Matriz

lOMoARcPSD|12900214
Matriz
Control interno y gobierno corporativo (Universidad ORT Uruguay)
Studocu is not sponsored or endorsed by any college or university

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)
ANALISIS Y GESTION DE RIESGO:
RIESGO: no existe una empresa que no tome riesgo.
Variable aleatoria que tiene un impacto en el mundo de la empresa

Impacto positivo = Oportunidad Impacto
negativo = Amenaza
Factores de riesgos externos e internos

Internos: sistemas informáticos, recursos humanos, capacitación, entre otros. Externos:
política, economía, sociedad, tecnología, medio ambiente, entre otros.
Definicion: “Los cambios tecnológicos, las demandas políticas, sociales y económicas y la proliferación de
fraudes altamente sofisticados presentan un escenario que incluyen nuevos riesgos y generan cambios en
los controles. Todas las entidades enfrentan riesgos que las organizaciones deben identificar, analizar y
gestionar como parte fundamental de un sistema de control efectivo…”
El proceso de gestión de riesgos comprende las siguientes fases:

1. Establecimiento de objetivos
2. Identificación de Riesgos y Oportunidades
3. Análisis de Riesgos
4. Evaluación de Riesgos
5. Respuesta o Tratamiento de Riesgos
6. Monitoreo
● La retroalimentación oportuna es esencial para la mejora del proceso.

respuesta o tratamiento al riesgo:
Una vez que los riesgos han sido identificados, y la severidad y priorización han sido evaluadas, la
gerencia puede determinar la respuesta adecuada al riesgo. Las siguientes categorías de respuestas a los
riesgos son extraídas del Marco ERM COSO:
• Aceptar – No se toma ninguna medida para cambiar la severidad del riesgo. Esta respuesta es
apropiada cuando el riesgo para la estrategia y los objetivos de negocio está dentro del apetito de
riesgo.
• Evitar – Se toman medidas para evitar la actividad de negocio que trae el riesgo relacionado a la
organización. El hecho de que se opte por evitar el riesgo sugiere que la organización no fue capaz de
identificar una respuesta que reduzca el riesgo a un nivel aceptable de severidad.
• Perseguir – Se toman medidas para aumentar el riesgo para alcanzar un mejor desempeño. Al
elegir perseguir el riesgo, la gerencia entiende la naturaleza y la extensión de cualquier cambio
requerido para alcanzar el desempeño deseado, sin exceder el apetito de riesgo o la capacidad.
• Reducir – Se toman medidas para reducir la severidad del riesgo. La manera más común de reducir los
riesgos es a través de controles internos. En esta situación, los controles internos son las acciones
establecidas por medio de políticas y procedimientos que ayudan a asegurar que las directivas de la
gerencia para reducir riesgos sean llevadas a cabo.
• Compartir – Se toman medidas para reducir la severidad del riesgo, ya sea transfiriendo o
compartiendo una porción del riesgo. Al igual que sucede con la reducción, compartir los riesgos reduce
el riesgo residual en alineación con el apetito de riesgo.
MATRIZ DE RIESGO:
- Herramienta que nos permite identificar y agrupar los riesgos de una manera ordenada y nos
ayuda a olvidarnos de la menor cantidad de riesgos posible.
- La matriz de riesgo es un elemento que posibilita cuantificar los riesgos disminuyendo el nivel de
subjetividad al momento de su evaluación.
- Su elaboración requiere dedicación y amplio conocimiento del negocio y el entorno de la

organización.

ELEMENTOS QUE DEBEMOS CONSIDERAR PARA EL DISEÑO:
- Resume los riesgos identificados, clasificados por tipo de riesgos y asociado a los
principales de supuestos de proyección que se podrían afectar.
- Para cada riesgo, se especifica cualitativamente la probabilidad de ocurrencia y el

impacto. De todas forma, es posible hacer referencia a importes/indicadores que
fundamentan esta valoración.

Descripción : La dirección del riesgo representa el juicio de la gerencia en cuanto a las perspectivas
futuras respecto a cambios en la probabilidad y / o en el impacto del riesgo que se está evaluando.

RESPUESTA AL RIESGO:
Respuesta / Descripción
Estrategia
Evitar La exposición al riesgo se evitará por completo, ya que el potencial de rendimiento / re

internacionalizar la empresa, etc.
Reducir / La exposición al riesgo se reducirá a través de nuevas o mejores actividades

Controlar / de control. Estos deberán abordar la causa fundamental de la exposición
Mitigar al riesgo. A través de la mitigación adecuada el riesgo residual se
ubicará dentro del rango de tolerancia.
Transferir La exposición al riesgo será disminuida transferido a él mismo a terceros (por ejemplo a travé
ubicará al riesgo dentro del rango de tolerancia.
Aceptar / Retener La exposición al riesgo se aceptará tal cual sin ninguna mitigación adicional,
ya que el rendimiento potencial se ve como deseable y la exposición al
riesgo no es significativa. Se trata de la aceptación del riesgo, sin
ningún tipo de mitigación o de actividades de transferencia. La
iniciativa será aceptada en función de su riesgo inherente aceptable. El
monitoreo de riesgo, en este caso en particular, puede resultar de
suma importancia.

BENEFICIOS DE MATRIZ DE RIESGO:
● Identificación de las actividades que requieren mayor atención y áreas críticas de riesgo.
● Uso eficiente de recursos
● Permite la intervención inmediata y la acción oportuna.
● Evaluación metódica de los riesgos.
● Promueve una sólida gestión de riesgos y el monitoreo continuo
PROCESO DE COMERCIALIZACIÓN Y COBRANZAS:

- Alcance:
Desde la solicitud de un pedido por parte de un cliente hasta la entrega y cobro de la factura
- Objetivo:
Contribuir al objetivo general de la empresa, satisfaciendo los requerimientos de los clientes de la
empresa en tiempo y forma minimizando el costo de la prestación del servicio; o diferenciando a la
empresa de sus competidores en forma sostenida en términos de los atributos más valorados por el
cliente:
● tiempo de entrega
● Calidad
● Servicio
● Financiación
- Subprocesos:
Gestión de Ventas: desde la recepción del pedido hasta la definición de su satisfacción o rechazo
Entrega: desde la definición de su aceptación hasta la entrega de la mercadería al cliente, obtención de
conformidad y registración
Cobranza: desde la entrega de la mercadería en conformidad del cliente hasta el cobro a los deudores y su
registración

PREVENTA:
- 1-Objetivo:
Detectar las necesidades del mercado y asignar adecuadamente los recursos y esfuerzos
- Riesgos:
- Incapacidad para detectar los cambios en el entorno (productos, tendencias,
competidores, demanda)
- Incapacidad para captar y retener clientes
- Esfuerzos destinados a clientes no rentables o sin potencial
- 2- Objetivo:
Asegurar la adecuada satisfacción y captación/retención de clientes
Riesgos:
● Mala calidad de servicio/ atención/ asesoramiento
● Productos que no cubren los requerimientos o expectativas del cliente
CONTROLES PRE-VENTA:
- Plan de visitas / contactos
- Buzón de quejas y sugerencias. Encuestas de satisfacción
- Políticas de selección y capacitación de vendedores
- Políticas y procedimientos
- Seguimiento de las tendencias del entorno. Investigación de mercado
AUTORIZACION:
- 1- Objetivo:

Asegurar el cumplimiento de las políticas de la empresa.
- Riesgos:
● Incobrabilidad de las ventas a crédito
● Otorgar descuentos no acordes con la política
● Vender a precios incorrectos
● Asignación incorrecta de límites de crédito
● Que se venda a clientes que no cumplen con los perfiles establecidos
● Desconocimiento de las políticas vigentes
- 2-Objetivo:
Asegurar que los pedidos son procesados oportuna y correctamente
- Riesgos:
● Duplicación/omisión de pedidos
● Procesamientos de pedidos
● Atrasos en el procesamiento
● Demoras en la entrega por falta de stock
CONTROLES:
- Política por escrito y difundidas
- Analizar stock disponible
- Pedidos prenumerados/ seguimiento de pedidos pendientes
- Proceso de aprobación / rechazo de clientes
- % de descuentos y precios bloqueados, en el sistema. Reporte de control
- Segregacion de funciones
- Análisis de comportamiento o histórico / líneas de crédito
FACTURACION:
- 1-Objetivo:
Que toda salida de mercadería se facture en forma íntegra, exacta y oportuna
- Riesgos:
● Que salga mercadería sin facturar
● Que se facture menos mercadería que las cantidades entregadas
● Que se facturen condiciones diferentes a las autorizadas
● Facturación duplicada
● Facturación ficticia
● Que se facturen bienes que no existen en stock
● Tardanza en la facturación
- 2-Objetivo:
Que todo lo facturado se registre correctamente

- Riesgos:
● Facturas no registradas
● Tardanza en la rendición de las facturas / boletas
● Errores en la registración
● Registraciones duplicadas
● Registraciones ficticias
CONTROLES:
- Control de descuentos y precios
- Formularios de pedido / remitos sin facturar
- Recuentos físicos
- Envios de estados de cuenta a clientes
- Conciliación de saldos facturados y registrados
- Secuencia numérica de documentos
- Facturas vs pedidos y/o remitos
- Condiciones facturadas y políticas (precios, descuentos, plazos , etc)
EXPEDICION:
- 1-Objetivo:
Entregar la mercadería correcta a las personas correctas
- Riesgos:
● Que se entregue mercadería distinta a la facturada
● Que existan transacciones ficticias
● Que se entreguen dos veces un mismo pedido
● Salidas no autorizadas de mercadería o a destinatarios incorrectos
● Movimientos internos de mercadería desde el almacén no documentados o no
autorizados
● Inadecuada manipulación de los bienes a ser entregados
● Interrupción de los canales de distribución de mercadería
- 2-Objetivo:
Que la mercadería expedida sea facturada/documentada previamente
- Riesgos:
● Que haya salidas de mercadería sin facturar
● Que no se procesan facturas/remitos en tiempo
- 3-Objetivo:
Mantener registros actualizados de las salidas de stock

- Riesgos:
● Que no se actualice el stock oportunamente
● Que no se registren contablemente los movimientos, o no se realicen oportunamente
● Que se procesen salidas de mercadería en forma duplicada
CONTROLES:
- Estados de cuenta a clientes
- Formularios de pedido sin facturar
- Recuentos físicos y análisis de diferencias
- Lugar físico de acceso restringido y controles de acceso
- Facturas y remitos firmados
COBRANZA:
- 1-Objetivo:
Asegurar que se cumplen con las políticas de cobranzas/ se gestionan eficientemente.
- Riesgos:
● Atrasos en la cobranza o incobrabilidad
● Aceptar medios de pago que no cumplan con los requerimientos formales
● Aceptar medios de pago falsos
- 2-Objetivo:
Asegurar que los fondos ingresan en forma íntegra, exacta y oportuna
- Riesgos:
● Desvíos de fondos
● Rendiciones tardías
● Cobranza de importes que no coinciden con lo facturado
● Robos a cobradores/ cajeros por debilidades en la custodia
- 3-Objetivo:
Asegurar el registro íntegro, exacto y oportuno de las cobranzas
- Riesgos:
● Omisiones en la registración
● Errores en la registración
● Registraciones duplicadas
● Registro de transacciones ficticias
● Registro de descuentos o bonificaciones que no corresponden

CONTROLES:
- Arequos
- Bloqueo / desbloqueo de cuentas deudores
- Control de las libretas y los recibos
- Control de facturas vencidas / conciliaciones de clientes
- Lugar físico de acceso restringido y controles de acceso
- Usar el rubro cobranzas a depositar
- Segregación adecuada de funciones
- Control presupuestal
- Control de vencimientos de valores
- Políticas y procedimientos por escrito
- Envío de estados de cuenta a clientes
- Controles sobre cobranzas de tarjetas a crédito
POSVENTA:
- 1-Objetivo:
Evaluar el cumplimiento de las expectativas de los clientes con los productos y servicios brindados por la
organización a efectos de tomar acciones que permitan captarlos y retenerlos
- Riesgos:
● Sistemas de información inadecuados
● Personal carente de formación para tratar clientes
● No detectar los cambios en las expectativas de los clientes
● Deficiencias no detectadas en los productos o servicios ofrecidos
● Inexistencia de políticas adecuadas o personal de ventas que no cumple con las mismas
CONTROLES:
- Políticas y procedimientos por escrito
- Segregación adecuada de funciones
- Control de secuencia numérica de documentos
- Proceso de selección y capacitación del personal
- Análisis de causas de notas de crédito
- Controles sobre clientes sin operaciones
- Control de pedidos no concretados
EMISIÓN DE NOTA DE CRÉDITO:

CONTROLES:
Controles
● Establecer claramente en qué casos se pueden emitir (descuentos, bonificaciones,
devoluciones, errores en facturación, etc.)
● Establecer los niveles de autorización para su emisión
● Cotejar las NC emitidas con los lineamientos de la política de ventas y cobranza

● Controlar NC por devolución con el ingreso de la mercadería
● Controla NC por vendedor y por cliente
PROCESO DE ABASTECIMIENTO Y PAGOS:

- Alcance:
Desde la detección de necesidades hasta el pago de la obligación
- Objetivo:
Gestionar las compras de insumos necesarios para realizar las actividades de la empresa
- Cliente del proceso: Área que realiza el pedido (Cliente Interno)
- Entrada: Pedido de insumos de un Área de la empresa
- Actividades:
Procesar información de requerimientos de insumos
Seleccionar proveedor
Recepcionar y controlar insumos
Entregar insumos al Área solicitante de la empresa Pagar al
Proveedor
- Salida: Insumo para el Área de la empresa que realizó el pedido (Cliente Interno)
DETECCIÓN DE NECESIDADES:
Identificar las necesidades de compra y determinar cantidades y artículos a comprar
- 1-Objetivo
Asegurar que se determinan en forma correcta y oportuna las necesidades de compra.
- Riesgos:
Comprar en períodos incorrectos
Errores en la calidad/cantidad/ tipo de bien a comprar

- 2-Objetivo:
Asegurar que se cumplen con los procedimientos de compra, niveles de autorización y normas de calidad.
- Riesgos:
Adquirir bienes a proveedores que no son los más adecuados en tema precio/ calidad/ condiciones de
entrega
Pérdida de ventas por no seguir las políticas/ estrategias fijadas de calidad/ precio Adquirir
mercadería no autorizada
CONTROLES:
- Control de pre numeración
- Instalar mecanismos para determinar necesidades de stock
- Participación del departamento de ventas y marketing en las compras (análisis del
mercado)
- Solicitudes por escrito prenumeradas memorias, cronogramas
- Procedimiento de autorización de las necesidades
SELECCIÓN DE PROVEEDORES:
- 1-Objetivo:
Seleccionar oferta más conveniente y acorde a las necesidades y políticas de la Empresa.
- Riesgos:
Adquirir bienes a mayor precio, peor calidad o en condiciones de entrega, financiación, etc. que no son
las mejores.
No conocer a los oferentes del mercado.
CONTROLES:
- Políticas de selección por escritos
- Tres cotizaciones por escrito
- Padron de proveedores depurado
- Conocer oferentes potenciales
- Órdenes de compra, completas y debidamente autorizadas
- OC en tres vías prenumeradas
ADJUDICAR;
Emisión de la orden de compra (tramitar compra)
- 1-Objetivo:
Asegurar que sólo se tramitan compras autorizadas y en forma oportuna
- Riesgos:

Se reciben bienes innecesarios, no acordes con las necesidades de la empresa Falta de
oportunidad en la llegada de los bienes
CONTROLES:
- Seguimiento de notas de requisición antiguas . sin orden de compra
- Órdenes de compra completas
- Órdenes de compra en tres vías prenumeradas
- Ordenes de compra autorizadas
- Control de secuencia numérica
RECEPCIONAR:
Verificar cumplimiento de proveedores
- 1-Objetivo:
Asegurar el adecuado cumplimiento de los proveedores (se reciben los bienes que
corresponden y en forma oportuna)
- Riesgos:
Que se reciban artículos que no sean los requeridos en tipo, calidad Que no se
reciba la mercadería en la fecha que se necesita
CONTROL:
- Proceso de calificación y actualización de proveedores
- Seguimiento de OC pendientes (parcial / total)
- OC con condiciones claras
- Recepción verifica mercadería vs OC y elabora IR
- Contaduria verifica OC vs FC vs IR
REGISTRAR:
Registrar las operaciones de compra
- 1-Objetivo:
Registración íntegra, exacta y oportuna de todas las operaciones de compra
- Riesgos:
Errores en la registración
Registración duplicada
Omisiones Registraciones
ficticias
Falta de oportunidad en la registración
CONTROLES:
- Control de estado de cuenta de proveedores

- Recuentos físicos periódicos
- Contaduria verifica OC vs FC vc IR
- Control de secuencia numérica de IR y OC
OTROS OBJETIVOS:
- 1-Objetivo:
Asegurar el cumplimiento de las políticas de compras
- Actividades de Control:
Políticas por escrito, comunicación al personal relevante, realizar cursos de entrenamiento
- 2-Objetivo:
Asegurar que los suministros y materiales cumplan con los estándares y normas de calidad
- Actividades de control:
Políticas de control de calidad, no recibir mercadería que no cubra con los estándares fijados por la
empresa
PROCESO DE PAGO:
- Objetivo:
1- Asegurar el pago íntegro, exacto y oportuno de las obligaciones
2- Asegurar la adecuada custodia y uso de los medios de pago
- Riesgos:
Que se produzcan desvíos de fondos Que

se cancelen obligaciones ficticias
Que se paguen montos que no corresponden
Que se abone en más de una oportunidad la misma obligación Uso
fraudulento de medios de pago
CONTROLES
- Pagos a dos firmas , control de libretas de cheques , adecuada custoria
- Control de secuencia numérica de comprobantes
- Anular los comprobantes una vez realizado el pago
- Órdenes de pago debidamente autorizado
- Autorizar el pago verificando recepción de la compra y documentación de respaldo
- Arqueos de valores , conciliación bancaria, conciliación EC proveedores

EFICIENCIA EN EL USO DE FONDOS:
- 1-Objetivo:
Asegurar el uso eficiente de los fondos que se utilizan para pagos
- Riesgos:
Que se pague tarde generando recargos
Que se realicen pagos sin considerar los descuentos por pronto pago o bonificaciones vigentes Que se
paguen facturas que no tienen descuento antes de su vencimiento
Que se difiera el pago de facturas por falta de disponibilidad Que se
mantengan fondos ociosos en cuenta corriente
CONTROLES:
- Presupuestos financieros y priorización de pagos
- Líneas bancarias adecuadas
- Políticas definidas en materia de pagos
DEFINICIONES:
Ambiente de control: establece el tono de una organización, influyendo en la conciencia de control de
su gente. Es la base de los otros elementos de control interno proporcionado estructura y disciplina.
Tiene influencia en cómo se estructuran las actividades, se establecen los objetivos y se aprecian los
riesgos. También en las actividades de control, sistemas de información y monitoreo. Está formado por 7
factores: integridad y valores éticos, compromiso con la competencia, filosofía y estilo operativo de la
dirección, asignación de autoridad y responsabilidad, estructura organizativa, políticas y prácticas de
RRHH, Directorio y Comité de Auditoría-.
Apreciación de riesgos: para apreciar los riesgos, primeramente hay que definir los objetivos. Apreciar
los riesgos es identificar y analizar los riesgos relevantes que puedan afectar el logro de los objetivos
Actividades de control: son las políticas y procedimientos que ayudan a asegurar que las directivas de la
dirección son cumplidas. Contribuyen a asegurar que las acciones necesarias sean tomadas para encarar
los riesgos para el logro de los objetivos de la entidad.
Información y comunicación: se debe identificar, capturar y comunicar la información. Los sistemas de

información producen informes conteniendo información operacional, contable y relativa al
cumplimiento que hacen posible conducir y controlar el negocio. También debe existir una
comunicación eficaz en un sentido amplia fluyendo hacia arriba, hacia abajo y a través de la
organización. Recibir instrucciones claras de la Dirección y también oder comunicar información
significativa hacia arriba además de con sus pares y partes externas (clientes, proveedores, reguladores,
etc.)

Monitoreo: proceso que aprecia la calidad del desempeño de los sistemas a lo largo del tiempo. Los
sistemas de control interno cambian, los procedimientos se vuelven menos eficaces o no se ejecutan y
se necesita identificar si el control interno continúa siendo adecuado. El monitoreo asegura que el
control interno continúa operando con eficacia. Se hace mediante actividades continuas o evaluaciones
separadas.
Definiciones de “Riesgo”
• COSO ERM define riesgo como “La posibilidad de que un evento ocurra y afecte el alcance de la
estrategia y los objetivos de negocio”
• ISO 31000 define riesgo como “el efecto de la incertidumbre sobre los objetivos”, junto a la explicación
de que “un efecto es una desviación con respecto a lo esperado. Puede ser positivo (a veces llamado
oportunidad), negativo (a veces llamado amenaza) o ambos”.
Objetivos – Relación con los Riesgos

Los objetivos son metas, algo a lo que se dirige el esfuerzo, o el resultado de una acción. La importancia
del riesgo depende del contexto de los objetivos organizacionales. El riesgo es importante porque puede
afectar lo que una organización busca alcanzar. El riesgo puede tener tanto un impacto positivo como
negativo en el logro de los objetivos.
Apetito de Riesgo: se define “apetito de riesgo” como “los tipos y cantidad de riesgo que una
organización está dispuesta a aceptar en la búsqueda de la generación de valor”.
De manera similar, la Guía 73 que soporta ISO 31000 define “apetito de riesgo” como “la cantidad y tipo
de riesgo que una organización está dispuesta a perseguir, retener o tomar”
. El concepto de apetito de riesgo es que cada organización debe determinar, por adelantado, la
naturaleza y el nivel de riesgo que desea tomar al perseguir sus objetivos. No hay un apetito de riesgo
universal que pueda ser aplicado a todas las organizaciones. Cada organización tiene su propia misión,
visión, valores clave, objetivos y estrategias que desea alcanzar. Los riesgos asociados, y su naturaleza y
nivel que la organización desea perseguir varía en cada compañía. Incluso un único apetito de riesgo, y
de alto nivel, para toda la organización puede ser muy difícil de alcanzar.
Por ejemplo, definir un único apetito de riesgo puede ser complicado porque:
• Distintas áreas de una organización pueden tener diferentes perspectivas sobre los riesgos,
dependiendo de los factores externos o internos.
• Las organizaciones pueden ser complejas, y la naturaleza y el nivel de riesgo que una compañía es
capaz de manejar puede variar a lo largo de las diferentes partes que la componen. Puede haber una
sola representación de apetito de riesgo dentro de una organización o varias, pero todas deben estar
alineadas y especificar la naturaleza y el nivel de riesgo que la organización está dispuesta a tomar. Las
organizaciones deben comenzar el proceso de establecer su(s) aparato(s) de riesgo pensando en su
misión y visión – ¿qué estamos tratando de lograr? Esto ofrece una vista general de todos los tipos de
prácticas que una organización está dispuesta a perseguir o a no perseguir.
Después de haber considerado la misión y visión, piense:
• ¿Cuál es el contexto de negocio actual? ¿Y el esperado para un futuro?
• ¿Cómo vamos a alcanzar nuestros objetivos?

• ¿Cuáles estrategias hemos elegido? Acuérdese que la gestión de riesgos se centra en ayudar a una
organización a alcanzar sus objetivos mejorando el proceso de la toma de decisiones. Sin embargo, al
desarrollar el apetito de riesgo, no es conveniente enfocarse excesivamente en la actual estrategia
perseguida. La misión, la visión y los valores clave no cambian rápidamente; sin embargo, las estrategias
específicas son mucho más propensas a cambiar frecuentemente. Considere lo siguiente:
• Es usual que las organizaciones desarrollen sus estrategias en paralelo con la definición de su(s)
aparato(s) de riesgo, y que perfeccionen cada uno mientras siguen estableciendo estrategias.
• El proceso de establecer la estrategia y el apetito de riesgo no es un camino lineal. Distintos riesgos
están asociados a diferentes estrategias.
• Hay distintas maneras de lidiar con los riesgos, y las estrategias pueden cambiar al mismo tiempo que
los riesgos lo hacen. Como consecuencia, el apetito de riesgo debe ser reexaminado y reforzado a lo
largo del tiempo, dependiendo de la evolución de las estrategias, así como de las nuevas y emergentes
consideraciones sobre los riesgos. Desarrollar el apetito de riesgo implica encontrar un balance óptimo
entre riesgo (variabilidad) y oportunidad (o costo). Las organizaciones necesitan pensar sobre las
estrategias y los tipos de riesgos relacionados; así como sobre qué cantidad de riesgo están dispuestas a
tomar.
Tolerancia: La tolerancia es algo separado y distinto al apetito de riesgo, pero ambos conceptos están
relacionados. En el Marco ERM COSO, “tolerancia” se define como “los límites de la variación aceptable
en el desempeño relacionado con el cumplimiento de los objetivos de negocio”. Describe el rango
aceptable de resultados, relacionado al cumplimiento de los objetivos de negocio en el ámbito del
apetito de riesgo. Prever si el riesgo ocurrirá es una tarea extremadamente desafiante, en especial
cuando las indicaciones del riesgo están basadas en un mundo de negocios complejo y cambiante.
Además de esta incertidumbre en la ocurrencia de un evento de riesgo, nos encontramos con la
dificultad de predecir cuán grande va a ser el impacto de ese evento en la organización. Todas las
facetas del riesgo (eventos, resultados, y efectos) involucran incertidumbre. La tolerancia proporciona
un enfoque para evaluar si los riesgos que pueden afectar el logro de la estrategia y de los objetivos son
aceptables. La tolerancia se refiere esencialmente al estado normal donde es imposible predecir, con
certeza, el impacto de un riesgo y el nivel de desempeño que se puede alcanzar dado un cierto nivel de
riesgo. Cuando una organización establece su(s) aparato(s) de riesgo, necesita reconocer que habrá una
variación alrededor del esperado (o predicho) nivel de desempeño asociado al apetito de riesgo. Las
organizaciones necesitan considerar su tolerancia en caso de que sus estimaciones no sean correctas al
momento de decidir el nivel de riesgo que deben tomar, consistente con su apetito de riesgo.
La consideración del apetito de riesgo debe ser parte de la toma de decisiones en todos los niveles de la
organización. El siguiente gráfico del Marco ERM COSO muestra esta relación y aplicación del apetito de
riesgo, tolerancia y metas de desempeño (por ejemplo, indicadores y disparadores).
Técnicas de Identificación de riesgos

Hay una gran cantidad de enfoques y técnicas que pueden ser utilizados para identificar riesgos. Los
siguientes ejemplos son distintas maneras de identificar riesgos.
• Actividades del día a día – Observe las actividades del día a día para identificar riesgos.

• Análisis internos, externos e históricos– Considere lo siguiente:
o La historia del negocio– ¿Dónde se encuentra el negocio ahora? ¿Cómo se alinea el negocio
con sus objetivos y estrategia?
o ¿Qué cosas se han identificado internamente que son cruciales para el éxito de la compañía?
o ¿A qué imprevistos se ha enfrentado la organización en el pasado que resultó en que la
compañía no haya cumplido con las expectativas o las haya excedido?
o ¿Qué cambios, problemas, y oportunidades están experimentando los competidores dentro de
la industria de la organización?
o ¿Cuál ha sido la clave para el éxito de los competidores?
• Análisis de datos – Utilice la gran cantidad de información electrónica.
. Encuestas y debates– Utilice actividades específicas para identificar riesgos, como grupos de debate,
entrevistas, cuestionarios y talleres
Inventario de Riesgos
Un inventario de riesgos es una lista de todos los riesgos agrupados durante la identificación de riesgos.
El inventario de riesgos no necesita ser una lista de todos los posibles riesgos existentes, sino que debe
ser una lista de los riesgos que la organización percibe como importantes (los que podrían causar daños
en las operaciones) o de aquellos que afectarán el cumplimiento de la estrategia y los objetivos de
negocio de la organización. Lo importante de un inventario de riesgos es que es un mecanismo para
capturar la gran cantidad de riesgos a los que una organización se enfrenta en un determinado lugar
para facilitar una mejor gestión de riesgos.
Un inventario de riesgos necesita de una estructura, la cual se desarrolla al categorizar los riesgos. Los
riesgos pueden ser organizados según el impacto que tienen en los distintos niveles de la organización, o
según el proceso al que están orientados. Asimismo, el inventario de riesgos puede ser general, lo que
proporciona una amplia descripción de las distintas categorías de los riesgos que pueden afectar el
alcance de los objetivos, o puede ser detallado, proporcionando así una definición detallada de riesgos
específicos.
Riesgo inherente Es el riesgo al que está expuesta una entidad cuando la gerencia no toma medidas
directas o enfocadas para alterar la severidad del riesgo.
o Las acciones tomadas para alterar la severidad pueden estar dirigidas a la probabilidad, el impacto, o a
ambos. El riesgo inherente es la severidad del riesgo asumiendo que no se tome ninguna medida.
o Ejemplo: Está pronosticado un huracán en la zona donde una organización opera. La organización se
enfrenta a un riesgo inherente si no toma ninguna acción para reducir la probabilidad o el impacto del
huracán.
Riesgo residual objetivo– Es la cantidad de riesgo que una entidad prefiere asumir al perseguir su
estrategia y sus objetivos de negocio, sabiendo que la gerencia implementará, o ha implementado,
medidas directas o enfocadas para alterar la severidad del riesgo.
o El riesgo residual objetivo es el nivel reducido de riego que la gerencia anticipa, asumiendo que han
tomado medidas para reducir la probabilidad, el impacto, o ambos de un riesgo.
o Ejemplo: Anticipando un huracán, la organización podría cerrar sus operaciones antes de que empiece
la tormenta, desarrollar un inventario de los bienes terminados antes de la tormenta, alojar a los

empleados críticos en la planta de producción durante la tormenta, y organizar un transporte
alternativo de los bienes terminados en el sitio inmediatamente después de la tormenta.
• Riesgo residual actual – Es el riesgo remanente luego de que la gerencia haya tomado medidas para
alterar la severidad del riesgo. El riesgo residual actual debe equivaler o ser menor al riesgo residual
objetivo. Cuando el riesgo residual actual excede al objetivo, medidas adicionales deben ser tomadas
para permitir a la gerencia alterar aún más la severidad del riesgo.
o Ejemplo: Está pronosticado un huracán en su zona. Usted decide prepararse para minimizar el impacto
del huracán. Luego de haber tomado todas las precauciones y de haber disminuido la severidad, el
riesgo residual actual es el que enfrenta la organización en base a las medidas implantadas.
VARIEDAD DE RESPUESTAS AL RIESGO

riesgo.
Mapa de Calor (Heat Map)
Comúnmente, los “heat map” son incluidos en los reportes de riesgos para representar gráficamente la
severidad de los riesgos. Un “heatmap” es una herramienta que ha sido utilizada por varias décadas.
Aunque no puede considerarse una práctica emergente, aún es usado frecuentemente debido a su
simplicidad. Un “heat map” ilustra el índice de impacto y probabilidad de cada riesgo, representados en
diferentes colores para indicar el nivel de severidad.

DEFINICIONES:
Ambiente de control: establece el tono de una organización, influyendo en la conciencia de control de
su gente. Es la base de los otros elementos de control interno proporcionado estructura y disciplina.
Tiene influencia en cómo se estructuran las actividades, se establecen los objetivos y se aprecian los
riesgos. También en las actividades de control, sistemas de información y monitoreo. Está formado por 7
factores: integridad y valores éticos, compromiso con la competencia, filosofía y estilo operativo de la
dirección, asignación de autoridad y responsabilidad, estructura organizativa, políticas y prácticas de
RRHH, Directorio y Comité de Auditoría-.
Apreciación de riesgos: para apreciar los riesgos, primeramente hay que definir los objetivos. Apreciar
los riesgos es identificar y analizar los riesgos relevantes que puedan afectar el logro de los objetivos
Actividades de control: son las políticas y procedimientos que ayudan a asegurar que las directivas de la
dirección son cumplidas. Contribuyen a asegurar que las acciones necesarias sean tomadas para encarar
los riesgos para el logro de los objetivos de la entidad.
Información y comunicación: se debe identificar, capturar y comunicar la información. Los sistemas de

información producen informes conteniendo información operacional, contable y relativa al
cumplimiento que hacen posible conducir y controlar el negocio. También debe existir una
comunicación eficaz en un sentido amplia fluyendo hacia arriba, hacia abajo y a través de la
organización. Recibir instrucciones claras de la Dirección y también oder comunicar información
significativa hacia arriba además de con sus pares y partes externas (clientes, proveedores, reguladores,
etc.)
Monitoreo: proceso que aprecia la calidad del desempeño de los sistemas a lo largo del tiempo. Los
sistemas de control interno cambian, los procedimientos se vuelven menos eficaces o no se ejecutan y
se necesita identificar si el control interno continúa siendo adecuado. El monitoreo asegura que el
control interno continúa operando con eficacia. Se hace mediante actividades continuas o evaluaciones
separadas.
Definiciones de “Riesgo”
• COSO ERM define riesgo como “La posibilidad de que un evento ocurra y afecte el alcance de la
estrategia y los objetivos de negocio”
• ISO 31000 define riesgo como “el efecto de la incertidumbre sobre los objetivos”, junto a la explicación
de que “un efecto es una desviación con respecto a lo esperado. Puede ser positivo (a veces llamado
oportunidad), negativo (a veces llamado amenaza) o ambos”.
Objetivos – Relación con los Riesgos

Los objetivos son metas, algo a lo que se dirige el esfuerzo, o el resultado de una acción. La importancia
del riesgo depende del contexto de los objetivos organizacionales. El riesgo es importante porque puede
afectar lo que una organización busca alcanzar. El riesgo puede tener tanto un impacto positivo como
negativo en el logro de los objetivos.
Apetito de Riesgo: se define “apetito de riesgo” como “los tipos y cantidad de riesgo que una
organización está dispuesta a aceptar en la búsqueda de la generación de valor”.
De manera similar, la Guía 73 que soporta ISO 31000 define “apetito de riesgo” como “la cantidad y tipo
de riesgo que una organización está dispuesta a perseguir, retener o tomar”
. El concepto de apetito de riesgo es que cada organización debe determinar, por adelantado, la
naturaleza y el nivel de riesgo que desea tomar al perseguir sus objetivos. No hay un apetito de riesgo
universal que pueda ser aplicado a todas las organizaciones. Cada organización tiene su propia misión,
visión, valores clave, objetivos y estrategias que desea alcanzar. Los riesgos asociados, y su naturaleza y
nivel que la organización desea perseguir varía en cada compañía. Incluso un único apetito de riesgo, y
de alto nivel, para toda la organización puede ser muy difícil de alcanzar.
Por ejemplo, definir un único apetito de riesgo puede ser complicado porque:
• Distintas áreas de una organización pueden tener diferentes perspectivas sobre los riesgos,
dependiendo de los factores externos o internos.
• Las organizaciones pueden ser complejas, y la naturaleza y el nivel de riesgo que una compañía es
capaz de manejar puede variar a lo largo de las diferentes partes que la componen. Puede haber una
sola representación de apetito de riesgo dentro de una organización o varias, pero todas deben estar
alineadas y especificar la naturaleza y el nivel de riesgo que la organización está dispuesta a tomar. Las
organizaciones deben comenzar el proceso de establecer su(s) aparato(s) de riesgo pensando en su
misión y visión – ¿qué estamos tratando de lograr? Esto ofrece una vista general de todos los tipos de
prácticas que una organización está dispuesta a perseguir o a no perseguir.
Después de haber considerado la misión y visión, piense:
• ¿Cuál es el contexto de negocio actual? ¿Y el esperado para un futuro?
• ¿Cómo vamos a alcanzar nuestros objetivos?
• ¿Cuáles estrategias hemos elegido? Acuérdese que la gestión de riesgos se centra en ayudar a una
organización a alcanzar sus objetivos mejorando el proceso de la toma de decisiones. Sin embargo, al
desarrollar el apetito de riesgo, no es conveniente enfocarse excesivamente en la actual estrategia
perseguida. La misión, la visión y los valores clave no cambian rápidamente; sin embargo, las estrategias
específicas son mucho más propensas a cambiar frecuentemente. Considere lo siguiente:
• Es usual que las organizaciones desarrollen sus estrategias en paralelo con la definición de su(s)
aparato(s) de riesgo, y que perfeccionen cada uno mientras siguen estableciendo estrategias.
• El proceso de establecer la estrategia y el apetito de riesgo no es un camino lineal. Distintos riesgos
están asociados a diferentes estrategias.
• Hay distintas maneras de lidiar con los riesgos, y las estrategias pueden cambiar al mismo tiempo que
los riesgos lo hacen. Como consecuencia, el apetito de riesgo debe ser reexaminado y reforzado a lo
largo del tiempo, dependiendo de la evolución de las estrategias, así como de las nuevas y emergentes
consideraciones sobre los riesgos. Desarrollar el apetito de riesgo implica encontrar un balance óptimo
entre riesgo (variabilidad) y oportunidad (o costo). Las organizaciones necesitan pensar sobre las

estrategias y los tipos de riesgos relacionados; así como sobre qué cantidad de riesgo están dispuestas a
tomar.
Tolerancia: La tolerancia es algo separado y distinto al apetito de riesgo, pero ambos conceptos están
relacionados. En el Marco ERM COSO, “tolerancia” se define como “los límites de la variación aceptable
en el desempeño relacionado con el cumplimiento de los objetivos de negocio”. Describe el rango
aceptable de resultados, relacionado al cumplimiento de los objetivos de negocio en el ámbito del
apetito de riesgo. Prever si el riesgo ocurrirá es una tarea extremadamente desafiante, en especial
cuando las indicaciones del riesgo están basadas en un mundo de negocios complejo y cambiante.
Además de esta incertidumbre en la ocurrencia de un evento de riesgo, nos encontramos con la
dificultad de predecir cuán grande va a ser el impacto de ese evento en la organización. Todas las
facetas del riesgo (eventos, resultados, y efectos) involucran incertidumbre. La tolerancia proporciona
un enfoque para evaluar si los riesgos que pueden afectar el logro de la estrategia y de los objetivos son
aceptables. La tolerancia se refiere esencialmente al estado normal donde es imposible predecir, con
certeza, el impacto de un riesgo y el nivel de desempeño que se puede alcanzar dado un cierto nivel de
riesgo. Cuando una organización establece su(s) aparato(s) de riesgo, necesita reconocer que habrá una
variación alrededor del esperado (o predicho) nivel de desempeño asociado al apetito de riesgo. Las
organizaciones necesitan considerar su tolerancia en caso de que sus estimaciones no sean correctas al
momento de decidir el nivel de riesgo que deben tomar, consistente con su apetito de riesgo.
La consideración del apetito de riesgo debe ser parte de la toma de decisiones en todos los niveles de la
organización. El siguiente gráfico del Marco ERM COSO muestra esta relación y aplicación del apetito de
riesgo, tolerancia y metas de desempeño (por ejemplo, indicadores y disparadores).
Técnicas de Identificación de riesgos

Hay una gran cantidad de enfoques y técnicas que pueden ser utilizados para identificar riesgos. Los
siguientes ejemplos son distintas maneras de identificar riesgos.
• Actividades del día a día – Observe las actividades del día a día para identificar riesgos.
• Análisis internos, externos e históricos– Considere lo siguiente:
o La historia del negocio– ¿Dónde se encuentra el negocio ahora? ¿Cómo se alinea el negocio
con sus objetivos y estrategia?
o ¿Qué cosas se han identificado internamente que son cruciales para el éxito de la compañía?
o ¿A qué imprevistos se ha enfrentado la organización en el pasado que resultó en que la
compañía no haya cumplido con las expectativas o las haya excedido?
o ¿Qué cambios, problemas, y oportunidades están experimentando los competidores dentro de
la industria de la organización?
o ¿Cuál ha sido la clave para el éxito de los competidores?
• Análisis de datos – Utilice la gran cantidad de información electrónica.
. Encuestas y debates– Utilice actividades específicas para identificar riesgos, como grupos de debate,
entrevistas, cuestionarios y talleres
Inventario de Riesgos

Un inventario de riesgos es una lista de todos los riesgos agrupados durante la identificación de riesgos.
El inventario de riesgos no necesita ser una lista de todos los posibles riesgos existentes, sino que debe
ser una lista de los riesgos que la organización percibe como importantes (los que podrían causar daños
en las operaciones) o de aquellos que afectarán el cumplimiento de la estrategia y los objetivos de
negocio de la organización. Lo importante de un inventario de riesgos es que es un mecanismo para
capturar la gran cantidad de riesgos a los que una organización se enfrenta en un determinado lugar
para facilitar una mejor gestión de riesgos.
Un inventario de riesgos necesita de una estructura, la cual se desarrolla al categorizar los riesgos. Los
riesgos pueden ser organizados según el impacto que tienen en los distintos niveles de la organización, o
según el proceso al que están orientados. Asimismo, el inventario de riesgos puede ser general, lo que
proporciona una amplia descripción de las distintas categorías de los riesgos que pueden afectar el
alcance de los objetivos, o puede ser detallado, proporcionando así una definición detallada de riesgos
específicos.
Riesgo inherente Es el riesgo al que está expuesta una entidad cuando la gerencia no toma medidas
directas o enfocadas para alterar la severidad del riesgo.
o Las acciones tomadas para alterar la severidad pueden estar dirigidas a la probabilidad, el impacto, o a
ambos. El riesgo inherente es la severidad del riesgo asumiendo que no se tome ninguna medida.
o Ejemplo: Está pronosticado un huracán en la zona donde una organización opera. La organización se
enfrenta a un riesgo inherente si no toma ninguna acción para reducir la probabilidad o el impacto del
huracán.
Riesgo residual objetivo– Es la cantidad de riesgo que una entidad prefiere asumir al perseguir su
estrategia y sus objetivos de negocio, sabiendo que la gerencia implementará, o ha implementado,
medidas directas o enfocadas para alterar la severidad del riesgo.
o El riesgo residual objetivo es el nivel reducido de riego que la gerencia anticipa, asumiendo que han
tomado medidas para reducir la probabilidad, el impacto, o ambos de un riesgo.
o Ejemplo: Anticipando un huracán, la organización podría cerrar sus operaciones antes de que empiece
la tormenta, desarrollar un inventario de los bienes terminados antes de la tormenta, alojar a los
empleados críticos en la planta de producción durante la tormenta, y organizar un transporte
alternativo de los bienes terminados en el sitio inmediatamente después de la tormenta.
• Riesgo residual actual – Es el riesgo remanente luego de que la gerencia haya tomado medidas para
alterar la severidad del riesgo. El riesgo residual actual debe equivaler o ser menor al riesgo residual
objetivo. Cuando el riesgo residual actual excede al objetivo, medidas adicionales deben ser tomadas
para permitir a la gerencia alterar aún más la severidad del riesgo.
o Ejemplo: Está pronosticado un huracán en su zona. Usted decide prepararse para minimizar el impacto
del huracán. Luego de haber tomado todas las precauciones y de haber disminuido la severidad, el
riesgo residual actual es el que enfrenta la organización en base a las medidas implantadas.
VARIEDAD DE RESPUESTAS AL RIESGO

riesgo.
Mapa de Calor (Heat Map)
Comúnmente, los “heat map” son incluidos en los reportes de riesgos para representar gráficamente la
severidad de los riesgos. Un “heatmap” es una herramienta que ha sido utilizada por varias décadas.
Aunque no puede considerarse una práctica emergente, aún es usado frecuentemente debido a su
simplicidad. Un “heat map” ilustra el índice de impacto y probabilidad de cada riesgo, representados en
diferentes colores para indicar el nivel de severidad.

Matriz

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz

Cargado por

Copyright:

Formatos disponibles

lOMoARcPSD|12900214

Control interno y gobierno corporativo (Universidad ORT Uruguay)

Studocu is not sponsored or endorsed by any college or university

Variable aleatoria que tiene un impacto en el mundo de la empresa

Factores de riesgos externos e internos

El proceso de gestión de riesgos comprende las siguientes fases:

● La retroalimentación oportuna es esencial para la mejora del proceso.

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

- Su elaboración requiere dedicación y amplio conocimiento del negocio y el entorno de la

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

- Para cada riesgo, se especifica cualitativamente la probabilidad de ocurrencia y el

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Evitar La exposición al riesgo se evitará por completo, ya que el potencial de rendimiento / re

Reducir / La exposición al riesgo se reducirá a través de nuevas o mejores actividades

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

PROCESO DE COMERCIALIZACIÓN Y COBRANZAS:

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

EMISIÓN DE NOTA DE CRÉDITO:

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

PROCESO DE ABASTECIMIENTO Y PAGOS:

- Cliente del proceso: Área que realiza el pedido (Cliente Interno)

- Entrada: Pedido de insumos de un Área de la empresa

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

1- Asegurar el pago íntegro, exacto y oportuno de las obligaciones

2- Asegurar la adecuada custodia y uso de los medios de pago

Que se produzcan desvíos de fondos Que

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Información y comunicación: se debe identificar, capturar y comunicar la información. Los sistemas de

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Objetivos – Relación con los Riesgos

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Técnicas de Identificación de riesgos

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

VARIEDAD DE RESPUESTAS AL RIESGO

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Información y comunicación: se debe identificar, capturar y comunicar la información. Los sistemas de

Objetivos – Relación con los Riesgos

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Técnicas de Identificación de riesgos

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

VARIEDAD DE RESPUESTAS AL RIESGO

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

Downloaded by Kevin CASTILLO (kevinfdx2@gmail.com)

También podría gustarte