Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Esta unidad de estudio es la segunda de cuatro unidades que abarcan el Campo V: Gobierno,
Gestión de Riesgos y Control del Temario del Examen CIA del IIA. Este campo cubre el 35% de
la Parte 1 del examen CIA y es evaluado en los niveles cognitivos básicos y de competencia. La
porción relevante del temario se resalta a continuación. (El temario completo se encuentra en el
Apéndice B.)
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
2 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 3
d)
Talleres de facilitación y entrevistas. Un facilitador lidera un grupo
de discusión que está compuesto por la dirección, el personal, u otras
partes interesadas a través de un proceso estructurado de conversación
y exploración de eventos potenciales.
e) Análisis de Flujo de Procesos. Un procedimiento administrativo simple,
tal como la autorización y pagos de proveedores, es estudiado de forma
aislada para identificar los eventos que afectan sus entradas, tareas,
responsabilidades y salidas.
f) Metodologías de datos de eventos de pérdida. Las pérdidas
asociadas con eventos adversos en el pasado se pueden utilizar para
hacer predicciones. Un ejemplo es hacer coincidir los reclamos de
indemnización de los trabajadores con la frecuencia de los accidentes.
4) Otros métodos para identificar riesgos incluyen (a) la lluvia de ideas, (b) el
análisis FODA (Fortalezas, Oportunidades, Debilidades, y Amenazas), y (c) el
análisis de escenario (análisis hipotéticos ["y si"]).
d. Paso 3 – Evaluación de riesgos y priorización
1) El proceso de evaluación de riesgos puede ser formal o informal. Este involucra
a) Evaluar la importancia de un evento,
b) Evaluar la probabilidad del evento, y
c) Considerar los medios para gestionar el riesgo.
2) Los resultados de evaluar la probabilidad y el impacto de los eventos de riesgo
identificados se utilizan para priorizar los riesgos y producir información para la
toma de decisiones.
3) Los métodos de evaluación de riesgos pueden ser cualitativos o cuantitativos.
a) Los métodos cualitativos incluyen (1) listas de todos los riesgos, (2)
clasificaciones de los riesgos, y (3) mapas de riesgos.
i) Los mapas de indicadores de riesgo muestran los niveles de riesgo
por color. Aquellos riesgos que tienen la misma probabilidad (por
ejemplo, remoto, improbable, posible, probable o definitivo) e
impacto (por ejemplo, insignificante, bajo, medio, alto, o extremo),
o que se encuentran en el mismo nivel de gravedad (por ejemplo,
evaluación combinada de probabilidad e impacto), se les asigna el
mismo color. (Se proporciona una ilustración en la Figura 4-4 en la
Subunidad 4.2.)
ii) Los mapas de matrices de riesgo trazan los riesgos en
un gráfico con una probabilidad en un eje y el impacto en el otro
eje. (En el siguiente ejemplo se proporciona una ilustración)
b) Los métodos cuantitativos incluyen modelos probabilísticos. Por ejemplo,
algunas organizaciones se centran en los ingresos que están en riesgo al
examinar como las variables influyen en los ingresos.
4) Los modelos de riesgo son un método de la evaluación y priorización de los
riesgos.
a) Los modelos de riesgo clasifican y validan las prioridades de riesgo al
establecer las prioridades de los trabajos en el plan de auditoría.
b) Los factores de riesgo pueden ser ponderados en base al juicio
profesional para determinar su importancia relativa, pero las
ponderaciones no necesitan ser cuantificadas.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
4 UE 4: Gestión de Riesgos
EJEMPLO
Un director ejecutivo de auditoría está revisando el siguiente mapa de riesgos empresariales:
I PROBABILIDAD
M
P Remota Posible Probable
A Crítico Riesgo A Riesgo B
C Mayor Riesgo D
T
O Menor Riesgo C
Al establecer las prioridades para el uso de recursos limitados de auditoría interna, el director ejecutivo de auditoría realiza
el siguiente análisis:
● El riesgo D claramente tiene prioridad sobre el Riesgo C ya que D tiene una mayor
probabilidad y un mayor impacto.
● El Riesgo B también claramente tiene una mayor prioridad que el Riesgo A ya que B tiene
mayor probabilidad y el mismo impacto.
Escoger la prioridad más alta entre el Riesgo D y el Riesgo B es un asunto de juicio profesional basado en una evaluación
de riesgo organizacional y las prioridades establecidas por la alta dirección y el Consejo.
d)
Los canales abiertos de comunicación con la alta dirección y el Consejo
son necesarios para asegurar que el plan de auditoría se basa en las
evaluaciones de riesgo y prioridades de auditoría apropiadas. El plan de
auditoría debe ser reevaluado según sea necesario.
e) Los modelos de riesgo en un servicio de consultoría se realiza al clasificar
el potencial del trabajo para (1) mejorar la gestión de riesgos, (2) añadir
valor, y (3) mejorar las operaciones de la organización. La alta dirección
asigna diferentes ponderaciones a cada uno de estos elementos en base
a los objetivos organizacionales. Los trabajos con el valor ponderado
apropiado serán incluidos en el plan anual de auditoría.
e. Paso 4 – Respuesta al riesgo
La respuesta al riesgo es un tema de gestión de riesgos evaluado con frecuencia en el examen CIA. Específicamente,
poseer un sólido conocimiento y comprensión de las estrategias de respuesta al riesgo (prevención, retención,
reducción y transferencia) y ejemplos para cada una, aumentarán su probabilidad de éxito en el examen.
1) Las respuestas al riesgo son los medios por los cuales una organización elige
gestionar los riesgos individuales.
a) Cada organización selecciona las respuestas al riesgo que alinean los
riesgos con el apetito de riesgo de la organización (el nivel de riesgo que
la organización está dispuesta a aceptar).
2) Entre las estrategias para la respuesta al riesgo se encuentran:
a) La prevención del riesgo finaliza la actividad de la que surge el riesgo.
Por ejemplo, el riesgo de tener un oleoducto saboteado puede evitarse
vendiendo el oleoducto.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 5
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
6 UE 4: Gestión de Riesgos
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación
mediante múltiples trabajos de auditoría. El resultado de estos trabajos, observado de
forma conjunta, proporciona un entendimiento de los procesos de gestión de riesgos de la
organización y su eficacia.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración
continuas, evaluaciones por separado, o ambas.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 7
iii)
Las características comunes de una gestión de riesgo madura
(es decir en el nivel optimizado de madurez) se describen a
continuación:
Cultura de riesgo: integración del riesgo en la toma de decisiones,
la compensación, las estructuras de recompensa y la fijación de
objetivos.
Gobierno de riesgo: participación en el proceso de gestión
de riesgos en toda la organización por parte de personal con
conocimientos, habilidades y competencia en gestión de riesgos.
Proceso de gestión de riesgos: identificación, evaluación de
prioridades, tratamiento, supervisión e informes de riesgos
integralmente en toda la organización.
iv) No es necesariamente óptimo o práctico para todas las
organizaciones operar al más alto nivel de madurez. Lograr un
sólido nivel 2 o 3 puede ser aceptable. Cada organización debe
determinar qué nivel de madurez es óptimo de acuerdo a sus
necesidades únicas y circunstancias.
5) Contar con un proceso para planificar, auditar e informar sobre problemas
relacionados con la gestión de riesgos.
d. Implementación de la Norma 2120
1) El director ejecutivo de auditoría debe conversar con el Consejo y la alta
dirección sobre el apetito al riesgo, la tolerancia al riesgo y la gestión de riesgo.
a) Al repasar los planes estratégicos de la organización, el plan de negocio
y las políticas, el director ejecutivo de auditoría puede determinar si los
objetivos estratégicos de la organización respaldan y están alineados
con su misión, su visión y su apetito al riesgo. Los mandos intermedios
pueden proporcionar un entendimiento adicional en el nivel de las
unidades de negocio.
2) La actividad de auditoría interna
a) Alerta a la dirección sobre nuevos riesgos, así como sobre riesgos que no
han sido adecuadamente mitigados.
b) Proporciona recomendaciones y planes de acción para una adecuada
respuesta a los riesgos (por ejemplo, aceptar, continuar, transferir, mitigar
o evitar).
c) Evalúa los procesos de gestión de riesgos.
3) Los auditores internos revisan evaluaciones de riesgos emitidos por la alta
dirección, los auditores externos, y reguladores. El propósito de ésta revisión
es para analizar cómo la organización identifica y gestiona los riesgos, y cómo
determina qué riesgos son aceptables.
a) Las responsabilidades y los procesos relacionados con el riesgo del
Consejo y de aquellos que tengan funciones clave en la gestión de
riesgos son también evaluadas.
4) La actividad de Auditoría Interna normalmente realiza sus propias evaluaciones
de riesgo.
a) Las conversaciones con el Consejo y la dirección permitirán una
alineación de las respuestas a los riesgos recomendadas con el apetito
de riesgo.
b) Un marco de referencia establecido (por ej., COSO o la Norma ISO 31000)
puede utilizarse para la identificación del riesgo.
c) (1) Nuevos desarrollos en la industria y (2) procesos que puedan ser
empleados para supervisar, evaluar y responder a los riesgos (u
oportunidades) pueden también ser investigados.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 9
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
10 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 11
Figura 4-1
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
12 UE 4: Gestión de Riesgos
5) Gestión de riesgo.
a) Riesgo es “[L]a posibilidad de que ocurra un acontecimiento que tenga un
impacto en el alcance de la estrategia y los objetivos de negocio.”
b) Oportunidad es cualquier acción, o acción potencial, que cree o altere los
objetivos o enfoques para la creación, preservación o reconocimiento de
los valores.
c) Las prácticas de gestión de riesgo efectivas proporcionan una expectativa
razonable (no un aseguramiento absoluto) de que el riesgo asumido es
apropiado.
d) Inventario de riesgo consiste de todos los riesgos identificados que
afectan la estrategia y los objetivos del negocio.
e) Capacidad de riesgo es la cantidad máxima de riesgo que puede asumir
una organización.
f) Apetito de riesgo consiste en la cantidad y tipos de riesgo que la
organización está dispuesta a aceptar en la búsqueda del valor.
g) Riesgo inherente es el riesgo en la ausencia de las acciones por parte de
la dirección para alterar su gravedad.
i) El riesgo residual actual permanece después de las acciones por
parte de la dirección para alterar su gravedad.
h) La respuesta al riesgo es una acción que se toma para incorporar los
riesgos identificados dentro del apetito de riesgo de la organización.
i) Un perfil de riesgo residual incluye las respuestas al riesgo.
i) El riesgo residual objetivo es el riesgo que la entidad prefiere asumir
sabiendo que la dirección ha tomado acciones, o las tomará, para alterar
su gravedad.
6) El valor es
a) Creado cuando los beneficios obtenidos de los recursos utilizados
exceden sus costos.
b) Preservado cuando se mantiene el valor de los recursos utilizados.
c) Realizado cuando los beneficios se transfieren a las partes interesadas.
d) Deteriorado cuando la estrategia de la dirección no produce los
resultados esperados o la dirección no desempeña las tareas diarias.
3. Roles y Responsabilidades de la Gestión de Riesgo Empresarial
a. El Consejo proporciona supervisión de los riesgos en la cultura, habilidades y
prácticas de la gestión de riesgo empresarial. Ciertos comités del Consejo pueden
formarse para este propósito. Por ejemplo (1) un comité de auditoría (a menudo
requerido por los reguladores), (2) un comité de riesgo que supervisa directamente
la gestión de riesgo empresarial, (3) un comité ejecutivo de compensación, y
(4) un comité de nominación o gobierno que supervisa la selección de directores y
ejecutivos.
b. La dirección tiene la responsabilidad general de la gestión de riesgo empresarial
y es generalmente responsable en la gestión diaria del riesgo, incluyendo la
implementación y desarrollo del marco COSO ERM.
1) Dentro de la dirección, el director general ejecutivo tiene la responsabilidad
principal de la gestión de riesgo empresarial y el logro la estrategia y los
objetivos del negocio.
c. Una organización puede designar un director de riesgos como un punto de
coordinación centralizado para facilitar la gestión de riesgos en toda la empresa.
Este director de riesgos se conoce comúnmente como un coordinador centralizado.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 13
Figura 4-2
El marco COSO ERM consiste de cinco componentes interrelacionados. Veinte
principios se distribuyen entre los componentes.
1) Los componentes de los aspectos de soporte son
a) Gobierno y cultura e
b) Información, comunicación y presentación de informes.
2) Los componentes de los procesos comunes son
a) Estrategia y definición de objetivos,
b) Desempeño, y
c) Análisis y revisión.
5. Gobierno y Cultura
a. El gobierno fija el tono de la organización y establece las responsabilidades de la
gestión de riesgos empresariales. La cultura se refiere a las conductas deseadas,
valores, y el entendimiento general del riesgo que tiene el personal dentro de la
organización. Cinco principios se relacionan con el gobierno y la cultura:
1) El Consejo ejerce la supervisión del riesgo.
a) El Consejo en pleno generalmente es responsable de la supervisión del
riesgo. Sin embargo, el Consejo puede delegar la supervisión del riesgo a
un comité del Consejo, como un comité de riesgo.
i) La dirección generalmente tiene la responsabilidad diaria
de gestionar el desempeño y los riesgos tomados para el logro de
la estrategia y los objetivos de negocio.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
14 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 15
Figura 4-3
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
16 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 17
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
18 UE 4: Gestión de Riesgos
Figura 4-4
3) La organización prioriza los riesgos en todos los niveles.
a) La priorización de riesgos permite a la organización optimizar la
asignación de sus recursos limitados.
b) Además de la gravedad (por ejemplo, el impacto y la probabilidad), al
priorizar los riesgos se consideran los siguientes factores:
i) Criterios acordados
ii) Apetito de riesgo
iii) La importancia de los objetivos de negocio afectados
iv) Los niveles organizacionales afectados.
c) Los criterios acordados son utilizados para evaluar las características de
los riesgos y para determinar la capacidad de la entidad para responder
adecuadamente. Se da una mayor prioridad a los riesgos que más
afectan los criterios. Algunos ejemplos de criterio incluyen los siguientes:
i) La Complejidad es la naturaleza y el alcance de un riesgo, por ej.,
la interdependencia de riesgos.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 19
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
20 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
22 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 23
El marco de gestión de riesgos ISO 31000 es un tema de gestión de riesgos frecuentemente evaluado. En
consecuencia, el dominio de este marco aumentará su probabilidad de éxito en el examen
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
24 UE 4: Gestión de Riesgos
Figura 4-5
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 25
Figura 4-6
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
26 UE 4: Gestión de Riesgos
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
UE 4: Gestión de Riesgos 27
Figura 4-7
El enfoque del modelo de madurez es un enfoque de aseguramiento que se incluye frecuentemente en el examen.
Tener un profundo conocimiento sobre este enfoque aumentará su probabilidad de éxito en el examen.
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com