Herramienta para evaluar la implementación d

CIA XYZ
Cuestionarios de Evaluación
Componente COSO ERM 2017: No 3. Desempeño
Principio COSO ERM 2017: No 14. La organización desarrolla y evalúa una visión
Fecha (DD-MM-AA):
Responsable (Nombre y Cargo):

Objetivo:

Esta herramienta está diseñada para realizar una evaluación periódica del principio No 14 del modelo COSO ERM 2017: La o
también permitirá definir planes de acción y fechas de cumplimiento para cerrar las brechas identificadas, para lograr una m

A continuación usted encontrará una serie de preguntas como guía para la evaluación de este principio

En cada numeral usted debe calificar si la actividad se realiza con base en los siguientes criterios:
5: Siempre
4: Casi siempre
3: Algunas veces
2: Casi nunca
1. Nunca
0. No existe la actividad
N/A: No aplica esta actividad

Los comentarios se refieren a las explicaciones precisas de las razones por las cuales se da la calificación. El plan de acción y
brecha y mejorar la calificación según fecha de compromiso.
Las casillas deben ser diligenciadas con un número uno (1), lo cual permite hacer el cálculo pertinente para determinar la ca

Principio No 14: La organización desarrolla y evalúa una visión de

cartera del riesgo N/A 0 1 2 3 4 5

Comprensión de una vista de cartera

1 ¿La gerencia primero considera el riesgo en relación con cada división, 1

unidad operativa o función?

¿Cada gerente desarrolla una evaluación compuesta de riesgos, la cual

2 refleja el perfil de riesgo residual de la unidad en relación con sus 1
objetivos comerciales y tolerancia?

¿La gestión de riesgos empresariales permite a la organización

3 considerar las posibles implicaciones para el perfil de riesgo desde una 1
perspectiva de toda la entidad o de la cartera?
 ¿Una vista de cartera permite a la administración y al Consejo de
4 Administración considerar el tipo, la gravedad y las interdependencias 1
de los riesgos y cómo pueden afectar el desempeño?

Utilizando la vista de cartera, ¿la organización identifica los riesgos que

5 son graves a nivel de entidad? 1

¿Los riesgos graves que surgen a nivel de entidad y los riesgos

6 transaccionales del tipo de procesamiento afectan a la entidad en su 1
conjunto?

Con una visión de cartera, ¿la administración está bien posicionada

7 para determinar si el perfil de riesgo residual de la entidad se alinea con 1
el apetito de riesgo general?

8 ¿El mismo riesgo en diferentes unidades es aceptable para las unidades 1

operativas, pero en conjunto dan una imagen de gravedad?

9 Si en conjunto, el riesgo excede el apetito por el riesgo de la entidad, 1

¿se implementan respuestas de riesgo adicionales o diferentes?

¿Un riesgo que no es aceptable en una unidad, está dentro del rango en
10 otra? 1

¿Se presentan algunas unidades operativas con un riesgo más alto que
11 otras? 1

12 ¿El riesgo general permanece dentro del apetito de riesgo de la 1

entidad?

Desarrollar una vista de cartera

¿La organización utiliza la metodología para definir cartera de riesgos

centrada en las principales categorías de riesgo en todas las unidades 1
operativas?
13
¿La organización utiliza la metodología con base en el riesgo de la
entidad en su conjunto, utilizando métricas como capital ajustado al
riesgo o capital en riesgo?

¿Este método es útil cuando se evalúa el riesgo frente a los objetivos

14 comerciales establecidos, en términos de ganancias, crecimiento y otras 1
medidas de desempeño, aveces en relación con el capital asignado o
disponible?

¿La información derivada del método resulta útil para reasignar capital
15 entre las unidades operativas y modificar la dirección estratégica? 1
 ¿La organización, al desarrollar su visión del riesgo, utiliza uno de los
16 siguientes cuatro niveles en orden ascendente de nivel de integración 1
(de mínimo a máximo):

• Integración mínima - visión de riesgos: en la visión centrada en el

riesgo, la entidad identifica y evalúa los riesgos discretos. El enfoque
17 predominante está en el evento de riesgo subyacente más que en el 1
objetivo; por ejemplo, el riesgo de que un incumplimiento afecte el
cumplimiento de la entidad con las regulaciones locales.

• Integración limitada - Vista de categoría de riesgo: esta vista utiliza

información capturada en la vista de inventario de riesgo, y organiza
los riesgos usando categorías u otro esquema de clasificación. Las
categorías de riesgo, a menudo, reflejan la estructura operativa de la
18 entidad e informan las funciones y responsabilidades. Un 1
departamento de cumplimiento, por ejemplo, tendrá la
responsabilidad de ayudar a la organización a gestionar sus riesgos
relacionados con el cumplimiento.

• Integración parcial - vista de perfil de riesgo: al adoptar una vista

más integrada, una organización se centra en los objetivos
comerciales y los riesgos que se alinean con esos objetivos (por
ejemplo, todos los objetivos potencialmente afectados por los riesgos
relacionados con el cumplimiento). Además, se identifican y
19 consideran las dependencias que pueden existir entre los objetivos 1
comerciales. Por ejemplo, el objetivo de mejorar la excelencia
operativa puede ser un requisito previo para fortalecer el balance y
aumentar la participación de mercado. Esta vista se basa en la
información utilizada para crear la vista centrada en el riesgo o por
categoría de riesgo.

• Integración completa - Vista de cartera:en este nivel, el enfoque se

desplaza hacia la estrategia general de la entidad y los objetivos
comerciales. Una mayor integración apoya la identificación,
20 evaluación, respuesta y revisión del riesgo en los niveles adecuados 1
para la toma de decisiones. Usando el mismo ejemplo, el Consejo de
Administración revisa y desafía a la administración sobre cómo la
entidad está mejorando su excelencia operativa, incluida la gestión de
los riesgos relacionados con el cumplimiento.

21 Al desarrollar la vista de cartera, la organización observa riesgos que: 1

22 • Incrementan la gravedad a medida que se consolidan 1

progresivamente a niveles superiores dentro de la entidad.

23 • Disminuyen la gravedad a medida que se consolidan 1

progresivamente.

24 • Compensan otros riesgos actuando como coberturas naturales. 1

 • Demuestran una correlación positiva o negativa con los cambios
25 que ocurren en la gravedad de otros riesgos. 1

La organización al desarrollar su vista de portafolio, observa las

siguientes características: 1

• La gravedad de las interrupciones tecnológicas aumenta a medida

que los riesgos se agregan progresivamente, reconociendo la
26 dependencia que tienen varias empresas de los sistemas operativos y 1
las tecnologías comunes.

• El riesgo de incumplimiento de la contraparte disminuye en

27 severidad, ya que la entidad no tiene un solo acreedor considerado lo 1
suficientemente grande como para impactar a la entidad en su
conjunto.

• El riesgo de bajas ventas de múltiples unidades operativas puede

28 actuar como una cobertura natural donde las bajas ventas en una 1
unidad operativa se compensan con fuertes ventas en otra.

• El riesgo de fluctuaciones cambiarias también puede actuar como

29 una cobertura natural cuando los cambios de moneda en un país 1
compensan los cambios en otro.

• La fuerte correlación positiva entre el riesgo de retirada de

30 productos y el riesgo de infracciones de cumplimiento aumenta la 1
prioridad de las respuestas de riesgo a ambos riesgos.

• La fuerte correlación positiva entre los objetivos comerciales

requiere invertir en las mejores soluciones tecnológicas de su clase, y
31 minimiza las pérdidas y las ineficiencias que se tienen en cuenta al 1
seleccionar las respuestas de riesgo asociadas.

¿El desarrollo de una visión de cartera de riesgos le permite a la entidad

32 tomar decisiones basadas en el riesgo, y le ayuda a establecer objetivos 1
o generar cambios en el desempeño o en el perfil de riesgo?

¿Al utilizar una vista de cartera la Organización evalúa los resultados de

33 la estrategia y los objetivos comerciales de acuerdo con el apetito por el 1
riesgo de la entidad?

¿La organización, al establecer los objetivos y responder al cambio,

34 evalúa el aumento o disminución de los riesgos, si se introducen nuevos 1
riesgos y si los existentes se vuelven menos relevantes?

Análisis de la vista de cartera

Para evaluar la visión de la cartera del riesgo, ¿la organización utiliza

35 técnicas tanto cualitativas como cuantitativas? 1
 ¿Las técnicas cuantitativas incluyen modelos de regresión y otros
36 medios de análisis estadístico para comprender la sensibilidad de la 1
cartera a cambios y shocks?

37 ¿Las técnicas cualitativas incluyen análisis de escenarios y evaluación 1

comparativa?

En el marco de la cartera de riesgos, la administración revisa:

38 • ¿Supuestos que sustentan la evaluación de la gravedad del riesgo?

39 • ¿Comportamientos de riesgos individuales en condiciones de estrés? 1

40 • ¿Interdependencias de riesgos dentro de la vista de cartera? 1

41 • ¿Efectividad de las respuestas al riesgo existentes? 1

¿La realización de pruebas de resistencia, análisis de escenarios u otros

42 ejercicios analíticos ayuda a la organización a evitar o responder mejor 1
a grandes sorpresas y pérdidas?

¿La organización utiliza diferentes técnicas para evaluar el efecto de los

cambios en el contexto empresarial u otras variables sobre un objetivo
43 o estrategia empresarial? Por ejemplo, una organización puede optar 1
por analizar el efecto de un cambio en las tasas de interés en la vista de
la cartera?

¿La organización comprende el impacto de múltiples variables que

44 ocurren al mismo tiempo, como cambios en las tasas de interés, 1
combinados con un aumento en los precios de las materias primas que
afectan la rentabilidad de la entidad?

¿La organización evalúa el impacto de un evento a gran escala, como un

45 incidente operativo o una falla de terceros? 1

¿Las pruebas de estrés ayudan a la organización a comprender cómo la

46 forma o altura de la curva de riesgo puede responder a posibles 1
cambios? Como pueden ser:

• Validación de eventos que podrían volverse disruptivos y hacer que la

curva de riesgo exceda el apetito de riesgo (por ejemplo, la magnitud de
47 un potencial déficit de financiamiento que impacta la viabilidad del 1
negocio, que estaría representada por la intersección de la curva de
riesgo con el apetito de riesgo de la entidad.
 • La medida en que la curva de riesgo puede desplazarse hacia arriba o
hacia abajo en respuesta a un cambio (por ejemplo, confirmando en
qué medida los indicadores de salud económica cambiantes, como los
48 niveles de desempleo y el producto interno bruto, representan un 1
deterioro suficiente en el contexto empresarial y hacen que la curva de
riesgo se desplase hacia arriba)

• Respuestas al riesgo que pueden hacer que las secciones de la curva

49 se vuelvan más planas (por ejemplo, Diversificación de productos 1
entrando en nuevas estrategias de cobertura financiera o comprando
seguros adicionales)

• La facilidad con la que la organización puede moverse a lo largo de la

curva. La velocidad y agilidad de la organización para tomar decisiones y
viajar a lo largo de la curva de riesgo hacia una nueva intersección
50 deseada de riesgo y desempeño (por ejemplo, la capacidad y velocidad 1
de ajustar los volúmenes de producción en respuesta a cambios en las
ventas)

51 ¿Las pruebas de estrés ayudan a evaluar la capacidad adaptativa de la 1

entidad?

¿Las pruebas de estrés invitan a la administración a cuestionar los

52 supuestos que sustentan la selección de la estrategia de la entidad y la 1
evaluación del perfil de riesgo?

¿El análisis de la vista de la cartera forma parte de la evaluación de la

53 organización para definir una estrategia o establecer sus objetivos 1
comerciales?

Suma 0 0 1 5 7 39 1
Puntos 0 1 10 21 156 5
Valoración del Componente 3.6

Criterios de Calificación del Componente Entre

Efectivo 4.1 5.0
Cumplimiento Básico - Táctico 3.1 4.0
En Proceso 2.1 3.0
Crítico y Reactivo 1.1 2.0

Descripción de los Criterios

Efectivo:
1. Es posible revisar los procesos para desarrollar y evaluar una visión de cartera del riesgo.
2. Se toman acciones sobre las no conformidades identificadas en los procesos para desarrollar y evaluar una visión de cartera del rie
3. Los procesos para desarrollar y evaluar una visión de cartera del riesgo se encuentran bajo un mejoramiento continuo.
4. Los procesos para desarrollar y evaluar una visión de cartera del riesgo son considerados de mejor práctica.
5. Se hace un seguimiento a las debilidades identificadas en los procesos para desarrollar y evaluar una visión de cartera del riesgo, id

Cumplimiento Básico - Táctico

1. Los procesos para desarrollar y evaluar una visión de cartera del riesgo no están documentados.
2. Los procesos para desarrollar y evaluar una visión de cartera del riesgo dependen de la iniciativa de cada individuo y es poco proba
3. No hay seguimiento a los procesos para desarrollar y evaluar una visión de cartera del riesgo.

4. Inadecuado seguimiento a las debilidades identificadas en los procesos para desarrollar y evaluar una visión de cartera del riesgo.

En Proceso
1. Los procesos para desarrollar y evaluar una visión de cartera del riesgo se encuentran en desarrollo.
2. No existe entrenamiento formal en los procesos para desarrollar y evaluar una visión de cartera del riesgo.
3. No existe comunicación sobre los procesos para desarrollar y evaluar una visión de cartera del riesgo.
4. No hay definición de responsabilidades sobre el Gobierno de los procesos para desarrollar y evaluar una visión de cartera del riesg
5. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, las no conformidades detectadas en los proc

Crítico y Reactivo
1. Ausencia de procesos para desarrollar y evaluar una visión de cartera del riesgo.
2. No existe ningún tipo de documentación relacionada con los procesos para desarrollar y evaluar una visión de cartera del riesgo.
3. Existen enfoques ad hoc de Gobierno en el proceso para desarrollar y evaluar una visión de cartera del riesgo, que tienden a aplica
4. El enfoque general de la administración es reactivo respecto de los procesos para desarrollar y evaluar una visión de cartera del rie
5. La Entidad no ha reconocido que existe un problema y/o riesgo inminente por no evaluar el proceso para desarrollar y evaluar una
mplementación de COSO ERM - 2017

olla y evalúa una visión de cartera del riesgo

o COSO ERM 2017: La organización desarrolla y evalúa una visión de cartera del riesgo. Esta herramienta
cadas, para lograr una mejor calificación en las siguientes evaluaciones hasta llegar a un nivel de efectivo.

pio

ción. El plan de acción y fecha corresponden al compromiso adquirido por el responsable para cerrar la

e para determinar la calificación final del principio evaluado.

Comentarios Plan de Acción Fecha

 53
193

pción de los Criterios

na visión de cartera del riesgo.

ento continuo.
tica.
ón de cartera del riesgo, identificadas por los auditores.

a individuo y es poco probable que las posibles no conformidades sean detectadas.

sión de cartera del riesgo.

go.

visión de cartera del riesgo.

des detectadas en los procesos para desarrollar y evaluar una visión de cartera del riesgo, son muy probables.

ón de cartera del riesgo.

iesgo, que tienden a aplicarse en forma individual y "caso por caso"
na visión de cartera del riesgo.
a desarrollar y evaluar una visión de cartera del riesgo.