciencia de la situación dentro y a lo largo de su organización.
…Convertir el flujo de datos en temas y eventos relevantes.

Leyendo millones de
artículos a diario en su Eventos Ubicaciones
idioma original para New Innovation Acquisition Complaints
entender de qué tratan… Civil Unrest Unethical Practice Flood

Discontinuity Lawsuit Investigation
Money Laundering Cyber threat Feud
Product Quality Issue New Sales Contract
Credit Downgrade Sanctions … Entidades
Empleados
Su
Clientes Proveedores
organización
Competidores
Opinión
Temas
Stock Markets Patents Banking
Management Alternative Fuel CEO

Investing IT Smart Phone
Blockchain Telecom …
14
tecnología
¿Qué tipo de datos proporcionan estas fuentes?
No
Fuentes Ejemplos de datos Estructurados
estructurados
Reuniones de junta y Actas y notas sobre potenciales transacciones
gerencia.
Encuestas de satisfacción Retroalimentación de clientes prioritarios sobre su
de clientes interacción con los empleados
Correo electrónico Información relacionada con toma de decisiones y
desempeño de la entidad
Reportes y estudios Cambios de población en mercados emergentes
geopolíticos producidos por
el gobierno
Reportes del fabricante Interés emergente en productos enviados desde un
fabricante de la competencia.
Metadata Detalle sobre el contenido de un archivo de video
incluyendo detalles técnicos y descripción de
escenas en texto
Social media and blogs Retroalimentación y conteo de comentarios
negativos y positivos sobre un producto de la
compañía.
15
tecnología
Fuentes de datos
No
Fuentes Ejemplos de datos Estructurados
estructurados
Reuniones de junta y Actas y notas sobre potenciales transacciones
gerencia.
Encuestas de satisfacción Retroalimentación de clientes prioritarios sobre su
de clientes interacción con los empleados
Correo electrónico Información relacionada con toma de decisiones y
desempeño de la entidad
Reportes y estudios Cambios de población en mercados emergentes
geopolíticos producidos por
el gobierno
Reportes del fabricante Interés emergente en productos enviados desde un
fabricante de la competencia.
Metadata Detalle sobre el contenido de un archivo de video
incluyendo detalles técnicos y descripción de
escenas en texto
Social media and blogs Retroalimentación y conteo de comentarios
negativos y positivos sobre un producto de la
compañía.
16
tecnología
Administración de los datos.
Gobierno de los datos e información
Procesos y controles
Arquitectura de gestión de datos
17
tecnología
Usando tecnología para soportar la información.
18
tecnología
Requerimientos cambiantes.
Cambios en el
Adaptar Adaptar Adaptar
contexto del
objetivos estrategia tecnología
negocio
19
¿Qué es Analytics?
Nuestra visión amplia de Analytics.
Algoritmos optimizados
“FUTURO”
FUTURO
Entender las señales para modelar el Predictivo y Simulación y modelaje
futuro Prescriptivo
Análisis cuantitativos
“PRESENTE” Previsiones avanzadas

Usar los datos para motivar cambios aquí PRESENT Métricas de rendimiento
y ahora E
Alertas y excepciones
“PASADO” Descriptivo Consultas (Queries)

PASADO
Realizar una evaluación en retrospectiva

Gestión de reportes
Gestión de datos empresariales
Objetivo del análisis Tipo de Análisis de Técnicas a aplicar

Datos
20
¿Qué es Analytics?
Nuestra visión amplia de Analytics.
La importancia del uso de herramientas analíticas
Hoy en día el mercado brinda soluciones con análisis avanzados de aprendizaje automático, para explorar el horizonte en busca de riesgos
emergentes y proporcionar conocimientos procesables que ayuden a las compañías a gestionar las interrupciones y aprovechar las oportunidades.
Análisis de Sentimentalidad
El análisis de sentimentalidad detecta patrones
de riesgo y da forma a la identificación de
riesgos emergentes
Análisis de Texto no
estructurado
Descubre temas abstractos y temas comunes
discutidos dentro de las narraciones de texto.
Aprendizaje automático
supervisado
Aprovechamiento de especialistas de la
industria
aprendizaje automático para la detección de
señales de riesgo débiles que podrían tener un
Tema, entidad, extracción de alto impacto
ubicación
Extracción utilizando procesamiento de lenguaje Perspectivas de riesgo de
natural y modelos estadísticos de aprendizaje escaneo del horizonte
automático. perspectivas impulsadas por especialistas en
la material y cientificos de datos.
21
Metodología para el Monitoreo Continuo(CM)
Categorización Adición de Aplicación de Monitoreo
del Riesgo Información Analíticas Continuo
Desarrollar flujos de procesos Identificar los sistemas fuente y
Afinar las reglas de manera Alineación de los procesos,
desde de los sistemas fuente a el flujo de datos desde el origen
iterativa la gente y tecnologías
los reportes a informe
Actividades Clave
Extracción de datos y
Desarrollar modelos de Aplicar reglas y modelos
Identificar procesos y controles comprobación de integridad de
analíticas para determinar analíticos para el monitoreo
para gestionar los riesgos datos mediante ETLs y
anomalías continuo de transacciones
consultas de prueba
Determinar pruebas analíticas Análisis de brechas entre Determinar la causa raíz para Identificar y resolver
alineadas a los controles y las informes y consultas de prueba identificar los problemas problemas de procesos y
reglas del negocio y normalización de datos. gestión de cambios
Source Systems
Report Name: Blue Sheet 1. System Name: Description
2. System Name: Description
System / People Inputs
Order Entry Order Entry Order Entry Order Entry

Entradas
System 1 System #2 System #3 System #4
Key Control Points*

C1
C1: Data Translation occur reconciliation of input and output of
Order Management data required
System
C2: Manual intervention of data occurs. Reconciliation
between source systems and output post manual intervention
Data Translation / Prep
required
for Report Format
Conjunto de reglas de
C2 C3: Reconciliation of data to stock ledger is required
Trade
Stock Ledger Management
C4: Review is performed prior to submission to regulators
System
C5: Acknowledgement of submission is received
C3
ETL
*Include understanding as to who owns process and how
performed / documented
Report Submission
Blue sheet Report Submission to

SAIC BlueSheet
Report
(filed & archived)
Mapa de manejo de transacciones

C4
riesgos Flujo de procesos Fuentes de información Algoritmos de detección de excepción

Salidas
Requisitos y Bodega de datos Informes de excepciones

especificación de datos Tablero de gestión
22
02 Principio 19: Comunicar
información de los riesgos
23
Principio 19: Comunicar Información sobre Riesgos
La organización utiliza canales de comunicación como soporte a la gestión del
riesgo empresarial
La organización utiliza canales de

comunicación para apoyar la gestión del
riesgo empresarial.
a) Comunicación con los grupos de

interés.
b) Comunicación con la junta directiva.
c) Métodos de comunicación.
24
¿Cuáles son las partes interesadas en una organización?
25
¿Que comunica a sus partes interesadas?
Importancia, relevancia y valor de la gestión
empresarial de riesgos
Estrategia
Objetivos estratégicos
Empleados/ Características, comportamiento deseado y

Sindicatos Gobierno valores fundamentales que definen la cultura:
 Comportamientos éticos
 Principios y valores
Aseguradoras Clientes Comunidad
La estrategia y los objetivos:
Colaboradores
Proveedores
Objetivos estratégicos
Objetivos comerciales
Accionistas
Sociedad Competencia Apetito y tolerancia
 Identificar y priorizar los proyectos de inversión
para establecer el presupuesto de capital
Expectativas de la Gerencia
Mercado de
Valores
Medios  Riesgo empresarial
 Gestión del desempeño
Auditores
Expectativas de la Organización
 Asuntos relacionados con debilidad, deterioro o
falta de cumplimiento
26
Comunicación con grupos de interés.
Enfoque para el análisis de grupos de interés
Identificar Grupos Priorizar grupos de Mapa de Crear plan de

Evaluar criterios
de Interés - GI interés priorización de GI compromiso con GI
Determinar el rol de GI Crear el mapa de

Desarrollar un plan de
dentro de la gestión de priorización de GI
interacción de GI
riesgos de acuerdo al para identificar las
Identificar GI Priorizar los GI clave para aquellos grupos
grado de necesidades de
involucrados con en función de su nivel que tienen influencia
importancia, cambio,
los riesgos a influencia y el significativa o de
impacto, nivel de comunicación y
gestionar impacto. quienes se requiere
apoyo requerido y capacitación que se
un apoyo
aspectos positivos y incorporarán al plan de
significativo
negativos gestión de riesgos
Desarrollarlo a nivel
Actividades realizadas de procesos
27
Comunicación con las partes interesadas.
Algunos ejemplos de atributos para el mapeo de las partes interesadas
Nivel de influencia Nivel de impacto Nivel de cooperacion

Tipo de Interés en la gestión del del riesgo sobre Respuesta al riesgo requerida para la
riesgo el stakeholder gestión
• Líder del riesgo • Alto • Alto • Entusiasta (Alto nivel de • Alto

• Directamente impactado • Medio • Medio cooperación en su gestión, apoyo y • Medio
• Solo requiere ser • Bajo • Bajo compromiso) • Bajo
informado • Seguidor (Indiferente, se ciñe a sus
funciones)
• Opuesto (Se niega a asumir la
gestión del riesgo)
28
Gestión de partes interesadas - ejemplo
Un mapa de priorización Alto

Direccionar Preocupaciones Involucrar fuertemente
ayuda a clasificar los GI
acorde a su impacto e
influencia • Afectados significativamente por el riesgo • Influencian significativamente y los
pero tienen una influencia menor sobre su resultados de esta gestión tendrán un impacto
Las audiencias de gestión y menor probabilidad de afectar su significativo en la estrategia y el desempeño
“Involucrar Fuertemente” gestión. • La posibilidad de ayudar o afectar en la
• La comunicación debería ser de forma gestión del riesgo es muy alto.
e “Involucrar según sea
Grado de Impacto del Riesgo

proactiva y preventiva, utilizando una • El objetivo de las Comunicaciones debería ser
necesario” tienen mayores mayor influencia de los Grupos de interés involucrar, mantener o desarrollar con
necesidades de (desde otros cuadrantes) para influenciar la estos una alianza, y enfatizar en un contacto
comunicación. gestión del riesgo. frecuente cara a cara.
Las audiencias de
“Direccionar las Mantenerse Informado Involucrar según sea necesario
Preocupaciones” y
“Mantenerse Informado” • No son muy influyentes ni están impactadas • Tienen una influencia significativa sobre la
necesitan menos por el riesgo pero tienen participación en su gestión del riesgo y tienen el potencial de
comunicaciones, pero gestión. ayudar o afectar la gestión.
• Actividades mínimas de comunicación se
estas deben ser claras e requieren. Las comunicaciones masivas
• Es particularmente importante anticipar las
informativas y objeciones y reacciones adversas a las
usualmente son eficientes y el principal decisiones de gestión.
proporcionarse de manera objetivo es mantenerlos informados para • El objetivo de las Comunicaciones debería ser
oportuna y programada. evitar problemas o entendimientos enfocado en mantener y aumentar su apoyo.
incorrectos.
Bajo Alto
Grado de Influencia en la Gestión de Riesgo 29
Comunicación con la Junta
La administración proporciona cualquier información que ayude a la junta a cumplir con sus responsabilidades de
supervisión con respecto al riesgo: Relación con la Estrategia
Abordar el riesgo según
lo determinado por la
Información pertinente estrategia de la entidad y Información vs responsabilidades
los objetivos de negocio.
Presentar información Proveer información que
actualizada y con la esté alineada con el Rol y
frecuencia requerida en responsabilidades de la
concordancia con la Junta
evolución y severidad de los
riesgos
Apetito de Riesgo
Reportes que presenten el
perfil de riesgo de la
Pasado, presente y futuro entidad frente al apetito de
Presentar información que riesgo definido
muestre información
histórica de exposición a Desviaciones
riesgos así como tendencias
Reportes que presenten
a futuro y sus explicaciones.
indicadores cerca o en exceso de 30
los límites tolerables, así como
planes para su normalización
Prácticas y tendencias del Comité de Riesgos
Consideraciones clave a revelar sobre la Vigilancia del Riesgos según la SEC

• ¿El Comité de Auditoría es el comité primario responsable por el riesgo?
• ¿Otros comités de Junta participan en la vigilancia al riesgo?
• ¿La Compañía tiene un comité de riesgos independiente de la Junta?
• ¿El Comité de Compensación es responsable por la vigilancia del riesgo en planes de
compensación?
• ¿El CEO es responsable por la administración el riesgo y/o como participa en el riesgo?
• ¿La Compañía tiene un Director de Riesgos (CRO)?
• ¿Participa la Junta en relación con la definición del apetito que por el riesgo tiene la Compañía?
• ¿Cómo la Junta participa en relación con la cultura corporativa?
• ¿La vigilancia y la administración del riesgo están alineados con la estrategia de la Compañía?
• ¿La Compañía tiene un comité de riegos a nivel de la Gerencia?
• ¿La Compañía por separado aborda el riesgo reputacional?
31
Métodos de comunicación
Proceso de la Comunicación
Programación
Identificación Análisis de Definición de
Definición de de Medición de
y Análisis de Medios Mensajes
Estrategia Actividades y la Efectividad
Audiencias Actuales Claves
Eventos
• Identificar • Identificar los • Identificar • Planear las • Medir la

• Determinar el
grupos a los
ACTIVIDADES
medios de vehículo qué es lo que comunicacion efectividad

que irán comunicación debemos es de acuerdo de la
creativo y los
dirigidos los más efectivos comunicar a a las comunicación.
tiempos
mensajes para llegar a cada necesidades.
dependiendo cada audiencia. audiencia. • Evaluar si
del impacto. • Planear los los mensajes
• Identificar los • Analizar qué eventos están
• Analizar responsables debemos necesarios alcanzando a
audiencias del manejo de transmitir a la audiencia
clave para las la gente para deseada, son
desplegar la comunicacione generar comprendido
comunicación s formales. confianza, s y la
motivación y respuesta es
compromiso positiva.
¿A quién? ¿Cómo? ¿Cuándo? ¿Qué? ¿Cada cuánto? ¿Funciona?

32
Métodos de Comunicación
Reuniones Intranet E-mails Eventos Chat Corporativo
• Reuniones a nivel de • Promueve la • Gestiona tareas y comunica • Permite establecer • Puede agilizar el
grupo permiten un interactividad y se procesos relaciones personales y traspaso de
contacto personal gestiona en tiempo real • Permite que quede un registro afianzar las existentes información entre
• Es un canal que suele compañeros y equipos
aglutinar muchos otros de trabajo
Redes Sociales Comunicados

Videoconferencias Buzón de Sugerencias Blog/Revista
Corporativas Escritos
• Permite intercambio de • Facilita la comunicación • Garantiza la comunicación • Noticias corporativas, • Es un canal que tiende
información entre la entre equipos que entre el empleado y la respuestas sobre a atender, cuidar y
empresa y los empleados trabajan a distancia empresa procesos de trabajo. optimizar para
de manera continua, • Requiere motivación para que • Son una buena forma de garantizar su
inmediata y flexible el empleado dé su opinión de comunicación. efectividad
forma anónima • Pueden no ser leídos por
el receptor
33
Preguntas claves
Curso de Capacitación - COSO ERM 34

34
03 Principio 20: Informa sobre el
riesgo, la cultura y el desempeño

35
35
Principio 20: Informa sobre el riesgo, la cultura y el desempeño
La organización informa sobre el riesgo, la cultura y el desempeño a
múltiples niveles y a través de toda la entidad
20. Informes de Riesgo, Cultura y Desempeño.
La organización informa sobre el riesgo, la cultura y el desempeño

en múltiples niveles y en toda la entidad.
a) Identificación de usuarios de reportes y sus roles.
b)Tipos de reportes.
c) Reporte de riesgos a la Junta Directiva.
d) Reportar la cultura.
e)Indicadores claves.
f) Frecuencia y calidad de los reportes.
36
Identificación de usuarios de reportes y sus roles
Junta Directiva Director de Riesgos Comité de Riesgos Gerencia
• Vigilancia de riesgos • Establecer las políticas de ERM • Vigilar la infraestructura de la • Proveer liderazgo y dirección
• Vigilancia del Sistema de • Integrar ERM con el resto del administración de riesgos en la definición de objetivos a
Control Interno planeamiento de la empresa • Vigilar la exposición al riesgo nivel de la entidad
• Definir expectativas sobre • Establecer un lenguaje común • Asesora a la Junta sobre • Mantener supervisión y
integridad, valores éticos, de ERM, el cual incluye medición estrategia frente al riesgo control sobre los riesgos que
transparencia y responsabilidad • Reportar al Comité de Riesgos enfrenta la entidad
• Establecimiento de líneas de • Liderar el desarrollo de
comunicación separadas de la actividades de control a nivel
gerencia (P.e. líneas de de entidad
denuncia) • Comunicar expectativas y
• Declaración del apetito al requerimientos de información
riesgo
Dueños de Riesgos Grupos de Interés
• Asumir y gestionar el riesgo Reguladores, agencias de

dentro de los límites y el apetito calificación, grupos
de riesgo establecidos comunitarios y otras partes que
• Identificar, evaluar, medir, requieren informes de riesgo para
mitigar y monitorear el riesgo cumplir con sus roles y
de acuerdo con la Política y el responsabilidades
Marco de ERM.
• Escala las situaciones de riesgos
que superan el apetito al riesgo
definido
37
Identificación de usuarios de reportes y sus roles
Vista de actores desde las líneas de defensa
Línea de Rol Descripción
Comité de Riesgos de la Junta Defensa
Primera • Unidades de Gestión diaria y
Linea de Negocio control de riesgos:
Defensa Responsables directos
Vista de “Arriba a abajo”
por la administración y
Agregación e Integración control de riesgos
• Delegación de Autoridad • Agregar y transformar los datos de
• Establecer el tono riesgo en información comercial
Segunda • Comité de Políticas de riesgos,
• Revisar, aprobar y supervisar • Reportar exposicion al de riesgo,
brechas significativas, problemas Línea de Riesgos de la metodología y
funcionales cruzados. Defensa Junta supervisión:
Auditoría Interna
• ERC Coordina, facilita y

• ERM supervisa la efectividad
e integridad del marco
de gestión de riesgos.
Función de Gestión de Riesgos
empresariales/ Comité de Riesgos Tercera • Auditoría Evaluación
Línea de Interna independiente:
Defensa Aseguramiento
independiente:
proporciona
Foco en las áreas de operación y aseguramiento
unidades de negocio
Recolección de Datos independiente en todas
• Proporciona marco y estándares
las funciones
• • Proveer información de
Establece limites de riesgos
riesgos comerciales en cuanto a
• Delega autoridad la integridad y
efectividad del marco de
administración de
riesgos.
Áreas Funcionales
38
Tipos de reporte
Integración parcial (Vista perfil de
Inventario de riesgos riesgos)
(Integración Limitada) Se enfoca en los objetivos de negocios y
Utiliza el inventario de riesgos y los riesgos que se alinean con esos
los organiza mediante objetivos (por ejemplo, todos los
categorías. Las categorías de objetivos potencialmente impactados por
riesgo a menudo reflejan la los riesgos relacionados con el
estructura operativa de la cumplimiento). Además, se identifican y
entidad e informan sobre los se consideran las dependencias que
roles y responsabilidades. pueden existir entre los objetivos del
negocio.
Perfil de riesgo
Muestra la severidad de los Integración total (Vista de
riesgos, pero se enfoca en portafolio)
niveles dentro de la entidad. El enfoque se desplaza a la
Por ejemplo perfil de riesgo estrategia general de la entidad y
por proceso los objetivos de negocio permite
identificar, evaluar, responder y
revisar riesgos en los niveles
apropiados para la toma de
decisiones.
39
Tipos de reporte
KRI Estado Tendencia KRI´s Análisis de causa raíz

Minoristas Visualiza la tolerancia o Permite a los usuarios entender
Mercado de Alquiler comportamientos frente a un los supuestos y orígenes de
Cambio en las
objetivo de negocio o estrategia cambios en el perfil de riesgo
tiendas
Grandes superficies
Precio
Diferenciales de
Deudas
Tasas de Interés
Seguimiento a gestión de
Riesgos Análisis de riesgos
Control de efectividad
emergentes
# de controles
40 Muestran un resumen de
planes de acción e iniciativas Provee una mirada hacia
20
para mantener el proceso de adelante en el tiempo para
gestión de riesgos, buscar anticipar cambios en el
0
incluyendo resultados de entorno que impacten el
A B C D E AVG
monitoreo y brechas inventario de riesgos, recursos
Effectivo Parcialmente Efectiv o No Efectivo identificadas requeridos o el desempeño de
la entidad
40
Ejemplos de Reporte: Tableros de Riesgo
Principales
Riesgos y
Calificaciones Métrica
Respuesta a Linea Tenden

5 los Riesgos Métricas Base Medidas Actuales Objetivo cia
# De clientes 50,00 50,00 50,00 50,0

0 0 0 00 55
4 ___________ 0
By 31/12/12
IMPACTO
12/31/11 3/31/12 6/30/12 9/30/12
C A - TBD 4%
3
A 3% 3%
B % Cartera
0% 2.5%
vencida
2
Riesgos que Responde a:
12/31/11 3/31/12 6/30/12 9/30/12
5
1 Otros Riesgos Identificados 5
# De quejas de 3
0
1 2 3 4 5 clientes. 2
PROBABILIDAD 12/31/11 3/31/12 6/30/12 9/30/12
B - TBD
Logros Recientes 750
600 700
# Pedidos 500
• TBD
entregados a 0
tiempo 12/31/11 3/31/12 6/30/12 9/30/12
# De
54 53
cotizaciones 52
0 50
colocadas en el
12/31/11 3/31/12 6/30/12 9/30/12
mes
C- TBD
Retos 30
# De 25
cotizaciones 0 20
Reto Apoyo Requerido 17
rechazadas
12/31/11 3/31/12 6/30/12 9/30/12
TBD TBD
LLAVE: TERMINADO EN SEGUIMIENTO EN CUIDADO FUERA DE SEGUIMIENTO
41
Indicadores Clave
Los KRIs son:
a) Indicadores que miden la responsabilidad de los empleados en el desarrollo de sus funciones.
b) Son métricas utilizadas por las organizaciones para proporcionar alertas tempranas sobre la exposición al riesgo.
c) Indicadores que realizan la medición de eventos clave en la organización para la identificación de necesidades de
recursos.
42
Indicadores Clave
KRI
Los indicadores clave de riesgo son métricas utilizadas por las organizaciones para proporcionar
alertas tempranas sobre la exposición al riesgo.
KPI KRI
• Proporcionan una visión general y de alto nivel sobre el • Proporcionan información temprana sobre riesgos
desempeño y funcionamiento de la organización y sus emergentes, internos o externos.
unidades (áreas).
• Se basan en el análisis de tendencias que puedan afectar
• Se centran en el comportamiento histórico de la compañía, el logro de objetivos.
por lo cual no corresponde a un indicador de alerta
• Son importantes debido a que permite que las compañías se
temprana de riesgos.
anticipen a la materialización de los riesgos y puedan
• Son importantes para el éxito de la gestión de las tomar acciones al respecto.
organizaciones, debido a que permiten identificar aspectos de
• Ejemplo: Análisis de cartera vencida en ciertas industrias que
bajo rendimiento o aquellos en los que las compañías
muestran tendencias negativas.
requieran aumento de recursos.
• Análisis de resultados financieros de los 25 clientes más
• Ejemplo: Ventas de nuevos productos a clientes habituales,
importantes.
realizadas en el último año.
43
Desarrollo de KRIs Clave
Objetivo
• Identificar indicadores pertinentes que proporcionen
información útil sobre los riesgos potenciales que
pueden tener impacto en el logro de objetivos de la
Organización.
Diseño de KRIs
1. Tener una sólida comprensión de los objetivos y
estrategias organizacionales.
2. Identificar los eventos de riesgo que podrían afectar la
consecución de los objetivos.
• Varios riesgos potenciales pueden tener impacto
en uno o más objetivos y/o estrategias.
3. Diseñar e implementar indicadores clave por cada
riesgo con el fin de monitorear el cumplimiento de los
objetivos y/o estrategias y para anticipar la presencia
y/o materialización de tales riesgos.
Correlacionar KRIs a riesgos críticos y a iniciativas estratégicas, reduce la

probabilidad de que la Gerencia se distraiga con información menos relevante para
el cumplimiento de los objetivos.
44
Claves para un efectivo diseño de KRI’s
Analizar un evento de Identificar las relaciones causa inmediata y de raíz que llevaron a la materialización del riesgo
riesgo o a la pérdida de la oportunidad
Información fuente al momento de desarrollar KRI´s. Por ejemplo, personal experto de la

Fuentes de
organización, dado que conocen los procesos, operaciones y las posibles causas que generan
Información
riesgos potenciales.
Deben tener claridad sobre la metodología de identificación y desarrollo de KRIs. Si no existe

Partes involucradas confianza en la uniformidad del enfoque de medición de KRIs, la información utilizada carecerá de
solidez y podrá presentar ruidos innecesarios.
Datos disponibles que están siendo utilizados para la medición del KRI, ya sea que la fuente sea
Calidad de Datos
interno o externa.
45
Identificar el Riesgo Definir las Fuentes del riesgo Establecer el KRI
Ejemplo de Riesgo Causa del Riesgo KRI
Nuevos empleados no conocen Porcentaje de empleados que

los requerimientos de completan el entrenamiento.
capacitación.
Errores y fallas en los

procesos core por no contar La Gerencia no enfatiza la
Resultado de las de las evaluaciones
con personal competente y importancia de la capacitación.
de capacitación por debajo del 90%
capacitado
Los requerimientos de
Porcentaje de nuevos empleados que
capacitación no son prioritarios
completan el entrenamiento.
para el personal.
46
Taller – Diseñando KRI’s
 Reunirse en grupos de acuerdo con la instrucción del facilitador

 Analizar el riesgo y casusas identificadas
 Diseñar y proponer al menos 3 KRI´s asociado al riesgo identificado. Indicar frecuencia
Identificar el Riesgo Definir las Fuentes del riesgo Establecer el KRI
Ejemplo de Riesgo Causa del Riesgo KRI
Respuesta Sugerida:
Gestion de cobro de cartera • Información inoportuna de clientes • Días promedio de incumplimiento al
que entran en incumplimiento procedimiento para inicio de gestión
Incapacidad para mantener
adecuados niveles de liquidez y • Insuficiente gestión de cobro de cobro
capital de trabajo, debido a sobre clientes en incumplimiento • Número de clientes gestionados /
inadecuada gestión de Número total de clientes en mora
• Acuerdos de pago con clientes que
recuperación de cartera no son efectivos • Acuerdos de pago incumplidos / Total
• Imposibilidad de recuperación de acuerdos de pago alcanzados con
cartera por fallas en clientes
procedimientos o documentos • Clientes castigados por fallas en
legales (garantías) procedimientos documentos legales /
Total de clientes en incumplimiento
47
Desarrollar KRIs sobre la base de buenas prácticas y/o puntos de

referencia de la industria.
Desarrollar KRIs con coherencia a lo largo de la Organización.
Proporcionar una visión clara e intuitiva del potencial riesgo.
Permitir comparaciones medibles entre unidades de negocios

(áreas) y a través del tiempo.
Proporcionar oportunidades para evaluar el desempeño de los

dueños de los riesgos, en el momento oportuno.
Considerar el costo beneficio en el desarrollo del indicador
48
Ejemplo de KRI’s
Objetivo Riesgo Causa KRI
Gestionar el cobro de Incapacidad para Acuerdos de pago con Porcentaje de acuerdos

cuentas por cobrar a mantener adecuados clientes que no son de pago incumplidos
clientes para reducir las niveles de liquidez y efectivos
pérdidas por castigos. capital de trabajo,
debido a inadecuada
gestión de recuperación
de cartera.
Descripción: Porcentaje de acuerdos de pago que son incumplidos por clientes que entraron en mora
Fórmula: Acuerdos de pago incumplidos / Total acuerdos de pago alcanzados con clientes
Frecuencia de medición: Mensual
Unidad de Medición: %
Límite de alerta: 10% (valor máximo)
Tendencia: Negativa (valores superiores al 10% indican una alarma para el riesgo)
49
04 Conclusiones
50 50
Conclusiones y Plan de Acción
COSO ERM 2017 en la práctica
Consejos para la Práctica
• COSO ERM 2017 es un marco reciente. Aún se requiere madurar en su desarrollo y su

implementación práctica.
• Enfoque en la estrategia, el modelo de negocio y el desempeño – Gestión de riesgos de alto nivel
• Integración con el proceso de gestión y planeación de la empresa – Nuevos Skills para la gestión
de riesgos
• Establezca el nivel de madurez actual de las prácticas de la Organización
• Construya sobre lo construido – Fortalezca prácticas y adopte algunas nuevas bajo una hoja de
ruta.
• Definición de Apetito y Tolerancia – elemento claves
• Gobierno de Riesgos – El rol de la Junta y la Alta Dirección
COSO ERM 2017 es una oportunidad para fortalecer el impacto y el nivel de influencia de la Gestión
de Riesgos en la Organización
51
Nota: Deloitte se refiere a una o más de las firmas miembros de Deloitte Touche Tohmatsu Limited, una compañía privada del Reino Unido limitada por garantía, y su red de firmas miembros, cada una como una
entidad única e independiente y legalmente separada. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembros puede verse en el sitio web
www.deloitte.com/about.
Deloitte presta servicios de auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembros en más de 150 países,
Deloitte brinda sus capacidades de clase mundial y su profunda experiencia local para ayudar a sus clientes a tener éxito donde sea que operen. Los 200.000 profesionales de Deloitte se han comprometido a
convertirse en estándar de excelencia.
© 2021 Deloitte Touche Tohmatsu Limited.

COSO ERM - Sexta Sesión Información y Comunicación para APolar Sin Imagenes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COSO ERM - Sexta Sesión Información y Comunicación para APolar Sin Imagenes

Cargado por

Copyright:

Formatos disponibles

COSO ERM 2017 y la generación de valor

1. Principio 18: Aprovecha los sistemas de información y la tecnología

2. Principio 19: Comunicar información de los riesgos

3. Principio 20: Informes de Riesgo, Cultura y Desempeño

Las organizaciones transforman los datos en información sobre partes

Deloitte Curso de Capacitación - COSO ERM 3

Copyright © 2018 Deloitte & Touche Ltda. All rights reserved.

La organización aprovecha los sistemas de

Se deben considerar los siguientes focos:

a) Disponer de información relevante.

d)Administración de los datos.

e) Utilizando la tecnología para soportar la

• La información de riesgos es más que un repositorio histórico de datos, debe apoyar la

• La información es generada con mucha velocidad y es un reto para la administración,

Para el gobierno y la cultura – Estándares de conducta

Para la estrategia y establecimiento de objetivos - stakeholder

Para el desempeño - competidores

Para la revisión – tendencias emergentes en gestión de

…Convertir el flujo de datos en temas y eventos relevantes.

entender de qué tratan… Civil Unrest Unethical Practice Flood

Product Quality Issue New Sales Contract

Credit Downgrade Sanctions … Entidades

Management Alternative Fuel CEO

Gobierno de los datos e información

Arquitectura de gestión de datos

“PRESENTE” Previsiones avanzadas

“PASADO” Descriptivo Consultas (Queries)

Realizar una evaluación en retrospectiva

Gestión de datos empresariales

Objetivo del análisis Tipo de Análisis de Técnicas a aplicar

La importancia del uso de herramientas analíticas

Order Entry Order Entry Order Entry Order Entry

System 1 System #2 System #3 System #4

Key Control Points*

Blue sheet Report Submission to

Mapa de manejo de transacciones

riesgos Flujo de procesos Fuentes de información Algoritmos de detección de excepción

Requisitos y Bodega de datos Informes de excepciones

La organización utiliza canales de

Se deben considerar los siguientes focos:

a) Comunicación con los grupos de

b) Comunicación con la junta directiva.

Empleados/ Características, comportamiento deseado y

Identificar Grupos Priorizar grupos de Mapa de Crear plan de

Determinar el rol de GI Crear el mapa de

Nivel de influencia Nivel de impacto Nivel de cooperacion

• Líder del riesgo • Alto • Alto • Entusiasta (Alto nivel de • Alto

Un mapa de priorización Alto

Grado de Impacto del Riesgo

Consideraciones clave a revelar sobre la Vigilancia del Riesgos según la SEC

• Identificar • Identificar los • Identificar • Planear las • Medir la

medios de vehículo qué es lo que comunicacion efectividad

¿A quién? ¿Cómo? ¿Cuándo? ¿Qué? ¿Cada cuánto? ¿Funciona?

Reuniones Intranet E-mails Eventos Chat Corporativo

Redes Sociales Comunicados

Curso de Capacitación - COSO ERM 34

Copyright © 2018 Deloitte & Touche Ltda. All rights reserved.

La organización informa sobre el riesgo, la cultura y el desempeño

Se deben considerar los siguientes focos:

a) Identificación de usuarios de reportes y sus roles.

c) Reporte de riesgos a la Junta Directiva.

f) Frecuencia y calidad de los reportes.

Junta Directiva Director de Riesgos Comité de Riesgos Gerencia