GESTIÓN DEL RIESGO

Felipe Fajardo Sanabria

 OBJETIVOS

Proporcionar las herramientas conceptuales,

reconocer los principios y compartir la metodología
y las mejores prácticas para la gestión del riesgo
fundamentado en los lineamientos establecidos en
la norma ISO 31000.
 CONTENIDO TEMÁTICO
1. CONCEPTOS

2. PRINCIPIOS DE GESTIÓN DEL RIESGO

3. RIESGO EN EL CONTEXTO ORGANIZACIONAL

4. ESTABLECIMIENTO DEL MODELO DE GESTIÓN DEL RIESGO

5. IMPLEMENTACIÓN DE LA GESTIÓN DEL RIESGO

6. MEDICIÓN Y SEGUIMIENTO DEL RIESGO

7. MODELOS DE GESTIÓN DEL RIESGO

 GESTIÓN DEL RIESGO
Estaría preparado para ….
Y no sólo para ….
Desarrollo Sostenible
“Satisfacer las necesidades de
las generaciones actuales sin
comprometer la capacidad de
generaciones futuras de
satisfacer sus propias
necesidades”.
 Criterios de
Sostenibilidad
Ecológico

Soportable Viable

Sostenible

Social Económico
Equitativo
 Riesgo

“Efecto de la incertidumbre en los objetivos”

Riesgo (E) = Probabilidad (E) x Consecuencia (E)

ISO 31000:2009, Gestión del riesgo.

 Gestión del Riesgo

“Actividades coordinadas para dirigir y controlar

una organización con relación al riesgo”

(ISO GUIDE 73:2009, Risk Management - Vocabulary)

 Clasificación de Riesgos
(en el una Contexto de una Organización)

• Riesgos Accidentales (Hazard)

Tipo de
Eventos • Riesgos Operativos (Operational)
(criterio:
naturaleza) • Riesgos Financieros (Financial)

• Otros Tipos de Riesgos

 Clasificación de Riesgos
(en el una Contexto de una Organización)

Tipo de • Origen interno

Eventos
(criterio:
origen)
• Origen externo
 Clasificación de Riesgos
(en el una Contexto de una Organización)

• Objetivo Estratégico
Tipo de
Eventos • Objetivo Táctico
(criterio:
nivel en la • Objetivo Operacional
estrategia)
• Otros Tipos de Objetivos
 Riesgo Accidental
(Hazard Risk)
Este riesgo es el asociado a los eventos súbitos e imprevistos no
predecibles (accidentes) a los cuales esta expuesto una organización.

Riesgo Accidental y su relación con

el Riesgo Asegurable

Debido a la característica de accidentabilidad que tienen los eventos

asociados a este tipo de riesgo (súbitos e imprevistos no predecibles),
este tipo de riesgo es el objeto del seguro comercial. Riesgos
asegurables
 Clasificación de Riesgos
(en el una Contexto de una Organización)

Bienes Muebles
• Propiedades Bienes Inmuebles
Bienes Monetarios

Enfermedad
• Personas Muerte
Lesión
Riesgos Incapacidad
Accidentales

Penal
• Responsabilidades
Extracontractual
Civil
Contractual
Disminución de los ingresos
• Beneficio Bruto
Incremento de los gastos
 Riesgo Operativo
(Operational Risk)

Es el riesgo asociado a eventos “no accidentales”

originados por el no funcionamiento (fallo) o el
funcionamiento inadecuado (inadecuación) de los
procesos, del personal y/o de los sistemas
internos de una organización.
 • Fallas de control

• No funcionamiento (o falta) de procesos internos

• Errores del personal

Eventos
Operativos • Sistemas inadecuados (Tecnología)

• Problemas asociados a la cultura de la organización

• Políticas internas mal diseñadas

• Otros
 Diferencia entre Riesgo
Operativo y Riesgo Accidental

Debido a la característica de no accidentabilidad

que tienen los eventos asociados a este tipo de
riesgo (de carácter predecibles), este tipo de riesgo
es totalmente opuesto al Riesgo Accidental, el cual
tiene como característica principal el carácter de
accidentalidad de los eventos asociados a dicho tipo
de riesgo (hechos súbitos e imprevistos).
 Riesgo Financiero
(Financial Risk)

Es el riesgo asociado al impacto en los resultados

financieros de una organización debido a cambios
en las condiciones del mercado; por el no
cumplimiento por parte de terceros de las
obligaciones financieras para con la misma o debido
al no cumplimiento con las obligaciones financieras
para con terceros.
 • Mercado
Riesgos
Financieros
(Tipos) • Crédito

• Liquidez
 Riesgo de Mercado
(Market Risk)

Es el riesgo asociado al impacto en los resultados

financieros de una organización debido a cambios
en las condiciones del mercado.
 • Tasas de interés
• Tasa de cambio
• Mercado • Precio de los commodities
• Precio de los instrumentos
financieros
Riesgos
Financieros
(Tipos)

• Crédito

• Liquidez
 Riesgo de Crédito
(Credit Risk)
Es el riesgo asociado al impacto en los resultados
financieros de una organización por el no
cumplimiento por parte de terceros de las obligaciones
financieras para con la misma.
Riesgo de Crédito
(Factores)

• Perfil general del deudor

• Probabilidad de incumplimiento

• Tasa de recuperación

• Otros
 Riesgo de Liquidez
(Liquidity Risk)

Es el riesgo asociado al impacto en los resultados

financieros de una organización que se origina debido
al potencial no cumplimiento con las obligaciones
financieras para con terceros.
.
 Riesgo de Liquidez
(Factores)
• Inusual número de egresos

• Imposibilidad de vender instrumentos financieros en el mercado

en el momento esperado

• Estructuración inadecuada del portafolio de activos y/o pasivos

• Pérdida de valor del portafolio de activos

• Otros
 Riesgo Inherente

Es el riesgo al que está expuesto una organización

en la ausencia de cualquier acción que la dirección
(management) pudiera tomar para alterar la
probabilidad de ocurrencia o la consecuencia de
dicho riesgo.

(COSO Enterprise Risk Management –Integrated Framework)

 Riesgo Residual

“Riesgo remanente después que

el riesgo ha sido tratado”

(ISO GUIDE 73:2009, Risk Management - Vocabulary)

 Apetito de Riesgo

“Cantidad y tipo de riesgo que una

organización está dispuesta a aceptar o
retener”

(ISO GUIDE 73:2009, Risk Management - Vocabulary)

 Tolerancia de Riesgo

“Riesgo que una organización o grupos de

interés está preparado a manejar después
que el riesgo ha sido tratado, con el fin de
conseguir sus objetivos”

(ISO GUIDE 73:2009, Risk Management - Vocabulary)

 Selección y Transformación del Riesgo

Criterio: Apetito de riesgo

Universo Selección Riesgo Tratamiento Riesgo

de riesgos de riesgo inherente riesgo residual

Criterio: Tolerancia de riesgo

 Principios de la gestión del
riesgo
Para que la gestión del riesgo sea eficaz, una organización en todos los niveles debe
considerar y aplicar con los siguientes aspectos:

 La gestión del riesgo crea valor y lo protege;

 Es una parte integral de todos los procesos de la organización;
 La gestión del riesgo es parte de la toma de decisiones;
 Tiene en cuenta la incertidumbre;
 La gestión del riesgo es sistemática, estructurada y oportuna;
 Se basa en la mejor información disponible;
 La gestión del riesgo es a la medida;
 La gestión del riesgo tiene en cuenta los factores humanos y culturales;
 La gestión del riesgo es transparente e inclusiva;
 La gestión del riesgo es dinámica, interactiva y da respuesta al cambio;
 La gestión del riesgo facilita la mejora continua de la organización.
 Marco de Trabajo para la
Gestión del Riesgo
Pasos a seguir para el establecimiento de la gestión del
riesgo en una organización:

 Compromiso de la Dirección
 Diseño del Modelo de Gestión del Riesgo
 Implementación del Proceso de Gestión del Riesgo
 Seguimiento y revisión de la gestión del riesgo
 Mejora continua de la gestión del riesgo
 Proceso de Gestión del Riesgo
“Aplicación sistemática de políticas, procedimientos y prácticas de
gestión a las actividades de comunicación, consulta, establecimiento del
contexto, identificación, análisis, calificación, tratamiento, seguimiento y
revisión de los riesgos”.

La administración del riesgo tiene dos funciones fundamentales:

- Transformar los riesgos inherentes en riesgos residuales con base en

los criterios de apetito de riesgo y tolerancia de la organización.

- Servir de guía para la ejecución de la gestión de los riesgos en la

organización.

ISO 31000:2009, Risk Management

 Proceso de Gestión del Riesgo

Establecer el contexto

Valoración de riesgos

Identificar los riesgos

Comunicación Seguimiento
y y
consulta Analizar los riesgos revisión

Evaluación de los riesgos

Tratamiento de los riesgos

 Gestión del Riesgo
(proceso lazo cerrado)

Programa de Programa de
Exposición gestión del
gestión del
a eventos Proceso
riesgo riesgo
X Gestión del X optimizado
Riesgo riesgo Riesgo
Inherente Residual

Parámetros
Monitoreo de control
y revisión
 Establecer Contexto

La definición de los parámetros internos y

externos que deben tenerse en cuenta en la
gestión de riesgos, y el establecimiento del
ámbito de aplicación y criterios de riesgo para
la política de gestión del riesgo.
(ISO GUIDE 73:2009, Risk Management - Vocabulary)
Contexto de la organización

Ambiente Interno
(debilidades – fortalezas)

Organización
Eventos

Ambiente
Externo
(amenazas –
oportunidades)
Análisis PESTEL
 Partes interesadas
La organización
Ciudadanos Medios
Dirección
Clientes Gremio
Alta dirección

Distribuidores Mercado
Supervisan y rinden cuentas
Socios Vecinos

Grupos de
Inversionistas
presión
Los que implementan y
Dueños mantienen el sistema de gestión Servicios de
Incluye gestores de riesgo Emergencia

Aseguradores Otras agencias

de respuesta

Gobierno Otro personal Contratistas Transportadores

Reguladores Competidores
 Taller # 1 Análisis de contexto y comprensión
de las necesidades y expectativas de las
partes interesadas

Objetivo:
1. Determinar las cuestiones externas e internas que son pertinentes para el propósito,
dirección estratégica y que afectan la capacidad de la organización para lograr los resultados
previstos.

2. Determinar las partes interesadas, sus necesidades en términos de requisitos y

expectativas.

Metodología:
Con base en los requisitos y explicaciones del docente. Conformar grupos de máximo 5
estudiantes.
Duración 45 minutos.

Presentación:
Se escogerá un grupo para que presente sus resultados y se validará con participación de la
plenaria. Se registran los resultados del consenso.
 Riesgo
Visión Estratégica

Riesgo

Desviación Desviación
Positiva Negativa
(Fortalezas – (Debilidades –
Oportunidades) Amenazas)
Estrategia
Describe de manera sintetizada cual es el
fundamento de lo que va a hacer la organización
para el logro de su visión.
¿Cuál es mi plan de juego?

Objetivos Estratégicos
Describen de manera especifica que debe de ir
alcanzando una organización con el fin de lograr
su misión.
“Traducir la estrategia”
 Planeación Estratégica

Proceso por el cual una organización diseña el

mapa de ruta (qué hacer y cómo) que le
permitirá, partiendo de su situación en el
presente, alcanzar un futuro deseado.

Este mapa de ruta es el “Plan Estratégico”

 Política de Riesgo

“Declaración de la intención y el direccionamiento de

una organización en relación a la administración de
riesgos”.

(ISO GUIDE 73:2009, Risk Management - Vocabulary)

 Política de Riesgo
(características más importantes)

• Claros objetivos

• Vigilancia tanto por la junta directiva como por la alta

dirección.

• Dirigida a crear y fomentar una sólida cultura de manejo

de riesgos la cual debe de combinar valores individuales
y corporativos, aptitudes, competencias y el
comportamiento que determina el compromiso de la
organización y el estilo de la administración de riesgos.
 Política de Riesgo
(características más importantes)

• Establecer una sólida cultura de control interno con base

a riesgo, incluyendo entre otras claras líneas de
responsabilidad y segregación de deberes.
• Establecer el rol de la auditoria Interna con relación al
sistema de administración de riesgos.
• Establecer un efectivo proceso de información y reporte
interno.
• Fijar los criterios para el diseño del programa de manejo
de los riesgos (apetito de riesgo, etc.).
 Despliegue objetivos

Objetivos
estratégicos

Riesgos
Objetivos
tácticos

Objetivos
operacionales
 Gestión del Desempeño
Conjunto de actividades que una organización
implementa con el fin de gestionar el cumplimiento de
sus objetivos.

Planeación estratégica

Objetivos Iniciativas + Administración del riesgo

Administración integral de riesgos

Objetivos Estratégicos y Gestión de Riesgos

Manejo de los riesgos

Direccionamiento y control
Gestión de Objetivos
riesgos estratégicos
Criterio: Apetito y tolerancia
de riesgo
 Administración de Riesgos
(Visión “Integrada”)

Una única filosofía de gestión de riesgos genera

políticas, procesos, programas y coordina
responsabilidades entre diferentes funciones
organizacionales, respondiendo a criterios uniformes con
relación a la toma de decisiones respecto al tratamiento
de los mismos (incluyendo el criterio de apetito de riesgo
y de tolerancia de riesgo).
 Administración de Riesgos
(Visión “Integrada”)

Diferencias más importantes con la Visión de “Silos”

1.Se asegura que todos los riesgos están manejados en línea con la
estrategia de la organización.

2.Se evita duplicidad de costos (optimización del “costo de riesgo”)

3.Se optimiza el capital al existir un solo proceso de distribución del

capital a riesgo (capital-at-risk allocation).

4.Se asegura que se están manejando todas las fuentes de riesgos al

eliminarse el efecto “borde” (separación entre silos)
 Marco de gestión de riesgos

Conjunto de componentes que proporcionan las bases y modalidades de

organización para diseñar, implementar, control, la revisión y mejora
continúa de la gestión del riesgo en toda la organización

NOTA 1 Las bases incluyen la política, objetivos, mandato y compromiso

con la gestión del riesgo.

NOTA 2 Los acuerdos incluyen planes de organización, relaciones,

responsabilidades, recursos, procesos y actividades.

Nota 3: El marco de la gestión de riesgo está incrustado dentro de la

organización en lo estratégico y operativo, en las políticas y prácticas.
 Plan de Gestión del Riesgo
Régimen en el marco de la gestión del riesgo especificando el
planteamiento, la gestión de componentes y los recursos que se
aplicarán a la gestión del riesgo.

NOTA 1: Los componentes de gestión suelen incluir los

procedimientos, prácticas, la asignación de responsabilidades, la
secuencia de y el calendario de actividades.

NOTA 2 El plan de gestión de riesgo se puede aplicar a un

determinado producto, proceso y proyecto, y parte o la totalidad de
la organización.
(ISO 31000:2009)
 Identificación de Riesgos
Proceso de encontrar, reconocer y describir los
riesgos

Nota 1: Identificación de riesgos implica la

identificación de las fuentes de riesgo, eventos, sus
causas y sus posibles consecuencias.

NOTA 2 de identificación de riesgos puede incluir

datos históricos, el análisis teórico, y opiniones de
expertos, y necesidades de stakeholders.
ISO 31000:2009
Herramientas
 Estrategias DOFA
Ante los datos se pueden proponer diversas estrategias de
actuación:

 Estrategia ofensiva (fortalezas + oportunidades)

 Estrategia defensiva (fortalezas + amenazas)
 Estrategia de reorientación (debilidades +
oportunidades)
 Estrategia de supervivencia (debilidades + amenazas)
 Herramientas
Identificación riesgos – matriz

F Alta
r
e
c
Media
u
e
n
c Baja
i
a
Bajo Medio Alto

Impacto
Taller # 2 Identificación de riesgos
Objetivo:
Teniendo en cuenta los riesgos y oportunidades que es necesario abordar por el
sistema de gestión de la organización para lograr los resultados previstos.

Realice la identificación, análisis y evaluación de los riesgos.

Metodología:
Con base en los requisitos y explicaciones del docente. Conformar grupos de máximo 5
estudiantes.
Duración 45 minutos.

Presentación:
Se escogerá un grupo para que presente sus resultados y se validará con participación
de la plenaria. Se registran los resultados del consenso.
 Tratamiento del riesgo

“Proceso para modificar el riesgo”.

(ISO GUIDE 73:2009, Risk Management -Vocabulary)

 Tratamiento del riesgo
Las opciones de tratamiento pueden incluir las siguientes:

 Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar el

riesgo;
 Tomar o aumentar con el fin de perseguir una oportunidad;
 Eliminar la fuente del riesgo;
 Modificar la probabilidad del riesgo;
 Mitigación del riesgo: reduciendo la probabilidad de ocurrencia o reduciendo
las consecuencias o impactos;
 Distribución o cesión del riesgo, entregando a otra parte o partes (incluidos
los contratos y la financiación del riesgo)
 Aceptar o asumir el riesgo por una decisión informada.
 Control

“Medida que esta modificando el riesgo”

(ISO GUIDE 73:2009, Risk Management -Vocabulary)

 Control

“Parte de la gestión orientada al

cumplimiento de los requisitos”.
 Control
Es un proceso ejecutado por la dirección y por el resto del
personal, diseñado específicamente para proporcionarles
seguridad razonable de conseguir:

• Eficacia y eficiencia de las operaciones.

• Suficiencia y confiabilidad de la información financiera y

operativa.

• Cumplimiento de las leyes y regulaciones aplicables.

• Prevenir errores e irregularidades.

 Indicador de Riesgo
(Key Risk Indicator “KRI”)

Es una variable cuyo valor arroja información sobre

alguno de los componentes de un tipo de riesgo en
particular.
 Risk Drivers
(Componentes)

1. Evento
2. Probabilidad
3. Consecuencia
4. Experiencia (historia)
5. Control del Riesgo (intervención de la probabilidad de
ocurrencia)
6. Mitigación del Riesgo (intervención de la consecuencia)
.
 Tipos de indicador de riesgo KRI
(Criterios)

1. Por Tipo de Métrica

1.1 Cuantitativo
1.2 Cualitativo

2. Con Relación al Evento

2.1 Indicador de causa (lead indicator)

2.2 Indicador de efecto (lag indicator)
 Indicador Cuantitativo
La métrica asociada a este tipo de indicador es una medida en
números o cantidades absolutas o relativas (#, $, %).

Ejemplos de indicadores cuantitativos:

- Número de fraudes
- Número de transacciones por día
- Monto total de dinero perdido producto de robo
- Porcentaje de programas de capacitación no realizados
- Tiempo fuera de servicio en línea
 Indicador Cualitativo
La métrica asociada a este tipo de indicadores un aspecto que
no es cuantificado directamente (hecho, opinión, percepción,
juicios sobre algo, etc.)

Ejemplos de indicadores cualitativos:

- Nivel de satisfacción de clientes (externos/internos)

- Calidad de los programas de capacitación
- Nivel del servicio al cliente
- Eficiencia del proceso de control interno
- Nivel de madurez del sistema de gestión de riesgos
 Indicador de Causa
(lead indicator)
La métrica asociada a este tipo de indicador expresa la
existencia de una situación (sea esta de carácter cualitativa o
cuantitativa) la cual tiene el potencial de ser el origen por si
sola, o en combinación con otras, de un evento en particular.
También son conocidos estos indicadores como de alertas
tempranas (earlywarning). Ejemplos de indicadores de causa:

- Nivel del servicio al cliente

- Porcentaje de programas de capacitación no realizados
- Calidad de los programas de capacitación
- Nivel del servicio al cliente
- Eficiencia del proceso de control interno
- Nivel de madurez del sistema de gestión de riesgos
 Indicador de Efecto
(lag indicator)
La métrica asociada a este tipo de indicador tiene el potencial
de expresar la existencia de una situación (sea esta de
carácter cualitativa o cuantitativa) la cuales la consecuencia de
un evento que está ocurriendo o que ha ocurrido. Ejemplos de
indicadores de efecto:

- Número de fraudes externos

- Número de errores en los procesos
- Monto total de dinero perdido producto de robo
- Índice de insatisfacción de clientes (externos/internos)
- Tiempo fuera de servicio en línea
 KRI´s Versus KPI´s
Aunque ambos indicadores en principio se diseñan para
propósitos diferentes, en la práctica algunas “mediciones”
(métricas) pudieran ser compartidas por ambos tipos de
indicadores (indicador dual).

Indicadores duales (ejemplo de Indicadores de Riesgo KPI’s-

KRI’s)
- Número de fraudes externos
- Número de transacciones por día
- Monto total de dinero perdido producto de robo
- Monto total de dinero entregado en crédito
- Porcentaje de crecimiento de clientes
- Porcentaje de rotación del personal
- Porcentaje de cumplimiento del programa de capacitación
- Índice de satisfacción
 Control
• Es un proceso que parte de los demás sistemas y procesos
de la organización incorporando en la función de dirección, no
adyacente a éste.

• Orientado a objetivos - es un medio, no un fin en sí mismo.

• Es concebido y ejecutado por personas de todos los niveles

de la organización a través de sus acciones y palabras.

• Proporciona una seguridad razonable, más que absoluta, de

que se lograrán sus objetivos.
 ¿Cómo abordar los riesgos?
Recuerde los pasos:

1. Identifique cuáles son sus riesgos y oportunidades – esto depende del contexto.

2. Analice y priorice sus riesgos y oportunidades

¿Cuál es aceptable, cuál es inaceptable?
¿Qué ventajas o desventajas existen para un proceso con respecto a otro?

3. Planificar acciones para abordar los riesgos

¿Cómo puedo evitar o eliminar el riesgo?
¿Cómo puedo mitigar los riesgos?

4. Implementar el plan – emprender acción

5. Verificar la eficacia de las acciones - ¿funciona?

6. Aprender de la experiencia – mejora continua

Taller # 3 Tratamiento de riesgos
Objetivo:
Teniendo en cuenta los resultados de la evaluación de riesgos del taller # 2.

Determine los controles y las alternativas para realizar el tratamiento de los riesgos
evaluados.

Metodología:
Con base en los requisitos y explicaciones del docente. Conformar grupos de máximo 5
estudiantes.
Duración 45 minutos.

Presentación:
Se escogerá un grupo para que presente sus resultados y se validará con participación
de la plenaria. Se registran los resultados del consenso.
 COSO Marco Integrado de Control Interno
Componentes

1. Ambiente de control (principios 1 al 5)

2. Evaluación de riesgos (principios 6 al 9)

3. Actividades de control (principios 10 al 12)

4. Sistemas de información y comunicación (principios 13 al 15)

5. Supervisión (principios 16 al 17)

 COSO 2013 Marco Integrado de Control Interno
Principios: Ambiente de Control
1. La organización debe demostrar su compromiso con la integridad y los
valores éticos
2. La junta directiva debe demostrar independencia de la gerencia y debe
de ejercer la debida vigilancia al desarrollo y al desempeño del control
interno
3. La gerencia debe de establecer, con la debida vigilancia de la junta
directiva, la estructura organizacional, las líneas jerárquicas y de
reporte así como las responsabilidades apropiadas, para el logro de
los objetivos de la organización
4. La organización debe demostrar su compromiso en atraer, desarrollar
y retener personal competente y alineado con sus objetivos
5. La organización deberá tener personal con obligaciones en relación a
las diferentes responsabilidades asociadas al control interno, esto para
el logro de sus objetivos
 COSO 2013 Marco Integrado de Control Interno

Principios: Evaluación de riesgos

6. La organización debe especificar sus objetivos con suficiente claridad

con el fin de permitir la identificación y evaluación de los riesgos
asociados a dichos objetivos.
7. La organización debe de identificar los riesgos asociados al logro de sus
objetivos a través de toda su estructura y analizar dichos riesgos desde su
origen con el fin de determinar como los mismos deberían ser gestionados.
8. La organización debe considerar el potencial de fraude durante la
evaluación de los riesgos asociados al logro de los objetivos.
9. La organización debe identificar y evaluar aquellos cambios de pudieran
impactar significativamente del sistema de control interno
 COSO 2013 Marco Integrado de Control Interno

Principios: Actividades de control

10. La organización debe seleccionar y desarrollar actividades de control

que contribuyan a la mitigación de los riesgos a un nivel aceptable, de
aquellos riesgos asociados al logro de los objetivos.
11. La organización debe de seleccionar y desarrollar actividades de
control general sobre la tecnología, con el fin de soportar el logro de los
objetivos.
12. La organización debe de diseñar e implementar sus actividades de
control en base tanto a políticas que establezcan los lineamientos para el
diseño de las mismas como de procedimientos que permitan la
implementación y puesta en marcha de las mismas.
 COSO 2013 Marco Integrado de Control Interno

Principios: Sistemas de información y comunicación

13. La organización debe de obtener o generar y usar información

relevante y de calidad con el fin de soportar el funcionamiento del control
interno.
14. La organización internamente debe de comunicar la información
necesaria, incluyendo objetivos y responsabilidades por el control interno,
con el fin de soportar el funcionamiento del control interno
15. La organización cuando sea necesario, se debe de comunicar con
entes externos en relación a aspectos afectando el funcionamiento del
control interno.
 COSO 2013 Marco Integrado de Control Interno

Principios: Supervisión

16. La organización debe de seleccionar, desarrollar y llevar a cabo

evaluaciones continuas propias y/o externas con el fin de confirmar si los
componentes del control interno están presente y funcionando.

17. La organización debe de evaluar y comunicar las deficiencias de su

control interno de manera periódica a aquellos entes responsables por
tomar acciones correctivas, incluyendo la alta gerencia y la junta directiva,
cuando sea apropiado.
COSO 2013 Marco Integrado de Control Interno
 1. Ambiente de Control
Establecimiento de un entorno que se estimule e influencie la
actividad del personal con respecto al control de sus
actividades.
Es la base de los demás componentes de control a proveer
disciplina y estructura para el control e incidir en la manera
como:
• Se estructuran las actividades del negocio.
• Se asigna autoridad y responsabilidad.
• Se organiza y desarrolla la gente.
• Se comparten y comunican los valores y creencias.
• El personal toma conciencia de la importancia del control.
 2. Evaluación de Riesgos
Es la identificación y análisis de riesgos relevantes
para el logro de los objetivos y la base para
determinar la forma en que tales riesgos deben ser
tratados.

Se refiere a los mecanismo necesarios para identificar

y manejar riesgos específicos asociados con los
cambios, tanto los que influyen en el entorno de la
organización como en su interior.
 2. Evaluación de Riesgos
Debe incluir entre otros aspectos los siguientes:

• La estimación de la importancia del riesgo y sus

efectos.
• La evaluación de la probabilidad de ocurrencia.
• El establecimiento de acciones y controles
necesarios.
• La evaluación periódica del proceso anterior.
 3. Actividades de Control
Son aquellas que realiza la gerencia y demás personal
de la organización para cumplir diariamente con las
actividades asignadas. Estas actividades están
expresadas en las políticas, sistemas y
procedimientos.

Las actividades de control tienen distintas

características. Pueden ser manuales o
computarizadas, administrativas u operacionales,
generales o específicas, preventivas o reactivas.
 3. Actividades de Control

Las actividades de control son importantes no solo

porque en sí mismas implican la forma correcta de
hacer las cosas, sino debido a que son el medio
idóneo de asegurar en mayor grado el logro de
objetivos.
 4. Sistemas de Información y
Comunicación
Se utilizan para identificar, procesar y comunicar la
información al personal, de tal manera que le permita
a cada empleado conocer y asumir sus
responsabilidades.

La alta dirección debe transmitir mensajes claros

acerca de las actividades de la organización,
incluyendo el control que se realizan en cada una de
ellas. Igualmente, se puede obtener información de
fuentes externas para mejorar los controles y
comunicar cualquier anomalía a la administración.
 4. Sistemas de Información y
Comunicación
Los sistemas de información y tecnología son y
serán sin duda un medio para incrementar la
productividad y competitividad.

Ciertos hallazgos sugieren que la integración de la

estrategia, la estructura organizacional y la
tecnología de información es un concepto clave
para el éxito sostenible.
 4. Sistemas de Información y
Comunicación

La información nos dice, en parte, lo que ocurrió pero

no lo que va a suceder en el futuro.

La información generada internamente así como

aquella que se refiere a eventos acontecidos en el
exterior, es parte esencial de la toma de decisiones
así como en el seguimiento de las operaciones.
 Comunicación

Cómo se comunica:
Qué se comunica: Quién comunica:
Reuniones
Políticas Gerente
Charlas
Objetivos Directores
Sensibilizaciones
Programas Jefes
Capacitaciones
Planes Coordinadores
Procedimientos Operadores
Asegurar
Especificaciones
entendimiento

A quién comunica:
Cuándo se comunica:
Por qué comunica:
Operadores
Coordinadores Jefes Inducción
Justificación (toma
Directores Según cronograma
conciencia)
Gerente Simulacros
Ley Entrenamiento
Registros
Cambios
 5. Supervisión y Seguimiento
Mediante monitoreo continuo efectuado por la
administración se evalúa si los funcionarios realizan
sus tareas de manera adecuada o si es necesario
realizar cambios.

La supervisión comprende supervisión interna por

parte de las personas de la empresa y evaluación
externa que la realizan entes externos de la Empresa.
 5. Supervisión y Seguimiento
Para un adecuado seguimiento (monitoreo) se deben
tener en cuenta las siguientes reglas:

• El personal debe obtener evidencia de que el control

está funcionando.
• Sí las comunicaciones externas corroboran la
información generada internamente.
• Se deben efectuar comparaciones periódicas de los
registros documentales versus físicos.
 5. Supervisión y Seguimiento
• Revisar si se han implementado controles para
resolver las no conformidades identificadas por los
auditores internos y externos; o por el contrario no
se ha hecho nada o poco.

• Sí son adecuadas, eficaces y confiables las

actividades de auditoría interna.
 Modelo de las tres líneas
de defensa
Primera Línea de Defensa:
Las gerencias de la líneas de negocios (dueños de los procesos).
Segunda Línea de Defensa:
La función general de administración de riesgos así como adicionalmente
cualquier otra área de apoyo a la gestión de riesgos específicos (seguridad y
protección, cumplimiento, control de pérdidas, lavado de dinero, calidad y
procesos, etc.)
Tercera línea de Defensa:
La función de aseguramiento independiente la cual es típicamente la función
de auditoria interna, pero pudiera incluir adicionalmente a otras
organizaciones calificadas e independientes (de aplicar) de carácter externo
(reguladores, etc.)
.
 Continuidad del Negocio

“Capacidad de una organización de continuar la

entrega de productos y servicios en unos
aceptables y predefinidos niveles, una vez ocurrido
un evento de interrupción.”

(ISO 22300 Societal security —Terminology)

 Gestión de la Continuidad de Negocios
“BCM”
Diferentes normas:

• BS 25999-Partes 1 y 2 (British Standards Institution- BSI)

2006 y 2007

• NFPA 1600 (National Fire Protection Association- NFPA)

2010

• ISO 22301 (International Organization for Standardization -

ISO) 2012
 Interrupción

Desviación negativa en la entrega esperada de

producto(s) y servicio(s) de una organización y que
impacta objetivos prestablecidos
 Sistema de Gestión de la Continuidad
del Negocio

“Parte de un completo sistema de gestión que

establece, implementa, opera, monitorea, revisa,
mantiene y mejora la continuidad del negocio”

Nota: El sistema de gestión incluye la estructura

organizacional, políticas, actividades de planeación,
responsabilidades, procedimientos, procesos y
recursos.
(ISO 22301: Societal security. Business continuity management systems. Requirements)
 Plan de Continuidad del Negocio

“Procedimientos documentados que guían a las

organizaciones a responder, recuperarse, retomar y
restablecer un nivel de operación predefinido
después de ocurrido un evento de interrupción”

Nota : Típicamente, este plan cubre recursos, servicios y actividades

requeridas para asegurar la continuidad de funciones criticas del
negocio.

(ISO 22301: Societal security. Business continuity management systems. Requirements)

 La Administración Integral de Riesgos
Definición “COSO”

“Un proceso efectuado por la junta directiva, la gerencia y

el resto del personal, aplicado en forma de estrategias y a
lo largo de toda la organización, diseñado para identificar
potenciales eventos que puedan afectar la organización y
manejar los riesgos dentro de su apetito de riesgo y
proveer seguridad razonable con relación al logro de los
objetivos de la organización.”
 COBIT
¡Información!
 La Información constituye un recurso clave para todas
las organizaciones.
 La Información se crea, usa, retiene, divulga y
destruye.
 La Tecnología juega un papel clave en esas
actividades.
 La Tecnología se está convirtiendo en parte integral
de todos los aspectos de la vida personal y comercial.

¿Qué beneficios arrojan la información y la tecnología

para las organizaciones?

102
 Beneficios para las Organizaciones
Las organizaciones y sus ejecutivos están haciendo esfuerzos
para:
 Mantener información de calidad para apoyar las decisiones del negocio.
 Generar un valor comercial de las inversiones habilitadas por la
Tecnología de la Información (TI), o sea: lograr metas estratégicas y
mejoras al negocio mediante el uso eficaz e innovador de la TI.
 Lograr una excelencia operativa mediante la aplicación eficiente y fiable
de la tecnología.
 Mantener el riesgo relacionado con TI a niveles aceptables.
 Optimizar el costo de la tecnología y los servicios de TI.

¿Cómo se logran estos beneficios con el fin de crear valor

para las partes interesadas de la organización?

103
 Valor para las Partes Interesadas
• Para lograr valor para las partes interesadas de la organización, se
requiere un buen gobierno y una buena administración de los activos
de TI y de la información.

• Los directivos, gerentes y ejecutivos de las organizaciones deben

acoger la TI como cualquier otra parte importante del negocio.

• Cada día aumentan y se complican más los requisitos externos, tanto

legales como de cumplimiento regulatorio y contractual, relacionados
con el uso de la información y la tecnología en la organización,
amenazando el patrimonio si no se cumplen.

• COBIT5 proporciona un marco integral que ayuda a las organizaciones

a lograr su metas y entregar valor mediante un gobierno y una
administración efectivos de la TI de la organización.

104
 El Marco de COBIT 5
• COBIT 5 ayuda a las organizaciones a crear un valor óptimo
a partir de la TI, al mantener un equilibrio entre la realización
de beneficios y la optimización de los niveles de riesgo y
utilización de los recursos.
• COBIT 5 permite que las tecnologías de la información y
relacionadas se gobiernen y administren de una manera
holística a nivel de toda la Organización, incluyendo el
alcance completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los intereses
relacionados con la TI de las partes interesadas internas y
externas.
• Los principios y habilitadores de COBIT 5 son genéricos y
útiles para las Organizaciones de cualquier tamaño, bien
sean comerciales, sin fines de lucro o en el sector público.

105
 Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios
de COBIT 5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

106
Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
Habilitadores de COBIT 5

2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias

RECURSOS

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados

107
 COBIT 5

Gobierno Corporativo de TI
Evolución del Alcance

Gobierno de TI

Val IT 2.0
Administración (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

108
1. Satisfacer las Necesidades de las Partes
Interesadas
Impulsadores de las Partes Interesadas
(Medio Ambiente, Evolución Tecnológica, …)

Influencian

Necesidades de las Partes Interesadas

Realización Optimización Optimización
de Beneficios de Riesgos de Recursos

Metas de la Organización

Pasan a

Metas Relacionadas con TI

Pasan a

Metas Habilitadoras

Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados. 109
Principio 2: Cubrir la Compañía de Forma Integral

Objectivo del Gobierno: Creación de Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

Los Componentes
Claves de un Habilitadores Alcance del
de Gobierno Gobierno
Sistema de
Gobierno

Roles, Actividades y Relaciones

Roles, Actividades y Relaciones

Instruir y
Fijar Alinear Operaciones
Dueños y Delegan Ente Administración
Directivas y
Partes Regulador
Ejecución
Interesadas Rendición de
Cuentas Monitorear Informar

110
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.
Principio 4. Habilitar un Enfoque Holístico

2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades
y Aplicaciones y Competencias

RECURSOS

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

111
Principio 4. Habilitar un Enfoque Holístico

Dimensión de Habilitadores

Partes Interesadas Metas Ciclo de Vida Buenas Prácticas

• Calidad Intrínseca • Planificar • Prácticas
• Calidad Contextual • Diseñar • Productos de Trabajo
(Relevancia, •Construir/Adquirir/ (Entradas/Salidas)
• Internas
Efectividad) Crear/Implementar
• Externas
• Accesabilidad y • Usar/Operar
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer
Administración del Desempeño de los

¿Se atienden las Necesidades de

las Partes Interesadas?
¿Se Logran las Metas de los ¿Se administra el Ciclo de ¿Se aplican Buenas
Habilitadores? Vida? Prácticas?
Habilitadores

Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

(Indicadores de Resultados) (Indicadores de Desempeño)

112
 Principio 5. Separar el Gobierno de la Administración

No es obligatorio, pero propone que las organizaciones implementen

los procesos de gobierno y administración de tal manera que las áreas
claves queden cubiertas, tal como se muestra a continuación:

Necesidades del Negocio

Gobierno

Evaluar

Dirijir Monitorear
Retroalimentación Gerencial

Administración

Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

113
Taller # 4 Establecimiento del Plan
de Gestión de Riesgos
Objetivo:
Teniendo en cuenta los resultados de los talleres # 1, 2 y 3.

Estructure el plan de gestión de riesgos.

Metodología:
Con base en los requisitos y explicaciones del docente. Conformar grupos de máximo 5
estudiantes.
Duración 45 minutos.

Presentación:
Se escogerá un grupo para que presente sus resultados y se validará con participación
de la plenaria. Se registran los resultados del consenso.