GESTIÓN DE RIESGOS

Y OPORTUNIDADES
España & Latam
Enero 2022.
Elaborado por Sistemas de Gestión y Auditoría España & Latam v.r. 1.0

Leading the way in Customer Interaction

& Process Management. 1
CONTENIDO
1. Objetivos de la sesión
2. Riesgos y Oportunidades de los procesos/Mapa de
Procesos
3. Definiciones importantes
4. Clasificación del Riesgo/Oportunidad
5. Fases para la identificación y evaluación de
Riesgos y Oportunidades
6. Identificación de Riesgos y Oportunidades
7. Evaluación del Riesgo
8. Evaluación de controles
9. Tratamiento de Riesgo/Oportunidad
10. Evaluación de las Oportunidades
11. Almacenamiento de información
2
1. Objetivos de la sesión

General
Divulgar la metodología para la Gestión de Riesgos y Oportunidades de los procesos
España & Latam (basada en la norma ISO 31000:2018 Gestión del Riesgo) .

Objetivos Específicos
● Implantar la metodología definida en Comdata E&L para la gestión de los Riesgos y Oportunidades de los
procesos.

● Sesión práctica. Se comunicarán los principios básicos de la gestión de riesgos y oportunidades para iniciar
el levantamiento de los Riesgos y Oportunidades del proceso.

● Asegurar que los responsables de procesos son autónomos en la evaluación y control de los mismos.

2020 - Comdata - Confidential and Proprietary Information

3
2. Riesgos y Oportunidades de los procesos/Mapa de Procesos

RIESGO: Posibilidad de que suceda o se materialice

algún evento que tendrá impacto en la consecución de
los objetivos del proceso.

OPORTUNIDAD: Posibilidad de que suceda algún evento

con impacto positivo sobre los objetivos del proceso.

Premisa fundamental: El riesgo jamás se elimina o desaparece a menos que se elimine el objetivo.

1. Agilizar y fortalecer la toma de decisiones.

2. Identificar las necesidades (recursos materiales, físicos, tecnológicos…) y
¿Por qué partidas presupuestarias.
Prevenir situaciones que podrían causar pérdidas inesperadas e incluso la
gestionamos los 3.
interrupción del negocio.
Riesgos y las
4. Disminuir drásticamente la incertidumbre y contribuir al logro de los objetivos
Oportunidades de los procesos y organizacionales.
5. Salvaguardar la reputación y la imagen corporativa.
6. Atenuar posibles responsabilidades legales.
7. ... 4
2020 - Comdata - Confidential and Proprietary Information
3. Definiciones importantes
(Ver punto 5. PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)
Riesgo
Posibilidad de que suceda o se
materialice algún evento que tendrá
impacto en la consecución de los
objetivos del proceso. Se expresa en
términos de probabilidad y transferencia o asunción del riesgo.
consecuencia.
Probabilidad
Posibilidad de que suceda o se
materialice el riesgo.
Riesgo Residual
Nivel de riesgo que permanece
después de aplicar los controles.
2020 - Comdata - Confidential and Proprietary Information
Responsable del R y O
Responsable del proceso y, por
tanto, responsable del riesgo.
Impacto
Nivel de afectación
materialización del riesgo.
Plan de Tratamiento de R y O
Plan adicional que contribuye a
modificar el nivel de riesgo
residual, a través de una
estrategia de respuesta al Riesgo
y a la Oportunidad.
Gestor del R y O
Ejecuta controles y planes de
tratamiento y garantiza al
Responsable del Riesgo la eliminación,
mitigación, compartición,
Riesgo Inherente
o Nivel de riesgo natural asociado a
la existencia del propio objetivo y
derivado de la combinación de la
probabilidad e impacto, antes de
la implementación de controles.
Plan de Contingencia
Es la estrategia de respuesta que
se adopta cuando el riesgo ya se
ha materializado.
Causa(s) Raíz
Situación, evento o vulnerabilidad
que genera la existencia de un
riesgo.
Control
Cualquier acción, actividad,
herramienta o medida que
modifica el nivel del riesgo
inherente.
Oportunidad
Posibilidad de que suceda algún
evento con impacto positivo
5
sobre los objetivos del proceso.
Se expresa en términos de
probabilidad o consecuencia.
5
4. Clasificación del Riesgo/Oportunidad
(Ver punto 6.2.2 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

○ Riesgo Compliance
○ Riesgo de Corrupción/Fraude Operativo
○ Riesgo de Imagen o reputacional
○ Riesgo / Oportunidad Cumplimiento Legal
○ Riesgo / Oportunidad Estratégico
○ Riesgo / Oportunidad Financiero
○ Riesgo / Oportunidad Gerencial
○ Riesgo / Oportunidad Operativo(a)
○ Riesgo de Seguridad de la Información
○ Riesgo / Oportunidad Tecnológico(a)

2020 - Comdata - Confidential and Proprietary Information

6
5. Fases para la identificación y evaluación de Riesgos y Oportunidades.
(Ver punto 6.1 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

En función del impacto de la O se

adopta el Nivel de
Aceptación/Estrategia respecto
de la O (Aceptar, Mantener o
Explotar la O.)

La descripción del Riesgo

siempre empieza por
“Posibilidad de que…”

La descripción de la Causa Evaluado el

control nos La compañía
siempre empieza por sólo acepta
“Debido a…” arroja el Riesgo hasta Riesgo
Residual Moderado.
La descripción de la (y vamos al
Consecuencia siempre siguiente paso).
empieza por “Lo que
ocasionaría que…”

2020 - Comdata - Confidential and Proprietary Information

7
 6. Identificación de Riesgos y Oportunidades
(Ver punto 6.2.1 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

Contexto Externo

A tener en cuenta aspectos externos: económicos y

Preguntas claves para la identificación del riesgo: financieros, políticos, medioambientales, sociales,
culturales, tecnológicos… susceptibles de influir en los
- ¿Qué puede suceder para que no pueda cumplir procesos.
con el objetivo?
Contexto Interno
- ¿Cómo puede suceder?
A tener en cuenta aspectos internos: estratégicos,
- ¿Quién puede generarlo?
financieros, personal, procesos, tecnología… susceptibles
- ¿Por qué se puede presentar? de influir en los procesos.

- ¿Cuándo puede suceder? Contexto del proceso

- ¿Qué consecuencias tendría su materialización?
A tener en cuenta: diseño del proceso, Interacción con
otros procesos, transversalidad, procedimientos asociados,
responsables del proceso, comunicación entre los
procesos, activos Seguridad Digital de los procesos.

2020 - Comdata - Confidential and Proprietary Information

8
 7. Evaluación del Riesgo
(Ver punto 6.2.3 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

¿Cómo evaluar el riesgo?

1. Utilizar la tabla de criterios de

Impacto y Probabilidad para evaluar
el nivel de riesgo, que se encuentra
en el PGC_67 - Gestión de Riesgos y
Oportunidades.
2. El riesgo debe ser evaluado por el
responsable del proceso o actividad,
encargado del cumplimiento del
objetivo del proceso.

2020 - Comdata - Confidential and Proprietary Information

9
8. Evaluación de Controles
(Ver punto 6.2.4 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

Los controles son listados por el área de Sistemas de Gestión y Auditoría. Las áreas
cumplimentarán solas hasta la columna “S” de la Matriz de Riesgos.

Acciones, herramientas o métodos que se utilizan con el fin de tratar el riesgo de tal

¿Qué es un forma que pueda ser prevenido, detectado o corregido.
Control? Todos los riesgos identificados deben tener controles.

¿Cómo saber Se debe evaluar la solidez individual del control, de acuerdo a los criterios
si el control definidos. sdfsdf
es efectivo?

En función de la solidez individual del control, el nivel de riesgo inherente puede

Riesgo
disminuir o no, dando lugar al riesgo Ensdfsdf
residual.
Residual

2020 - Comdata - Confidential and Proprietary Information

10
8. Evaluación de Controles
(Ver punto 6.2.4 PGC_67 Procedimiento de gestión de Riesgos y Oportunidades)

2. Evaluación del Control (la matriz ya está

formulada)

1. Definición del Control: Escala de valoración de eficacia: 1 a 100

Criterios de Evaluación: 6
Tipo de control 1. ¿Existen manuales e instructivos o procedimientos
para el manejo de control?
Preventivo: Mitigan la Probabilidad. Puntaje: 15 Completo / 0: Incompleto
2. ¿Están definidos los responsables de la ejecución del
Aquellos controles que nos ayudan a control y del seguimiento?
prevenir la materialización del Riesgo Puntaje: 5 Asignado / 0: No asignado
(procedimientos, revisiones…) 3. ¿Es control es automático?:
Puntaje: 20: Automático / 0: Manual
4. ¿La frecuencia de ejecución del control y seguimiento
Detectivo: Mitigan el Impacto.
es adecuada?
Puntaje: 20: Oportuna / 0: Inoportuna
Aquellos controles que nos alertan de la
5. ¿Se cuenta con evidencias de la ejecución y
materialización del Riesgo (CCTV,
seguimiento del control?:
monitorización de llamadas…)
Puntaje: 10 Completa / 0: Incompleta o No Existe
6. ¿En el tiempo que lleva el control ha demostrado ser
efectivo?
Puntaje: 30: Efectivo / 0: No efectivo

2020 - Comdata - Confidential and Proprietary Information

11
9. Tratamiento de Riesgo/Oportunidad
(Ver punto 6.2.5 PGC_67 Procedimiento Gestión de Riesgos y Oportunidades)

¿Cuándo se debe realizar un PT?

❖ Riesgo residual POR ENCIMA de Riesgo moderado.
❖ No hay control asociado al Riesgo.

Un Plan de Tratamiento de Riesgo correctamente implementado,

puede ser incluido como un Control en el siguiente periodo.

1. ID del Plan de Tratamiento: Identificación del Plan de Tratamiento de

Riesgo se debe llamar “PT” y el consecutivo.
2. Descripción del Plan de Acción/ Tratamiento Riesgo u Oportunidad:
Indicar detalle de la acción a realizar
3. Tipo de Plan de Acción / Tratamiento Riesgo u Oportunidad: Correctivo,
Preventivo o Detectivo
4. Responsable: Cargo de quien ejecuta la acción
5. Plazo: Corto Plazo (3 meses), Mediano Plazo 4 meses a un Año, Largo Plazo
Más de un año
6. Fecha Inicio: Fecha de inicio de la acción
7. Fecha Máxima: Fecha máxima para el cierre de la acción
8. Estado del Plan de Acción: Pendiente de Aprobación (Por presupuesto), En
proceso, Finalizado, Implementado
9. Eficacia: Porcentaje de avance del plan de tratamiento / plan de acción
realizado en el seguimiento

2020 - Comdata - Confidential and Proprietary Information

12
10. Evaluación de las Oportunidades
(Ver punto 6.2.6 PGC_67 Procedimiento de gestión de Riesgos y Oportunidades)

2. Nivel de Aceptación 3. Mapa de

1. Impacto
/ Estrategia Oportunidades
Bajo: Si llegara a presentarse, Aceptar: Estar dispuesto a
aprovechar la oportunidad si Acorde a la Evaluación y
tendría bajo impacto o efecto
se presenta, pero sin buscarla Medida de Respuesta en la
sobre la Organización
Moderado: Si llegara a de manera activa Zona de Oportunidades
presentarse, tendría medianas Mantener: Tomar acciones
consecuencias o efectos sobre para que la oportunidad se
la Organización haga realidad
Alto: Si llegara a presentarse, Explotar: Tomar acciones para
tendría altas consecuencias o asegurar que la oportunidad
efectos positivos sobre la se potencialice
Organización

Evaluación y medidas de respuesta a Oportunidades

Zona de Oportunidad Alta
(Explotar)
Zona de Oportunidad Moderada
(Mantener)
Zona de Oportunidad Baja
2020 - Comdata - Confidential and Proprietary Information (Aceptar) 13
11. Almacenamiento de Información

https://drive.google.com/drive/folders/0ANwjG3eVm1iOUk9PVA

2020 - Comdata - Confidential and Proprietary Information

14
Muchas Gracias
Comdata Group
Avda Manoteras, 46 bis 28050 Madrid (España)

Tel. +34 91 774 14 12

www.comdatagroup.com

2020 - Comdata - Confidential and Proprietary Information 15

15