CIA - SU4 - Gestion de Riesgos

1
UNIDAD DE ESTUDIO CUATRO

GESTIÓN DE RIESGOS
4.1 Procesos de Gestión de Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

4.2 Marco COSO -- Gestión de Riesgo Empresarial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.3 Marco de Gestión de Riesgos ISO 31000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Esta unidad de estudio es la segunda de cuatro unidades que abarcan el Campo V: Gobierno,
Gestión de Riesgos y Control del Temario del Examen CIA del IIA. Este campo cubre el 35% de
la Parte 1 del examen CIA y es evaluado en los niveles cognitivos básicos y de competencia. La
porción relevante del temario se resalta a continuación. (El temario completo se encuentra en el
Apéndice B.)
Gobierno, Gestión de Riesgos y Control (35 %)

A Describir el concepto de gobierno organizacional Básico
Reconocer el impacto de la cultura organizacional en el entorno de control general y los riesgos y
B Básico
controles individuales del trabajo
Reconocer e interpretar la ética de la organización y las cuestiones, las presuntas infracciones y las
C Básico
disposiciones relacionadas con el cumplimiento
D Describir la Responsabilidad Social Corporativa Básico
E Interpretar los conceptos fundamentales de riesgo y el proceso de gestión de riesgos Competencia
V Describir los marcos de gestión de riesgos globalmente aceptados que sean adecuados para
F Básico
la organización (COSO - ERM, ISO 31000, etc.)
G Examinar la efectividad de la gestión de riesgos dentro de los procesos y las funciones Competencia
Reconocer la idoneidad del papel de la actividad de auditoría interna en el proceso de gestión
H Básico
de riesgos de la organización
I Interpretar los conceptos de control interno y los tipos de controles Competencia
Aplicar los marcos de control interno globalmente aceptados que sean adecuados para la
J Competencia
organización (COSO, etc.)
K Examinar la efectividad y eficiencia de los controles internos Competencia
4.1 PROCESOS DE GESTIÓN DE RIESGOS

1. Riesgo es “La posibilidad de que ocurra un acontecimiento que tenga un impacto
en el alcance de los objetivos. El riesgo se mide en términos de impacto y
probabilidad" (Glosario del IIA).
a. La gestión de riesgos es “un proceso para identificar, evaluar, manejar y
controlar acontecimientos o situaciones potenciales, con el fin de proporcionar
un aseguramiento razonable respecto del alcance de los objetivos de la
organización.” (Glosario del IIA) (énfasis añadido).
1) Es uno de los tres procesos específicamente descritos en la Definición de
Auditoría Interna.
Norma de Desempeño 2120

Gestión de Riesgos
La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de
gestión de riesgos.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
2 UE 4: Gestión de Riesgos
2. El Proceso de Gestión de Riesgos

a. Los procesos de gestión de riesgos incluyen (1) identificación del contexto, (2) la
identificación del riesgo, (3) la evaluación y priorización del riesgo (por ej., análisis de
riesgo), (4) la respuesta al riesgo y (5) el monitoreo del riesgo. La dirección debe
enfocarse en los riesgos en todos los niveles de la entidad y tomar todas las
acciones necesarias para su gestión.
1) Todos los riesgos que puedan afectar el logro de los objetivos deben ser
considerados.
b. Paso 1 – Identificación de contexto
1) Un prerrequisito para la identificación del riesgo es identificar los contextos
significativos dentro de los cuales los riesgos deben ser manejados.
2) Los contextos incluyen los siguientes:
a)
Leyes y regulaciones
b)
Proyectos de capital
c)
Proyectos de negocio
d)
Tecnología
e)
Riesgo de mercado (por ej, tasas de interés, tipos de cambio, inversiones
de capital)
f) Organizaciones
c. Paso 2 – Identificación del riesgo
1) La identificación del riesgo debe realizarse en cada nivel de la entidad (a
nivel de la entidad, división y unidad de negocio) relevante para los contextos
identificados.
a) Ejemplos de factores externos de riesgo a nivel de la entidad incluyen los
cambios tecnológicos y los cambios en las necesidades y expectativas de
los clientes.
b) Ejemplos de factores internos de riesgo a nivel de la entidad son (1) las
interrupciones en los sistemas automatizados, (2) la calidad del personal
contratado, y (3) el nivel de capacitación proporcionado.
2) Algunos acontecimientos podrían ser intrascendentes a nivel de la entidad, pero
desastrosos a nivel de unidad individual.
3) La identificación de riesgos debe considerar los eventos pasados (tendencias)
y las posibilidades futuras. Entre los métodos utilizados se encuentran los
siguientes:
a) Inventario de eventos. Ciertos eventos son comunes para ciertas
industrias. Hay un software disponible que proporciona listas que pueden
ser utilizadas como punto de partida para la identificación de eventos.
b) Cuestionarios y encuestas. Las respuestas pueden evaluarse para
identificar eventos potenciales.
c) Eventos indicadores de referencia y factores desencadenantes. Los
eventos indicadores de referencia son medidas que proporcionan una
visión sobre eventos potenciales. Un factor desencadenante es una
condición que el evento indicador debe satisfacer antes de que el evento
potencial llegue hasta la dirección. Por ejemplo:
i) Evento potencial: Averías en el equipo de fabricación, resultando en
un descenso en la producción
ii) Evento de referencia: Solicitudes de mantenimiento
iii) Factores desencadenantes: Dos solicitudes de mantenimiento
fuera de los mantenimientos regulares programados dentro de un
período de 3 meses
UE 4: Gestión de Riesgos 3
d)
Talleres de facilitación y entrevistas. Un facilitador lidera un grupo
de discusión que está compuesto por la dirección, el personal, u otras
partes interesadas a través de un proceso estructurado de conversación
y exploración de eventos potenciales.
e) Análisis de Flujo de Procesos. Un procedimiento administrativo simple,
tal como la autorización y pagos de proveedores, es estudiado de forma
aislada para identificar los eventos que afectan sus entradas, tareas,
responsabilidades y salidas.
f) Metodologías de datos de eventos de pérdida. Las pérdidas
asociadas con eventos adversos en el pasado se pueden utilizar para
hacer predicciones. Un ejemplo es hacer coincidir los reclamos de
indemnización de los trabajadores con la frecuencia de los accidentes.
4) Otros métodos para identificar riesgos incluyen (a) la lluvia de ideas, (b) el
análisis FODA (Fortalezas, Oportunidades, Debilidades, y Amenazas), y (c) el
análisis de escenario (análisis hipotéticos ["y si"]).
d. Paso 3 – Evaluación de riesgos y priorización
1) El proceso de evaluación de riesgos puede ser formal o informal. Este involucra
a) Evaluar la importancia de un evento,
b) Evaluar la probabilidad del evento, y
c) Considerar los medios para gestionar el riesgo.
2) Los resultados de evaluar la probabilidad y el impacto de los eventos de riesgo
identificados se utilizan para priorizar los riesgos y producir información para la
toma de decisiones.
3) Los métodos de evaluación de riesgos pueden ser cualitativos o cuantitativos.
a) Los métodos cualitativos incluyen (1) listas de todos los riesgos, (2)
clasificaciones de los riesgos, y (3) mapas de riesgos.
i) Los mapas de indicadores de riesgo muestran los niveles de riesgo
por color. Aquellos riesgos que tienen la misma probabilidad (por
ejemplo, remoto, improbable, posible, probable o definitivo) e
impacto (por ejemplo, insignificante, bajo, medio, alto, o extremo),
o que se encuentran en el mismo nivel de gravedad (por ejemplo,
evaluación combinada de probabilidad e impacto), se les asigna el
mismo color. (Se proporciona una ilustración en la Figura 4-4 en la
Subunidad 4.2.)
ii) Los mapas de matrices de riesgo trazan los riesgos en
un gráfico con una probabilidad en un eje y el impacto en el otro
eje. (En el siguiente ejemplo se proporciona una ilustración)
b) Los métodos cuantitativos incluyen modelos probabilísticos. Por ejemplo,
algunas organizaciones se centran en los ingresos que están en riesgo al
examinar como las variables influyen en los ingresos.
4) Los modelos de riesgo son un método de la evaluación y priorización de los
riesgos.
a) Los modelos de riesgo clasifican y validan las prioridades de riesgo al
establecer las prioridades de los trabajos en el plan de auditoría.
b) Los factores de riesgo pueden ser ponderados en base al juicio
profesional para determinar su importancia relativa, pero las
ponderaciones no necesitan ser cuantificadas.
c) Este modelo simple y el proceso de evaluación de riesgo resultante, se

representan de la siguiente manera:
EJEMPLO
Un director ejecutivo de auditoría está revisando el siguiente mapa de riesgos empresariales:
I PROBABILIDAD
M
P Remota Posible Probable
A Crítico Riesgo A Riesgo B
C Mayor Riesgo D
T
O Menor Riesgo C
Al establecer las prioridades para el uso de recursos limitados de auditoría interna, el director ejecutivo de auditoría realiza
el siguiente análisis:
● El riesgo D claramente tiene prioridad sobre el Riesgo C ya que D tiene una mayor
probabilidad y un mayor impacto.
● El Riesgo B también claramente tiene una mayor prioridad que el Riesgo A ya que B tiene
mayor probabilidad y el mismo impacto.
Escoger la prioridad más alta entre el Riesgo D y el Riesgo B es un asunto de juicio profesional basado en una evaluación
de riesgo organizacional y las prioridades establecidas por la alta dirección y el Consejo.
● Si la amenaza más probable se considera el mayor riesgo, el Riesgo D se ubicará en una

posición más alta en el plan de trabajo de auditoría interna.
● Así mismo, si la amenaza con el mayor impacto posible causa mayor preocupación para
la alta dirección y el Consejo, la actividad de auditoría interna pondrá mayor prioridad en
el Riesgo B.
d)
Los canales abiertos de comunicación con la alta dirección y el Consejo
son necesarios para asegurar que el plan de auditoría se basa en las
evaluaciones de riesgo y prioridades de auditoría apropiadas. El plan de
auditoría debe ser reevaluado según sea necesario.
e) Los modelos de riesgo en un servicio de consultoría se realiza al clasificar
el potencial del trabajo para (1) mejorar la gestión de riesgos, (2) añadir
valor, y (3) mejorar las operaciones de la organización. La alta dirección
asigna diferentes ponderaciones a cada uno de estos elementos en base
a los objetivos organizacionales. Los trabajos con el valor ponderado
apropiado serán incluidos en el plan anual de auditoría.
e. Paso 4 – Respuesta al riesgo
La respuesta al riesgo es un tema de gestión de riesgos evaluado con frecuencia en el examen CIA. Específicamente,
poseer un sólido conocimiento y comprensión de las estrategias de respuesta al riesgo (prevención, retención,
reducción y transferencia) y ejemplos para cada una, aumentarán su probabilidad de éxito en el examen.
1) Las respuestas al riesgo son los medios por los cuales una organización elige
gestionar los riesgos individuales.
a) Cada organización selecciona las respuestas al riesgo que alinean los
riesgos con el apetito de riesgo de la organización (el nivel de riesgo que
la organización está dispuesta a aceptar).
2) Entre las estrategias para la respuesta al riesgo se encuentran:
a) La prevención del riesgo finaliza la actividad de la que surge el riesgo.
Por ejemplo, el riesgo de tener un oleoducto saboteado puede evitarse
vendiendo el oleoducto.
b) La retención del riesgo acepta el riesgo de una actividad. Este término

es sinónimo de auto seguro.
c) La reducción del riesgo (mitigación) disminuye el nivel de riesgo
asociado con una actividad. Por ejemplo, el riesgo de la penetración de
sistemas puede ser reducido al mantener una función de seguridad de
información efectiva dentro de la entidad.
d) La transferencia del riesgo traspasa ciertas pérdidas potenciales a
una tercera parte. Algunos ejemplos son los seguros, las coberturas, la
creación de empresas conjuntas, la subcontratación de una actividad,
y los acuerdos contractuales con clientes, proveedores, u otros socios
comerciales.
3) Los controles son acciones tomadas por la dirección para gestionar los riesgos
y asegurar que las respuestas al riesgo se lleven a cabo.
a) El riesgo de control es el riesgo que los controles no gestionen
efectivamente los riesgos controlables.
4) El riesgo residual es el riesgo que permanece después que se ejecutan las
respuestas al riesgo.
5) En las entidades grandes o complejas, la alta dirección puede designar un
comité de riesgos para (a) revisar los riesgos identificados por las diferentes
unidades operativas y (b) crear un plan de respuesta.
a)
Todo el personal debe estar consciente de la importancia de la respuesta
al riesgo adecuada para sus niveles en la entidad.
f. Paso 5 – Monitoreo del riesgo
1) El monitoreo de riesgos (a) rastrea los riesgos identificados, (b) evalúa los
planes actuales de respuesta al riesgo, (c) monitorea los riesgos residuales, e
(d) identifica los nuevos riesgos.
2) Las dos fuentes de información más importantes para las evaluaciones
continuas sobre la adecuación de las respuestas a los riesgos (y la naturaleza
cambiante de los riesgos) son:
a) Aquellas más cercanas a las actividades. El director de una unidad
operativa está en la mejor posición para supervisar los efectos de las
estrategias escogidas en respuesta a los riesgos.
b) La función de auditoría. Es posible que los directores operativos no
siempre sean objetivos sobre los riesgos que enfrentan sus unidades,
especialmente si participaron en el diseño de una estrategia de respuesta
en particular. Analizar los riesgos y las respuestas están dentro de las
responsabilidades normales de los auditores internos.
3. Responsabilidad para los Aspectos de la Gestión de Riesgos Organizacional
a. La gestión de riesgos es una responsabilidad clave de la alta dirección y el Consejo.
1) Los Consejos cumplen una función de supervisión. Ellos determinan si los
procesos de gestión de riesgos existen, son adecuados y efectivos.
2) La dirección asegura que los procesos de gestión de riesgos sólidos están
funcionando.
3) Se le puede solicitar a la actividad de la auditoría interna que examine, evalúe,
informe, o recomiende mejoras.
a) También tiene un rol de consultor en la identificación, evaluación e
implementación de los métodos de gestión de riesgos y control.
b. La alta dirección y el Consejo determinan el rol de la actividad de auditoría interna

en el proceso de gestión de riesgos en base a factores tales como (1) la cultura
organizacional, (2) las habilidades del personal de auditoría interna, y (3) las
condiciones y costumbres locales.
1) Ese rol puede variar desde la inexistencia de un rol para auditar el proceso
como parte del plan de auditoría; hasta el apoyo activo y continuo y la
participación en el proceso, para administrar y coordinar el proceso.
a) Pero asumir las responsabilidades de la dirección y la amenaza potencial
a la independencia de la actividad de auditoría interna debe ser discutido
plenamente y aprobado por el Consejo.
c. El director ejecutivo de auditoría debe entender las expectativas que tenga la alta
dirección y el Consejo con respecto a la actividad de auditoría interna en el proceso
de gestión de riesgos. Este entendimiento será luego codificado en los estatutos de
la actividad de auditoría interna y del Consejo.
1) Si la organización no cuenta con procesos formales de gestión de riesgos, el
director ejecutivo de auditoría trata formalmente con la dirección y el Consejo
sus obligaciones para entender, gestionar y vigilar los riesgos.
d. Los procesos de gestión de riesgos pueden ser formales o informales, cuantitativos
o subjetivos, o insertados en las unidades de negocios o centralizados a nivel
corporativo. Están diseñados para adaptarse a la cultura, el estilo de gestión, y
los objetivos de la organización. Por ejemplo, una entidad pequeña puede usar un
comité de riesgos informal.
1) La actividad de auditoría interna determina si los métodos seleccionados son
integrales y apropiados para la organización.
4. El Rol de la Auditoría Interna en la Gestión de Riesgos
a. El IIA emitió la siguiente Interpretación para clarificar el rol de la auditoría interna:
Interpretación de la Norma 2120

Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la
evaluación que efectúa el auditor interno de que:
● Los objetivos de la organización apoyan a la misión de la organización

y están alineados con la misma;
● Los riesgos significativos están identificados y evaluados;
● Se han seleccionado respuestas apropiadas al riesgo que alinean los
riesgos con la aceptación de riesgos por parte de la organización; y
● Se capta información sobre riesgos relevantes, permitiendo al
personal, la dirección y el Consejo cumplir con sus responsabilidades,
y se comunica dicha información oportunamente a través de la
organización.
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación
mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de
forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la
organización y su eficacia.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración
continuas, evaluaciones por separado, o ambas.
b. Dos Normas de Implementación vinculan la evaluación de riesgo a áreas de riesgo

específicas.
Norma de Implementación 2120.A1

La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a
gobierno, operaciones y sistemas de información de la organización con relación a lo
siguiente:
● El logro de los objetivos estratégicos de la organización;
● La fiabilidad de integridad de la información financiera y operativa
● La eficacia y eficiencia de las operaciones y programas;
● La protección de los activos; y
● El cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.
Norma de Implementación 2120.A2
La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y
cómo la organización gestiona el riesgo de fraude.
c. De acuerdo a la Guía de Implementación 2120, Gestión de Riesgos, el director

ejecutivo de auditoría debe
1) Obtener un entendimiento claro de
a) El apetito al riesgo de la organización.
b) La misión y los objetivos del negocio de la organización.
c) Estrategias de negocio de la organización.
d) Los riesgos identificados por la dirección.
i)Los riesgos pueden ser financieros, operacionales, legales o
regulatorios, o estratégicos.
e) El entorno actual de gestión de riesgos de la organización y de las
acciones correctivas que se han realizado.
f) Las maneras de identificar cómo la organización identifica, evalúa y
supervisa los riesgos.
2) Considerar los marcos de referencia y modelos sobre gestión de riesgos y la
Guía de Implementación 2100, Naturaleza del Trabajo.
3) Tener en cuenta las características de la organización. Por ejemplo, el tamaño,
el ciclo de vida, la madurez, los grupos de interés, el entorno, y cambios
recientes en el entorno (por ej., nuevos directivos o productos).
4) Valorar la madurez de las prácticas de gestión de riesgos de la organización y
determinar hasta qué punto la actividad de Auditoría Interna puede confiar en
la evaluación de riesgos de la dirección.
a) La Guía Práctica del IIA, Evaluación del Proceso de Gestión de Riesgos,
contiene un modelo de madurez de gestión de riesgos para medir la
madurez de gestión de riesgos de la organización.
i) El modelo de madurez de gestión de riesgos consiste de los
siguientes niveles, presentados en orden de madurez: (a) inicial, (b)
repetible, (c) definido, (d) administrado, y (e) optimizado.
ii) El nivel de madurez de la gestión de riesgo se puede medir mediante
varios elementos incluyendo la cultura de riesgo, el gobierno de
riesgos y el proceso de gestión de riesgos. Los elementos pueden
tener diferentes niveles de madurez. Por ejemplo, la cultura de
riesgo de una organización puede estar en el nivel definido de
madurez, pero el gobierno de riesgo y el proceso de gestión de
riesgos pueden estar en el nivel repetible de madurez.
iii)
Las características comunes de una gestión de riesgo madura
(es decir en el nivel optimizado de madurez) se describen a
continuación:
Cultura de riesgo: integración del riesgo en la toma de decisiones,
la compensación, las estructuras de recompensa y la fijación de
objetivos.
Gobierno de riesgo: participación en el proceso de gestión
de riesgos en toda la organización por parte de personal con
conocimientos, habilidades y competencia en gestión de riesgos.
Proceso de gestión de riesgos: identificación, evaluación de
prioridades, tratamiento, supervisión e informes de riesgos
integralmente en toda la organización.
iv) No es necesariamente óptimo o práctico para todas las
organizaciones operar al más alto nivel de madurez. Lograr un
sólido nivel 2 o 3 puede ser aceptable. Cada organización debe
determinar qué nivel de madurez es óptimo de acuerdo a sus
necesidades únicas y circunstancias.
5) Contar con un proceso para planificar, auditar e informar sobre problemas
relacionados con la gestión de riesgos.
d. Implementación de la Norma 2120
1) El director ejecutivo de auditoría debe conversar con el Consejo y la alta
dirección sobre el apetito al riesgo, la tolerancia al riesgo y la gestión de riesgo.
a) Al repasar los planes estratégicos de la organización, el plan de negocio
y las políticas, el director ejecutivo de auditoría puede determinar si los
objetivos estratégicos de la organización respaldan y están alineados
con su misión, su visión y su apetito al riesgo. Los mandos intermedios
pueden proporcionar un entendimiento adicional en el nivel de las
unidades de negocio.
2) La actividad de auditoría interna
a) Alerta a la dirección sobre nuevos riesgos, así como sobre riesgos que no
han sido adecuadamente mitigados.
b) Proporciona recomendaciones y planes de acción para una adecuada
respuesta a los riesgos (por ejemplo, aceptar, continuar, transferir, mitigar
o evitar).
c) Evalúa los procesos de gestión de riesgos.
3) Los auditores internos revisan evaluaciones de riesgos emitidos por la alta
dirección, los auditores externos, y reguladores. El propósito de ésta revisión
es para analizar cómo la organización identifica y gestiona los riesgos, y cómo
determina qué riesgos son aceptables.
a) Las responsabilidades y los procesos relacionados con el riesgo del
Consejo y de aquellos que tengan funciones clave en la gestión de
riesgos son también evaluadas.
4) La actividad de Auditoría Interna normalmente realiza sus propias evaluaciones
de riesgo.
a) Las conversaciones con el Consejo y la dirección permitirán una
alineación de las respuestas a los riesgos recomendadas con el apetito
de riesgo.
b) Un marco de referencia establecido (por ej., COSO o la Norma ISO 31000)
puede utilizarse para la identificación del riesgo.
c) (1) Nuevos desarrollos en la industria y (2) procesos que puedan ser
empleados para supervisar, evaluar y responder a los riesgos (u
oportunidades) pueden también ser investigados.
5) Los procedimientos anteriores permiten a los auditores desarrollar análisis

de deficiencias (para determinar si los riesgos significativos están siendo
identificados y evaluados adecuadamente).
6) Los auditores internos deben identificar los riesgos y las respuestas
correspondientes. “Por ejemplo, la dirección puede elegir aceptar un riesgo,
y el director ejecutivo de auditoría necesitará determinar si la decisión es
apropiada de acuerdo con el apetito al riesgo de la organización o la estrategia
de gestión de riesgos. Si el director ejecutivo de auditoría concluye que la
dirección ha aceptado un nivel de riesgos que puede ser inaceptable...,
el director ejecutivo de auditoría debe comentar este asunto con la alta
dirección y puede necesitar comunicar el tema al Consejo."
7) Si la dirección utiliza un estrategia de mitigación de riesgos, "la actividad de
Auditoría Interna puede evaluar, si es necesario si las acciones correctivas son
adecuadas y se han tomado en el momento oportuno" al revisar "el diseño del
control y probando los controles y supervisando los procedimientos.”
8) “Para evaluar si la información sobre riesgos relevantes ha sido captada y
comunicada a tiempo a toda la organización, los auditores internos pueden
entrevistar a distintos niveles de la plantilla y determinar si los objetivos, los
riesgos significativos y el apetito al riesgo ... son comprendidos en toda la
organización. Habitualmente, la actividad de Auditoría Interna también evalúa
la adecuación y la oportunidad en el tiempo de los informes de la dirección
sobre los resultados de la gestión de riesgos. La actividad de Auditoría
Interna puede revisar las actas del Consejo para determinar si los riesgos
más significativos han sido comunicados a tiempo al Consejo y si éste está
actuando para asegurar que la dirección está respondiendo adecuadamente.”
9) La actividad de auditoría interna debe también (a) asegurar que está
gestionando sus propios riesgos (por ej., el riesgo a auditorías fallidas,
aseguramiento falso y riesgos reputacionales) y (b) comprobar todas las
acciones correctivas.
e. Conformidad con la Norma 2120
1) El estatuto de auditoría interna y el plan de auditoría interna son documentos
relevantes.
2) También son relevantes las actas de reuniones en las que se hayan debatido
los elementos de la norma (por ej., recomendaciones por parte de los auditores
internos) con el Consejo, la alta dirección, equipos especiales y comités.
3) Las evaluaciones de riesgo y los planes de acción demuestran evaluación y
mejora.
f. Tres Normas de Implementación tratan las responsabilidades de los auditores

internos en la gestión de riesgos al realizar trabajos de consultoría.
Norma de Implementación 2120.C1

Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo
compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos
significativos.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los
trabajos de consultoría en su evaluación de los procesos de gestión de riesgos de la
organización.
Cuando ayudan a la dirección a establecer o mejorar los procesos de gestión de
riesgos, los auditores internos deben abstenerse de asumir cualquier responsabilidad
propia de la dirección, como es la gestión de riesgos.
4.2 MARCO COSO -- GESTIÓN DE RIESGO EMPRESARIAL

1. Marco COSO para la Gestión de Riesgo Empresarial (ERM, por sus siglas en inglés)
a. Gestión de Riesgo Empresarial - Integrando la Estrategia y el Desempeño (Marco
COSO ERM) es un marco que complementa e incorpora algunos conceptos del
marco de control interno COSO.
b. El marco COSO ERM proporciona una base para la coordinación e integración de
todas las actividades de gestión de riesgos de la organización. Una integración
efectiva (1) favorece la toma de decisiones y (2) mejora el desempeño.
2. Definición y Conceptos de la Gestión de Riesgos Empresariales (ERM)
a. La gestión de riesgos empresariales (ERM) se basa en la premisa de que
cada organización existe para generar valor a las partes interesadas. En
consecuencia, la ERM es definida como:
"La cultura, capacidades y prácticas, integradas con la estrategia y la ejecución, que
las organizaciones confían para gestionar el riesgo en la creación, mantenimiento y
realización de valor". [énfasis añadido]
b. Conceptos claves y frases.
1) La cultura consiste en las actitudes, comportamientos y conocimiento sobre
el riesgo, tanto positivo como negativo, que influyen en las decisiones de
la dirección y el personal, y se reflejan en la misión, la visión y los valores
fundamentales de la organización.
a) La misión es el propósito fundamental de la organización.
b) La visión es la aspiración de la organización a lo que pretende alcanzar a
largo plazo.
c) Los valores fundamentales son las creencias esenciales de la

organización sobre lo que se considera aceptable o inaceptable.
2) Las capacidades son las habilidades necesarias para llevar a cabo la misión y
visión.
3) Las prácticas son los métodos utilizados conjuntamente para gestionar el
riesgo.
4) Integración del establecimiento de la estrategia y el desempeño.
a) El riesgo debe considerarse al establecer la estrategia, los objetivos del
negocio, los objetivos de desempeño, y la tolerancia.
i) La estrategia comunica cómo la organización (a) logrará su misión
y visión y (b) aplicará sus valores fundamentales.
ii) Los objetivos del negocio son los pasos tomados para alcanzar la
estrategia.
iii) La tolerancia es el nivel aceptable de variación de los resultados de
desempeño. (este termino es similar a "tolerancia al riesgo" en el
marco de control interno COSO.)
b) La organización considera el efecto de la estrategia en su perfil de riesgos
y su visión a nivel de cartera.
i) El perfil de riesgo es una visión compuesta de los tipos, la
gravedad y la interdependencia de los riesgos relacionados con
una estrategia especifica o un objetivo de negocio y su efecto en el
desempeño. Un perfil de riesgo puede ser creado a cualquier nivel
(por ej., entidad, división, unidad operativa o función) o aspecto (por
ej., producto, servicio o geografía) de la organización.
Perfil de Riesgo
Figura 4-1
ii) La visión a nivel de cartera es similar a un perfil de riesgo. La

diferencia es que se trata de una vista en conjunto de los riesgos
relacionados con la estrategia y los objetivos del negocio de toda
la entidad y sus efectos en el desempeño de la entidad.
5) Gestión de riesgo.
a) Riesgo es “[L]a posibilidad de que ocurra un acontecimiento que tenga un
impacto en el alcance de la estrategia y los objetivos de negocio.”
b) Oportunidad es cualquier acción, o acción potencial, que cree o altere los
objetivos o enfoques para la creación, preservación o reconocimiento de
los valores.
c) Las prácticas de gestión de riesgo efectivas proporcionan una expectativa
razonable (no un aseguramiento absoluto) de que el riesgo asumido es
apropiado.
d) Inventario de riesgo consiste de todos los riesgos identificados que
afectan la estrategia y los objetivos del negocio.
e) Capacidad de riesgo es la cantidad máxima de riesgo que puede asumir
una organización.
f) Apetito de riesgo consiste en la cantidad y tipos de riesgo que la
organización está dispuesta a aceptar en la búsqueda del valor.
g) Riesgo inherente es el riesgo en la ausencia de las acciones por parte de
la dirección para alterar su gravedad.
i) El riesgo residual actual permanece después de las acciones por
parte de la dirección para alterar su gravedad.
h) La respuesta al riesgo es una acción que se toma para incorporar los
riesgos identificados dentro del apetito de riesgo de la organización.
i) Un perfil de riesgo residual incluye las respuestas al riesgo.
i) El riesgo residual objetivo es el riesgo que la entidad prefiere asumir
sabiendo que la dirección ha tomado acciones, o las tomará, para alterar
su gravedad.
6) El valor es
a) Creado cuando los beneficios obtenidos de los recursos utilizados
exceden sus costos.
b) Preservado cuando se mantiene el valor de los recursos utilizados.
c) Realizado cuando los beneficios se transfieren a las partes interesadas.
d) Deteriorado cuando la estrategia de la dirección no produce los
resultados esperados o la dirección no desempeña las tareas diarias.
3. Roles y Responsabilidades de la Gestión de Riesgo Empresarial
a. El Consejo proporciona supervisión de los riesgos en la cultura, habilidades y
prácticas de la gestión de riesgo empresarial. Ciertos comités del Consejo pueden
formarse para este propósito. Por ejemplo (1) un comité de auditoría (a menudo
requerido por los reguladores), (2) un comité de riesgo que supervisa directamente
la gestión de riesgo empresarial, (3) un comité ejecutivo de compensación, y
(4) un comité de nominación o gobierno que supervisa la selección de directores y
ejecutivos.
b. La dirección tiene la responsabilidad general de la gestión de riesgo empresarial
y es generalmente responsable en la gestión diaria del riesgo, incluyendo la
implementación y desarrollo del marco COSO ERM.
1) Dentro de la dirección, el director general ejecutivo tiene la responsabilidad
principal de la gestión de riesgo empresarial y el logro la estrategia y los
objetivos del negocio.
c. Una organización puede designar un director de riesgos como un punto de
coordinación centralizado para facilitar la gestión de riesgos en toda la empresa.
Este director de riesgos se conoce comúnmente como un coordinador centralizado.
d. Tres líneas de responsabilidad de la dirección:

1) La primera línea consiste en los principales propietarios del riesgo. Estos
administran el desempeño y los riesgos asumidos para lograr la estrategia y los
objetivos.
2) La segunda línea consta de las funciones de soporte (facilitadores del
negocio), por ej., un director de riesgos o un coordinador centralizado. Este
nivel de gestión proporciona orientación sobre el desempeño y los requisitos
de la gestión de riesgo empresarial, evalúa el cumplimiento con las normas y
desafía a la primera línea a tomar riesgos prudentes.
3) La tercera línea es la función de aseguramiento: auditoría interna. El auditor
interno audita (o revisa) la gestión de riesgo empresarial, identifica problemas
y mejoras, e informa al Consejo y directivas sobre los asuntos que necesitan
solución.
4. Componentes de la Gestión de Riesgo Empresarial
Gestión de Riesgo Empresarial
a.
Figura 4-2
El marco COSO ERM consiste de cinco componentes interrelacionados. Veinte
principios se distribuyen entre los componentes.
1) Los componentes de los aspectos de soporte son
a) Gobierno y cultura e
b) Información, comunicación y presentación de informes.
2) Los componentes de los procesos comunes son
a) Estrategia y definición de objetivos,
b) Desempeño, y
c) Análisis y revisión.
5. Gobierno y Cultura
a. El gobierno fija el tono de la organización y establece las responsabilidades de la
gestión de riesgos empresariales. La cultura se refiere a las conductas deseadas,
valores, y el entendimiento general del riesgo que tiene el personal dentro de la
organización. Cinco principios se relacionan con el gobierno y la cultura:
1) El Consejo ejerce la supervisión del riesgo.
a) El Consejo en pleno generalmente es responsable de la supervisión del
riesgo. Sin embargo, el Consejo puede delegar la supervisión del riesgo a
un comité del Consejo, como un comité de riesgo.
i) La dirección generalmente tiene la responsabilidad diaria
de gestionar el desempeño y los riesgos tomados para el logro de
la estrategia y los objetivos de negocio.
b) El rol de supervisión del Consejo puede incluir, pero no se limita a,

i) Revisar y desafiar las decisiones relacionadas con la estrategia, el
apetito de riesgo, y las decisiones comerciales significativas (por
ej., fusiones y adquisiciones).
ii) Aprobación de la remuneración de la dirección.
iii) Participación en las relaciones con las partes interesadas.
c) La supervisión del riesgo es más efectiva cuando el Consejo
i)
Posee las habilidades, experiencia y conocimiento del negocio
para (a) comprender la estrategia y la industria de la organización
y (b) mantener esta comprensión a medida que el contexto del
negocio cambia.
ii) Es independiente de la organización.
iii) Determina si las capacidades y prácticas de la gestión de riesgo
empresarial mejoran el valor.
iv) Tiene un entendimiento de los prejuicios organizacionales (por
ej., una tendencia e evitar excesivamente el riesgo o la toma
de riesgos) que influye en la toma de decisiones y desafía a la
dirección a minimizarlos.
2) La organización establece estructuras operativas.
a) Éstas describen cómo la entidad está organizada y realiza sus
operaciones del día a día.
b) Éstas generalmente están alineadas con la estructura legal de la
organización y la estructura de la gestión.
i) La estructura legal determina cómo opera la entidad (por ej., como
una entidad única legal, o como múltiples y distintas entidades
legales).
ii) La estructura de la gestión establece las líneas de reporte
(por ej., reporte directo versus reporte secundario), roles, y
responsabilidades. La dirección es responsable de definir
claramente los roles y responsabilidades.
c) Los factores a considerar al establecer y evaluar las estructuras operativas
incluyen
i)
La estrategia y objetivos de negocio, incluyendo los riesgos
relacionados.
ii) La naturaleza, tamaño, y distribución geográfica.
iii) Asignación de autoridad, rendición de cuentas y responsabilidad en
todos los niveles.
iv) Tipos de líneas de reporte y canales de comunicación.
v) Requerimientos de informes (por ej., financieros, fiscales ,
regulatorios y contractuales).
3) La organización define la cultura deseada.
a) El Consejo y la dirección son responsables de definir la cultura.
b) La cultura está moldeada por factores internos y externos.
i) Los factores internos incluyen (a) el nivel de juicio y autonomía
permitidos al personal, (b) normas y reglas, y (c) el sistema de
recompensa establecido.
ii) Los factores externos incluyen (a) los requerimientos legales y
(b) las expectativas de las partes interesadas (por ej., clientes e
inversionistas).
c) La definición de cultura de la organización determina su ubicación en

el espectro cultural, el cual va desde la aversión del riesgo al riesgo
agresivo.
Figura 4-3
4) La organización demuestra compromiso con los valores básicos.

a) Los valores básicos de la organización deben verse reflejados en todas
sus acciones y decisiones.
b) El tono de la organización es la manera en que se comunican los valores
básicos en toda la organización.
c) Cuando la cultura consciente de los riesgos y el tono están alineados,
las partes interesadas tienen la certeza que la organización está
cumpliendo con sus valores básicos.
5) La organización atrae, desarrolla y retiene al personal capacitado.
a) La dirección es responsable de definir el capital humano necesario (las
competencias necesarias) para lograr la estrategia y los objetivos de
negocio.
b) La función de recursos humanos asiste a la dirección en el desarrollo
de los requerimientos de competencia a través de procesos que atraen,
capacitan, asesoran, evalúan, recompensan y retienen a individuos
competentes.
c) Los planes de contingencia deben desarrollarse para prepararse para
la sucesión. Dichos planes capacitan al personal selecto para asumir
responsabilidades vitales para la gestión de riesgos empresariales.
Por ejemplo la capacitación de un gestor de riesgos para que asuma la
posición de director de riesgos.
6. Estrategia y Definición de Objetivos
a. La estrategia debe respaldar la misión, la visión y los valores fundamentales de la
organización. La integración de la gestión de riesgos empresariales con la definición
de la estrategia ayuda a comprender el perfil de riesgo relacionado con la estrategia
y los objetivos de negocio. Cuatro principios se relacionan con la estrategia y
definición de objetivos:
1) La organización analiza el contexto de negocios y su efecto en el perfil de
riesgo.
a) El contexto de negocio se refiere a las relaciones, eventos, tendencias y
otros factores que influyen en la estrategia y los objetivos de negocio de
la organización. En consecuencia, el contexto de negocio incluye los
entornos internos y externos de la organización.
i) El entorno interno consta de factores relacionados con cuatro
categorías: (a) capital (por ej., activos), (b) personas (por ej.,
habilidades y actitudes), (c) procesos (por ej., tareas, políticas y
procedimientos), y (d) tecnología (por ej., tecnología empleada).
ii) El entorno externo consta de factores relacionados con las

siguientes seis categorías: (a) política (intervención del gobierno e
influencia), (b) económica (por ej., tasas de interés y disponibilidad
de crédito), (c) social (por ej., preferencias del consumidor y
demográficos), (d) tecnológica (por ej., actividades de investigación
y desarrollo), (e) legal (leyes, regulaciones y normativas de la
industria), y (f) ambiental (por ej., cambio climático).
b) El contexto de negocio puede ser
i)
Dinámico. Los riesgos nuevos, emergentes y cambiantes pueden
aparecer en cualquier momento (Por ej., las bajas barreras de
entrada permiten que surjan nuevos competidores).
ii) Complejo. Un contexto puede tener muchas interdependencias e
interconexiones (por ej., una empresa transnacional tiene varias
unidades operativas alrededor del mundo, cada una con factores
ambientales externos únicos).
iii) Impredecible. El cambio se produce rápidamente y de maneras
imprevistas (por ej., fluctuaciones monetarias).
c) El efecto del contexto de negocio en el perfil de riesgo puede analizarse
basándose en función del desempeño pasado, presente y futuro.
2) La organización define el apetito de riesgo (la cantidad de riesgo que está
dispuesta a aceptar en busca del valor).
a) La organización considera su misión, visión, cultura, estrategias previas
y capacidad de riesgo (el riesgo máximo que puede asumir) para
establecer su apetito de riesgo.
b) Al establecer el apetito de riesgo, se busca el equilibrio óptimo de
oportunidad y riesgo.
i)El apetito de riesgo rara vez se establece por encima de la
capacidad de riesgo.
c) El apetito de riesgo puede expresarse cualitativamente (por ej., bajo,
moderado, alto) o cuantitativamente (por ej., como un porcentaje de
una cantidad financiera). Pero este debe reflejar cómo se expresan los
resultados de la evaluación de riesgos.
d) El Consejo aprueba el apetito de riesgo, y la dirección lo comunica a
través de la organización.
3) La organización evalúa estrategias alternativas y sus efectos en el perfil de
riesgo.
a) Los enfoques para evaluar la estrategia incluyen análisis FODA
(Fortalezas-Debilidades-Oportunidades-Amenazas), análisis de la
competencia y análisis de escenarios.
b) La organización debe evaluar
i)
La alineación de la estrategia con su misión, visión, valores
fundamentales y apetito de riesgo y
ii) Las implicaciones de la estrategia elegida (sus riesgos,
oportunidades y efectos en el perfil de riesgo).
c) La estrategia debe cambiarse si no crea, realiza o conserva el valor.
4) La organización formula objetivos de negocios que se alinean con una
estrategia de apoyo.
a) Los objetivos de negocio son (1) específicos, (2) medibles,
(3) observables, y (4) asequibles.
b) Los objetivos de negocio pueden relacionarse, entre otros, con el

desempeño financiero, excelencia operacional, o las obligaciones de
cumplimiento.
c) Se establecen medidas de desempeño, objetivos y tolerancias (el rango
de variación aceptable en el desempeño) para evaluar el logro de los
objetivos.
7. Desempeño
a. El desempeño se relaciona con las prácticas de gestión de riesgos empresarial que
respaldan las decisiones de la organización en busca de valor. Estas prácticas
consisten en identificar, evaluar, priorizar, responder y desarrollar una visión de
riesgo a nivel de cartera. Cinco principios se relacionan con el desempeño:
1) La organización identifica los riesgos que afectan el desempeño de la
estrategia y los objetivos de negocio.
a) La organización debe identificar los riesgos que interrumpen las
operaciones y afectan la expectativa razonable de alcanzar la estrategia
y los objetivos comerciales.
b) Se identifican riesgos nuevos, emergentes y cambiantes. Algunos
ejemplos son los riesgos que resultan de los cambios en los objetivos de
negocio o el contexto de negocio.
i)
La organización también identifica oportunidades. Estas son
acciones, o acciones potenciales, que crean o alteran objetivos o
enfoques para la creación, preservación o realización de valor. Se
diferencian de los eventos positivos, las ocurrencias en las que el
desempeño supera el objetivo inicial.
c) Los métodos y enfoques de identificación de riesgos incluyen (1)
actividades cotidianas (por ejemplo, presupuestos, planificación
comercial o revisión de quejas de los clientes), (2) cuestionarios simples,
(3) talleres facilitados, (4) entrevistas o (5) seguimiento de datos.
d) El inventario de riesgos consiste en todos los riesgos que pueden afectar
a la entidad.
e) La identificación de riesgos y oportunidades debe ser integral en todos los
niveles y funciones de la entidad.
2) La organización evalúa la gravedad del riesgo. La gravedad es una medida
de consideraciones tales como el impacto, la probabilidad, y el tiempo para
recuperarse de los eventos.
a) Las medidas comunes de gravedad de riesgo incluyen combinaciones de
impacto y probabilidad.
i) Impacto es el resultado o efecto del riesgo. El impacto puede ser
positivo o negativo.
ii) Probabilidad es la posibilidad de que un evento ocurra. La
probabilidad puede expresarse cualitativamente (por ej., una
probabilidad remota), cuantitativamente (por ej., una probabilidad
del 75%), o en términos de frecuencia (por ej., una vez cada seis
meses).
b) El horizonte de tiempo para evaluar el riesgo debe ser idéntico al de la
estrategia y objetivo del negocio. Por ejemplo, el riesgo que afecta una
estrategia que toma dos años en efectuarse debe ser evaluada durante el
mismo periodo.
c) El riesgo es evaluado en múltiples niveles (por ej., entidad, división,
unidad operativa y función) de la organización y se vincula con la
estrategia relacionada y los objetivos de negocio.
i) La gravedad de un riesgo puede varias a través de los niveles. Por

ejemplo, un riesgo con alta gravedad a nivel operativo, puede tener
una gravedad baja o moderada a nivel de la entidad.
d) Se pueden utilizar métodos cualitativos y cuantitativos para evaluar el
riesgo.
i) Los métodos cualitativos son más eficientes y menos
costosos que los métodos cuantitativos. Algunos ejemplos
son: entrevistas, encuestas y evaluaciones comparativas
(benchmarking).
ii) Los métodos cuantitativos son más precisos que los métodos
cualitativos. Algunos ejemplos son árbol de decisiones, modelo
(probabilístico o no probabilístico), y el método de Montecarlo.
e) La organización debe reevaluar la gravedad cada vez que se produzcan
eventos desencadenantes, como cambios en el contexto de negocio y
apetito de riesgo.
f) La evaluación de riesgos debe considerar el riesgo inherente, el riesgo
residual objetivo y el riesgo residual real.
g) Los resultados de la evaluación pueden presentarse utilizando un mapa
de calor de riesgos, que resalta la gravedad relativa de cada riesgo.
Cuanto más cálido es el color, más grave es el riesgo
Mapa de Calor del Objetivo de Negocio
Figura 4-4
3) La organización prioriza los riesgos en todos los niveles.
a) La priorización de riesgos permite a la organización optimizar la
asignación de sus recursos limitados.
b) Además de la gravedad (por ejemplo, el impacto y la probabilidad), al
priorizar los riesgos se consideran los siguientes factores:
i) Criterios acordados
ii) Apetito de riesgo
iii) La importancia de los objetivos de negocio afectados
iv) Los niveles organizacionales afectados.
c) Los criterios acordados son utilizados para evaluar las características de
los riesgos y para determinar la capacidad de la entidad para responder
adecuadamente. Se da una mayor prioridad a los riesgos que más
afectan los criterios. Algunos ejemplos de criterio incluyen los siguientes:
i) La Complejidad es la naturaleza y el alcance de un riesgo, por ej.,
la interdependencia de riesgos.
ii)La Velocidad es la rapidez en la que un riesgo afecta a la entidad.

iii)
La Persistencia es el tiempo que un riesgo afecta a la entidad,
incluido el tiempo que tarda la entidad en recuperarse.
iv) La Adaptabilidad es la capacidad de la entidad para ajustarse y
responder a los riesgos.
v) La Recuperación es la capacidad de la entidad (no el tiempo) para
volver a la tolerancia.
d) Una mayor prioridad también se asigna a los riesgos que
i)
Se acercan o exceden el apetito de riesgo.
ii)
Causan que los niveles de desempeño se acerquen a los limites de
la tolerancia, o
iii) Afectan la entidad por completo, u ocurren a nivel de la entidad.
4) La organización identifica y selecciona las respuestas ante los riesgos,
reconociendo que el riesgo puede gestionarse pero no eliminarse. Los riesgos
deben ser gestionados dentro del contexto y objetivo de negocio, los objetivos
de desempeño y el apetito de riesgo.
a) Las siguientes son las cinco categorías de las respuestas ante el riesgo:
i) Aceptar. No se toma ninguna acción para alterar la gravedad del
riesgo. La aceptación es adecuada cuando el riesgo está dentro del
apetito de riesgo.
ii) Evitar. Se toman medidas para eliminar el riesgo (por ejemplo,
descontinuar una línea de productos o vender una subsidiaria). La
prevención generalmente sugiere que ninguna respuesta reduciría
el riesgo a un nivel aceptable.
iii) Perseguir. Se toman medidas para aceptar un mayor riesgo para
mejorar el desempeño sin exceder la tolerancia aceptable.
iv) Reducir. Se toman medidas para reducir la gravedad de riesgo de
modo que se encuentre dentro del perfil de riesgo residual objetivo
y el apetito de riesgo.
v) Compartir. Se toman medidas para reducir la gravedad del riesgo
al transferir una porción del riesgo a otras partes. Por ejemplo
seguros, cobertura, empresas conjuntas y subcontrataciones.
b) Los siguientes son los factores considerados en la selección e
implementación de las respuestas ante los riesgos:
i)
Se deben escoger para, o adaptarse a, el contexto de negocio.
ii)
Los costos y beneficios deben ser proporcionales a la gravedad del
riesgo y su prioridad.
iii) Deben continuar cumpliendo con obligaciones (por ej., estándares
de la industria) y el logro de las expectativas (por ej., la misión, la
visión y las expectativas de las partes interesadas).
iv) Deben ubicar el riesgo dentro del apetito de riesgo y concluir en
resultados de desempeño dentro de la tolerancia.
v) La respuesta al riesgo debe reflejar la gravedad del riesgo.
c) Las actividades de control están diseñadas e implementadas para
garantizar que las respuestas a los riesgos se lleven a cabo. (La guía
de COSO para las actividades de control se describe en la Unidad de
Estudio 5, Subunidad 3.)
5) La organización desarrolla y evalúa una visión del riesgo a nivel de cartera.
a) La culminación de la identificación, evaluación, priorización y respuesta
del riesgo es la visión completa de la cartera de riesgos.
b) Las siguientes cuatro visiones de riesgo tienen diferentes niveles de

integración de riesgo:
i) Visión de riesgo (integración mínima). Los riesgos son
identificados y evaluados. Se enfatiza en el evento, no en el
objetivo de negocio.
ii) Visión de categoría de riesgo (integración limitada). Los riesgos
identificados y evaluados se categorizan. Por ejemplo, en base a
las estructuras operativas.
iii) Visión de perfil de riesgo (integración parcial). Los riesgos están
vinculados a los objetivos de negocio que afectan, y cualquier
dependencia entre los objetivos se identifica y evalúa. Por ejemplo,
un objetivo de aumentar las ventas puede depender de un objetivo
para introducir una nueva línea de productos.
iv) Visión de cartera (integración completa). Esta visión compuesta
de los riesgos se relaciona con la estrategia y los objetivos de
negocio de toda la entidad y su efecto en el desempeño de la
entidad. En el nivel superior, existe mayor énfasis en la estrategia.
Por lo tanto, la responsabilidad por los objetivos de negocio y los
riesgos específicos se difunde a través de la entidad.
c) Utilizando una visión del riesgo a nivel de cartera, la dirección determina
si el perfil de riesgo residual de la entidad (perfil de riesgo que incluye
respuestas ante el riesgo) se alinea con el apetito de riesgo general.
d) Se pueden utilizar métodos cualitativos y cuantitativos para evaluar
cómo los cambios en el riesgo pueden afectar la visión de riesgo a nivel
de cartera.
i) Los métodos cualitativos incluyen evaluaciones comparativas
(benchmarking), análisis de escenarios y pruebas de estrés.
ii) Los métodos cuantitativos incluyen el análisis estadístico.
8. Análisis y Revisión
a. La organización analiza y revisa sus capacidades y practicas actuales de gestión de
riesgo empresarial basándose en los cambios en la estrategia y los objetivos de
negocios. Tres principios se relacionan con el análisis y la revisión:
1) La organización identifica y evalúa los cambios que pueden afectar
sustancialmente la estrategia y los objetivos de negocio.
a) Es más probable que los cambios en el contexto y la cultura del negocio
de la organización afecten sustancialmente la estrategia y los objetivos
del negocio.
b) Tales cambios pueden resultar de cambios en el entorno interno o externo
de la organización.
i)
Los cambios sustanciales en el entorno interno incluyen aquellos
que se deben al rápido crecimiento, la innovación y la rotación del
personal clave.
ii) Los cambios sustanciales en el entorno externo incluyen aquellos
en la economía o las regulaciones
2) La organización revisa los resultados de desempeño de la entidad y considera
el riesgo.
a) Los resultados de desempeño que se desvían del desempeño objetivo
o la tolerancia pueden indicar (1) riesgos no identificados, (2) riesgos
evaluados incorrectamente, (3) nuevos riesgos, (4) oportunidades para
aceptar más riesgos, o (5) la necesidad de revisar el desempeño objetivo
o la tolerancia.
3) La organización busca la mejora de la gestión de riesgos empresariales.

a) La organización debe mejorar continuamente la gestión de riesgos
empresariales en todos los niveles, incluso si el rendimiento actual está
alineado con el desempeño objetivo o la tolerancia.
b) Los métodos para identificar áreas de mejora incluyen evaluaciones
continuas o separadas y comparaciones entre pares (revisiones
de pares de la industria). (La guía de COSO para las actividades de
monitoreo se describe en la Unidad de Estudio 5, Subunidad 3.)
9. Información, Comunicación y Reporte
a. La organización debe capturar, procesar, administrar (organizar y almacenar) y
comunicar información oportuna y relevante para identificar los riesgos que
puedan afectar la estrategia y los objetivos de negocio. Tres principios se
relacionan con la información, la comunicación y reporte:
1) La organización aprovecha la información y la tecnología para respaldar la
gestión de riesgos empresariales.
a) Los datos son informaciones en bruto recopiladas para su análisis, uso
o referencia. La información es procesada, organizada y estructurada
sobre un hecho o circunstancia. Los sistemas de información transforman
los datos (por ejemplo, datos de riesgo) en información relevante (por
ejemplo, información de riesgo).
i) El conocimiento son datos transformados en información.
ii) La información es relevante si ayuda a la organización a ser más
ágil en la toma de decisiones, dándole una ventaja competitiva.
b) Los datos estructurados generalmente están bien organizados y son
fáciles de consultar (por ejemplo, hojas de cálculo, índices públicos o
archivos de base de datos).
i) Los datos no estructurados no están organizados o carecen de un
patrón predefinido (por ejemplo, documentos de procesamiento de
textos, videos, fotos o mensajes de correo electrónico).
c) Las prácticas de gestión de datos ayudan a garantizar que la información
sobre riesgos sea útil, oportuna, relevante y de alta calidad. Los
siguientes son los elementos de la gestión efectiva de datos:
i)
Gobierno de datos e información. Se establecen estándares para
la entrega, calidad, puntualidad, seguridad y arquitectura de los
datos. Los roles y responsabilidades también se definen para los
propietarios de información de riesgos y propietarios de datos.
ii) Procesos y controles. Las actividades se implementan para
garantizar que los estándares de datos establecidos se refuercen y
se hagan correcciones según sea necesario.
iii) Arquitectura de gestión de datos. La tecnología de la información
está diseñada para determinar qué datos se recopilan y cómo se
utilizan.
d) Los sistemas de información deben ser adaptables al cambio. A medida
que la organización adapta su estrategia y objetivos de negocio en
respuesta a los cambios en el contexto de negocio, sus sistemas de
información también deben cambiar.
2) La organización utiliza canales de comunicación para respaldar la gestión de
riesgo empresarial.
a) Comunicaciones sobre los riesgos
i) La dirección comunica la estrategia y los objetivos de negocio de

la organización a las partes interesadas internas (por ejemplo, el
personal y el Consejo) y externas (por ejemplo, los accionistas).
ii) Las comunicaciones entre la dirección y el Consejo deben incluir
discusiones continuas sobre el apetito de riesgo.
b) Canales y métodos.
i)
Las organizaciones deben adoptar canales de comunicación
abiertos para permitir que la información de riesgo se envíe y
reciba en ambos sentidos (por ejemplo, desde y hacia el personal o
los proveedores).
ii) Los métodos de comunicación incluyen documentos escritos (por
ejemplo, políticas y procedimientos), mensajes electrónicos (por
ejemplo, correo electrónico), eventos públicos o foros (por ejemplo,
reuniones municipales) y comunicaciones informales o verbales
(por ejemplo, discusiones individuales).
iii) El Consejo puede celebrar reuniones trimestrales formales o
convocar reuniones extraordinarias (reuniones especiales para
tratar asuntos urgentes).
3) La organización elabora reportes de riesgos, cultura y desempeño en múltiples
niveles y en toda la entidad.
a) El propósito de los reportes es respaldar al personal en su
i) Comprensión de las relaciones entre riesgo, cultura y desempeño.
ii) Toma de decisiones relacionadas con (a) el establecimiento de la
estrategia y los objetivos, (b) el gobierno y (c) las operaciones
diarias.
b) Los reportes combinan información de riesgo cualitativa y cuantitativa,
con un mayor énfasis en la información que respalda las decisiones
prospectivas.
c) La dirección es responsable de implementar los controles para
garantizar que los reportes sean precisos, completos y claros.
d) La frecuencia de los reportes se basa en la gravedad y la prioridad del
riesgo
e) Los reportes sobre cultura se pueden comunicar, entre otros medios,
mediante encuestas y análisis de lecciones aprendidas.
f) Los indicadores clave de riesgo deben reportarse junto con
los indicadores clave de desempeño para enfatizar la relación entre
riesgo y desempeño.
10. Evaluando la Gestión de Riesgo Empresarial
a. El marco COSO ERM proporciona criterios para evaluar si la cultura, las capacidades
y las prácticas de gestión de riesgo empresarial de la organización, gestionan
conjuntamente y de manera efectiva los riesgos para la estrategia y los objetivos de
negocio.
b. Cuando los componentes, principios y controles de soporte están presentes y en
funcionamiento, se espera razonablemente que la gestión de riesgo empresarial
gestione los riesgos de manera eficaz y ayude a crear, preservar y obtener valor.
1) Presente significa que los componentes, principios y controles existen en el
diseño e implementación de la gestión de riesgo empresarial para el logro
de los objetivos.
2) Funcionamiento significa que los componentes, principios y controles
continúan operando para lograr los objetivos.
4.3 MARCO DE GESTIÓN DE RIESGOS ISO 31000
El marco de gestión de riesgos ISO 31000 es un tema de gestión de riesgos frecuentemente evaluado. En
consecuencia, el dominio de este marco aumentará su probabilidad de éxito en el examen
1. ISO 31000 – Principios, Marco y Proceso

a. El ISO 31000 es un enfoque basado en principios para la gestión de riesgos. Estos
principios proporcionan el fundamento de la gestión de riesgo comunicando su valor
y explicando su intención y propósito. El propósito de la gestión del riesgo es la
creación y la protección del valor. Sus principios se describen a continuación:
1) Integrada. La gestión del riesgo es parte integral de todas las actividades de la
organización.
2) Estructurada y exhaustiva .Un enfoque estructurado y exhaustivo hacia la
gestión del riesgo contribuye a resultados coherentes y comparables.
3) Adaptada. El marco de referencia y el proceso de la gestión del riesgo
se adaptan y son proporcionales a los contextos externo e interno de la
organización relacionados con sus objetivos.
4) Inclusiva. La participación apropiada y oportuna de las partes interesadas
permite que se consideren su conocimiento, puntos de vista y percepciones.
Esto resulta en una mayor toma de conciencia y una gestión del riesgo
informada
5) Dinámica. Los riesgos pueden aparecer, cambiar o desaparecer con los
cambios de los contextos externo e interno de la organización. La gestión del
riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una
manera apropiada y oportuna
6) Mejor información disponible. Las entradas a la gestión del riesgo se basan
en información histórica y actualizada, así como en expectativas futuras.
La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e
incertidumbre asociada con tal información y expectativas. La información
debería ser oportuna, clara y disponible para las partes interesadas
pertinentes.
7) Factores humanos y culturales. El comportamiento humano y la cultura influyen
considerablemente en todos los aspectos de la gestión del riesgo en todos los
niveles y etapas
8) Mejora continua. La gestión del riesgo mejora continuamente mediante
aprendizaje y experiencia.
Figura 4-5
b. Un marco de referencia de gestión del riesgo es un conjunto de componentes

que incluyen liderazgo y compromiso, integración, diseño, implementación,
valoración y mejoramiento de la gestión de riesgo. Se describen los 6 componentes
a continuación:
1) El Consejo y la alta dirección demuestran liderazgo y
compromiso implementando todos los componentes del marco de
referencia; publicando una declaración o una política que establezca un
enfoque, un plan o una línea de acción para la gestión del riesgo; asegurando
que los recursos necesarios se asignan para gestionar los riesgos; y asignando
autoridad, responsabilidad y obligación de rendir cuentas en los niveles
apropiados dentro de la organización.
2) La integración del marco dentro de todas las facetas de la organización,
incluyendo sus objetivos, estructura, gobernanza y cultura es un proceso
dinámico. Todos los miembros de una organización tienen la responsabilidad
de gestionar el riesgo.
3) El diseño del marco incluye:

a) Comprensión de la organización y de su contexto
b) Articulación del compromiso con la gestión del riesgo
c) Asignación de roles, autoridades, responsabilidades y obligación de rendir
cuentas en la organización
d) Asignación de recursos (por ejemplo, personas,
experiencias, procesos, los sistemas de gestión de la información)
para ayudar en la gestión de riesgos a la vez que se consideran las
competencias y limitaciones de los recursos existentes
e) Establecimiento de la comunicación y la consulta
4) La implementación del marco se puede lograr mediante el desarrollo de un
plan; la identificación del proceso de toma de decisiones dentro de la
organización, la modificación de los procesos aplicables para la toma de
decisiones; el aseguramiento de que las disposiciones de la organización para
gestionar el riesgo son claramente comprendidas y puestas en práctica por las
partes interesadas.
5) La valoración de la eficacia del marco de referencia de la gestión del
riesgo incluye medir periódicamente el desempeño del marco de referencia de
la gestión del riesgo con relación a su propósito.
6) El mejoramiento del marco se realiza a través del seguimiento continuo y la
adaptación del marco de referencia de la gestión del riesgo en función de los
cambios externos e internos. Al hacer esto, la organización puede mejorar su
valor.
Figura 4-6
c. El proceso de gestión de riesgos consiste de los siguientes elementos:

1) El propósito de la comunicación y consulta es asistir a las partes interesadas
pertinentes a comprender el riesgo, las bases con las que se toman
decisiones y las razones por las que son necesarias acciones específicas.
La comunicación busca promover la toma de conciencia y la comprensión
del riesgo, mientras que la consulta implica obtener retroalimentación e
información para apoyar la toma de decisiones.
2) El propósito del establecimiento del alcance, contexto y criterios es adaptar el
proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz
y un tratamiento apropiado del riesgo. El alcance, el contexto y los criterios
implican definir el alcance del proceso, y comprender los contextos externo e
interno.
a) El contexto de los procesos de gestión se derivan de la comprensión de
los contextos internos y externos de la organización.
3) La evaluación del riesgo es el proceso global de identificación del riesgo,
análisis del riesgo y valoración del riesgo.
a) La identificación del riesgo encuentra, reconoce y describe los riesgos
que pueden ayudar o impedir a una organización lograr sus objetivos.
i)Por ejemplo considera las fuentes del riesgo, los cambios en los
contextos, las amenazas y las oportunidades, los indicadores de
riesgos emergentes, y las consecuencias y sus impactos en los
objetivos.
b) El análisis del riesgo examina la naturaleza, características, y
complejidad del riesgo. Considera factores tales como la probabilidad
de los eventos y de las consecuencias, la eficacia de los controles
existentes, y los niveles de sensibilidad y de confianza.
c) La valoración del riesgo apoya la toma de decisiones al comparar los
resultados del análisis del riesgo con los criterios del riesgo establecidos
para determinar cuándo se requiere una acción adicional.
4) El tratamiento del riesgo es un proceso iterativo de selección de los
tratamientos del riesgo (por ejemplo, aceptar, evitar, eliminar, reducir,
compartir, retener), preparación e implementación de los planes de tratamiento
del riesgo, evaluar la efectividad y determinar si el riesgo residual es aceptable,
y adoptar un tratamiento adicional si el primero no fue efectivo.
5) El seguimiento y revisión deberían tener lugar en todas etapas del proceso
para asegurar y mejorar su calidad y eficacia.
6) El registro e informe de los proceso de la gestión del riesgo y sus resultados
se deberían documentar e informar a través de los mecanismos apropiados
para comunicar y mejorar las actividades de la gestión de riesgo, proporcionar
información para la toma de decisiones, y asistir la interacción con las partes
interesadas.
Figura 4-7
2. ISO 31000- Responsabilidades de la Gestión de Riesgos

a) El Consejo es responsable de supervisar la gestión de riesgo y tiene la
responsabilidad general de garantizar que los riesgos son gestionados y
que el sistema de gestión de riesgos es efectivo.
b) La dirección es responsable de establecer la actitud de riesgo de
la organización, la cual es definida por ISO como “un enfoque de la
organización para evaluar y eventualmente buscar, retener, tomar o
alejarse del riesgo”. La dirección también identifica y gestiona los riesgos.
c) La actividad de auditoría interna es responsable de proporcionar
aseguramiento respecto al sistema de gestión de riesgos en su totalidad.
3. ISO 31000- Métodos de aseguramiento
a. El ISO 31000 describe tres enfoques para proporcionar aseguramiento en el proceso
de gestión de riesgos: (1) principios clave, (2) elementos del proceso, y (3) modelo
de madurez.
1) El enfoque de los principios clave evalúa si los principios de gestión de
riesgos están en práctica.
2) El enfoque de los elementos del proceso evalúa si los elementos de gestión
de riesgos se han puesto en práctica.
El enfoque del modelo de madurez es un enfoque de aseguramiento que se incluye frecuentemente en el examen.
Tener un profundo conocimiento sobre este enfoque aumentará su probabilidad de éxito en el examen.
3) El enfoque del modelo de madurez se basa en el principio de que los procesos

de gestión de riesgos eficaces se desarrollan y mejoran con el tiempo a medida
que se agrega valor en cada etapa del proceso de maduración.
a) En consecuencia, este enfoque determina dónde se ubica la gestión
del riesgo en la curva de madurez y si (1) está progresando como
se esperaba, (2) agrega valor, y (3) satisface las necesidades de la
organización.
b) ) Un ejemplo de curva de madurez (por ej., el modelo de madurez) es

el modelo de capacidad y madurez (CMM, por sus siglas en inglés).
Este modelo está compuesto por los siguientes cinco niveles de madurez
presentados por orden de madurez (a) inicial, (b) repetible, (c) definido,
(d) gestionado, y (e) optimizado.
●En el nivel inicial pocos procesos son definidos.
●En el nivel repetible se establecen los procesos básicos.
● En el nivel definido se desarrollan los parámetros.
● En el nivel gestionado se definen las medidas de desempeño.
● En el nivel optimizado se habilita el mejoramiento continuo.
c) El Modelo Integrado de Madurez de Capacidades (CMMI) V2.0 se
enfoca en el desempeño organizacional en cada nivel de madurez.
Este modelo consiste de los siguientes niveles presentados en nivel
de madurez: incompleto, inicial, gestionado, definido, gestionado
cuantitativamente, optimizado.
●Nivel 0 - Incompleto: Se desconoce si el trabajo puede
completarse.
● Nivel 1 - Inicial: El trabajo se completa pero a menudo se
retrasa y se supera el presupuesto.
● Nivel 2 - Gestionado: Los proyectos son planeados,
ejecutados, medidos y controlados.
● Nivel 3 - Definido:. Los estándares de toda la organización
proporcionan orientación a través de proyectos y programas.
● Nivel 4 - Gestionado cuantitativamente:La organización
se basa en datos con objetivos cuantitativos de mejora del
rendimiento que son predecibles y se alinean para satisfacer
las necesidades de los interesados internos y externos.
● Nivel 5 - Optimizado: La organización se centra en la mejora
continua y está diseñada para responder a las oportunidades
y al cambio.
d) Un aspecto vital del enfoque del modelo de madurez es que el desempeño
de la gestión de riesgos y el progreso en la ejecución del plan de gestión
de riesgos, deben estar vinculados a un sistema de medición de
desempeño. Este sistema generalmente consiste en:
i) Estándares de desempeño
ii) Criterios sobre cómo pueden cumplirse los parámetros.
iii) Un método para comparar el desempeño actual con cada estándar
iv) Un método para registrar e informar el desempeño y las mejoras en
el desempeño
v) Una verificación periódica independiente de la evaluación de la
dirección.
4. Marco Turnbull de Gestión de Riesgos
a. A diferencia del enfoque ISO 31000 basado en principios, el marco de gestión de
riesgo Turnbull hace énfasis en el control interno, la evaluación de su efectividad y
el análisis del riesgo.

CIA - SU4 - Gestion de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CIA - SU4 - Gestion de Riesgos

Cargado por

Copyright:

Formatos disponibles

1

UNIDAD DE ESTUDIO CUATRO

4.1 Procesos de Gestión de Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Gobierno, Gestión de Riesgos y Control (35 %)

4.1 PROCESOS DE GESTIÓN DE RIESGOS

Norma de Desempeño 2120

2. El Proceso de Gestión de Riesgos

c) Este modelo simple y el proceso de evaluación de riesgo resultante, se

● Si la amenaza más probable se considera el mayor riesgo, el Riesgo D se ubicará en una

b) La retención del riesgo acepta el riesgo de una actividad. Este término

b. La alta dirección y el Consejo determinan el rol de la actividad de auditoría interna

Interpretación de la Norma 2120

● Los objetivos de la organización apoyan a la misión de la organización

b. Dos Normas de Implementación vinculan la evaluación de riesgo a áreas de riesgo

Norma de Implementación 2120.A1

c. De acuerdo a la Guía de Implementación 2120, Gestión de Riesgos, el director

5) Los procedimientos anteriores permiten a los auditores desarrollar análisis

f. Tres Normas de Implementación tratan las responsabilidades de los auditores

Norma de Implementación 2120.C1

4.2 MARCO COSO -- GESTIÓN DE RIESGO EMPRESARIAL

c) Los valores fundamentales son las creencias esenciales de la

ii) La visión a nivel de cartera es similar a un perfil de riesgo. La

d. Tres líneas de responsabilidad de la dirección:

b) El rol de supervisión del Consejo puede incluir, pero no se limita a,

c) La definición de cultura de la organización determina su ubicación en

4) La organización demuestra compromiso con los valores básicos.

ii) El entorno externo consta de factores relacionados con las

b) Los objetivos de negocio pueden relacionarse, entre otros, con el

i) La gravedad de un riesgo puede varias a través de los niveles. Por

ii)La Velocidad es la rapidez en la que un riesgo afecta a la entidad.

b) Las siguientes cuatro visiones de riesgo tienen diferentes niveles de

3) La organización busca la mejora de la gestión de riesgos empresariales.

i) La dirección comunica la estrategia y los objetivos de negocio de

4.3 MARCO DE GESTIÓN DE RIESGOS ISO 31000

1. ISO 31000 – Principios, Marco y Proceso

b. Un marco de referencia de gestión del riesgo es un conjunto de componentes

3) El diseño del marco incluye:

c. El proceso de gestión de riesgos consiste de los siguientes elementos:

2. ISO 31000- Responsabilidades de la Gestión de Riesgos

3) El enfoque del modelo de madurez se basa en el principio de que los procesos

b) ) Un ejemplo de curva de madurez (por ej., el modelo de madurez) es

También podría gustarte