Herramienta para evaluar la implementación d

CIA XYZ
Cuestionarios de Evaluación
Componente COSO ERM 2017: Desempeño
Principio COSO ERM 2017: La organización evalúa la gravedad del riesgo
Fecha (DD-MM-AA):
Responsable (Nombre y Cargo):

Objetivo:

Esta herramienta está diseñada para realizar una evaluación periódica del principio No 11 del modelo COSO ERM 2017: La o
definir planes de acción y fechas de cumplimiento para cerrar las brechas identificadas para lograr una mejor calificación en

A continuación usted encontrará una serie de preguntas como guía para la evaluación de este principio.

En cada numeral usted debe calificar si la actividad se realiza con base en los siguientes criterios:
5: Siempre
4: Casi siempre
3: Algunas veces
2: Casi nunca
1. Nunca
0. No existe la actividad
N/A: No aplica esta actividad

Los comentarios se refieren a las explicaciones precisas de las razones por las cuales se da la calificación.
El plan de acción y fecha corresponde al compromiso adquirido por el responsable para cerrar la brecha y mejorar la califica
Las casillas deben ser diligenc
determinar la calificación final del principio evaluado.

Principio No 11: La organización evalúa la gravedad del riesgo N/A 0 1 2 3 4 5

Evaluación de riesgos

¿Los riesgos identificados e incluidos en el inventario se evalúan para

1 comprender la gravedad de cada uno para el logro de la estrategia y los 1
objetivos comerciales de la entidad?

¿Dada la gravedad de los riesgos identificados, la administración decide

2 los recursos y las capacidades a implementar para que el riesgo 1
permanezca dentro del apetito de riesgo de la entidad?

Evaluación de la gravedad en diferentes niveles de la entidad

¿La gravedad del riesgo se evalúa en múltiples niveles (a través de

3 divisiones, funciones y unidades operativas), de acuerdo con los 1
objetivos comerciales en los que puede afectar?
4 En los niveles más altos de la entidad, ¿los riesgos tienen un mayor 1
impacto en la reputación, la marca y la confiabilidad?

5 ¿La organización usa terminología y categorías de riesgo estandarizadas 1

para evaluar los riesgos en todos los niveles de la organización?

¿Se agrupan los riesgos comunes entre las unidades de negocio,

6 divisiones y funciones, por ejemplo: el riesgo de interrupciones 1
tecnológicas identificadas por varias divisiones?

¿La organización realiza una evaluación completa de los riesgos de

7 arriba hacia abajo y considera los riesgos identificados y evaluados en 1
niveles más bajos?

Selección de medidas de gravedad

8 ¿La dirección selecciona medidas para evaluar la gravedad del riesgo? 1

¿Las medidas se alinean con el tamaño, la naturaleza y la complejidad

9 de la entidad y su apetito por el riesgo? 1

¿Los umbrales utilizados para evaluar la gravedad de un riesgo se

10 adaptan al nivel de evaluación: por entidad y por unidad operativa? 1

¿La administración determina la gravedad relativa de varios riesgos

11 para seleccionar una respuesta de riesgo adecuada? 1

¿La administración determina la gravedad relativa de varios riesgos

12 para asignar recursos y respaldar su toma de decisiones? 1

La organización tiene en cuenta las siguientes medidas de gravedad

del riesgo:

13 • Impacto: Resultado o efecto de un riesgo. 1

14 • Probabilidad o frecuencia de ocurrencia: La posibilidad de que ocurra 1

un riesgo.

•Cualitativo: "La posibilidad de un riesgo relacionado con un posible

15 suceso o circunstancia, y los impactos asociados en un objetivo 1
comercial específico [dentro del horizonte de tiempo contemplado por
el objetivo comercial, por ejemplo, doce meses] es remota".
 •Cuantitativo: "La posibilidad de un riesgo relacionado con un posible
16 suceso o circunstancia y los impactos asociados en un objetivo 1
comercial específico [dentro del horizonte temporal contemplado por
el objetivo comercial, por ejemplo, doce meses] es del 80%".

•Frecuencia: "La posibilidad del riesgo relacionado con un posible

suceso o circunstancia, y los impactos asociados sobre un objetivo
17 comercial específico [dentro del horizonte temporal contemplado por 1
el objetivo comercial, por ejemplo, doce meses] es una vez cada doce
meses".

Como parte del proceso de evaluación, ¿la administración considera

18 posibles combinaciones de probabilidad e impacto? 1

¿Las medidas de gravedad se alinean con la estrategia y los objetivos

19 comerciales? 1

Cuando se identifican diferentes impactos para un objetivo comercial,

20 ¿la administración brinda orientación sobre cómo evaluar la gravedad 1
del impacto?

Cuando los impactos múltiples dan como resultado diferentes

evaluaciones de la gravedad o requieren una respuesta de riesgo
21 diferente, ¿la administración determina si los riesgos adicionales deben 1
identificarse y evaluarse por separado?

Enfoques de evaluación

¿La organización estudió los enfoques de evaluación de riesgos

22 cualitativos, cuantitativos o una combinación de ambos, para tomar la 1
mejor decisión?

¿La organización utiliza enfoques de evaluación cualitativa, como

23 entrevistas, talleres, encuestas y evaluaciones comparativas? 1

¿La organización hace análisis de costo-beneficio antes de realizar las

24 evaluaciones cualitativas? 1

¿La organización analiza los enfoques de evaluación cuantitativa, como

25 el modelado, los árboles de decisión, las simulaciones de Monte Carlo, 1
etc., para una mayor precisión?

26 Al evaluar los riesgos que podrían tener impactos extremos, ¿la 1

administración utiliza el análisis de escenarios?

¿La organización, al evaluar los efectos de múltiples eventos, encuentra

27 las simulaciones más útiles (por ejemplo, pruebas de estrés)? 1
 Para llegar a un consenso sobre la gravedad del riesgo, ¿la organización
28 emplea el mismo enfoque que utilizaron como parte de la identificación 1
del riesgo?

29 ¿Los diferentes equipos realizan evaluaciones en toda la entidad? 1

30 ¿La organización establece un enfoque para revisar cualquier diferencia 1

en los resultados de la evaluación?

¿La organización identifica interdependencias entre riesgos, esto es,

que múltiples riesgos afectan un objetivo comercial o cuando un riesgo
31 desencadena otro, como se muestra en el siguiente ejemplo? 1

Los riesgos pueden ocurrir de forma simultánea o secuencial, por

ejemplo: para un innovador tecnológico, la demora en el lanzamiento
de nuevos productos resulta en una pérdida concurrente de
participación de mercado y una dilución del valor de marca de la
entidad.

¿La gerencia entiende las interdependencias y se refleja en la

32 evaluación de la gravedad? 1

Riesgo inherente, objetivo y residual

¿La administración considera el riesgo inherente, el riesgo residual

33 objetivo y el riesgo residual real? 1

¿La organización entiende el riesgo inherente como aquel con ausencia

34 de acciones directas o enfocadas por parte de la administración para 1
alterar su gravedad (controles)?

¿La organización determina el riesgo residual objetivo, entendido como

la cantidad de riesgo que una entidad prefiere asumir en la búsqueda
35 de su estrategia y objetivos comerciales, sabiendo que la 1
administración ha implementado acciones directas o enfocadas para
alterar la gravedad del riesgo?

¿La administración identifica acciones adicionales que permitan alterar

36 aún más la gravedad del riesgo, cuando el riesgo residual real exceda el 1
riesgo objetivo (riesgo residual real)?

¿La organización tiene identificadas y tratadas las respuestas de riesgos

37 redundantes, es decir, aquellas que no dan como resultado un cambio 1
medible en la gravedad del riesgo?

¿La organización elimina respuestas innecesarias y permite que la

38 administración asigne los recursos destinados a esa respuesta en otra 1
parte?
 Representación de los resultados de la evaluación

¿La organización presenta los resultados de la evaluación mediante un

"mapa de calor" u otra representación gráfica para resaltar la gravedad
39 relativa de cada uno de los riesgos para el logro de una estrategia u 1
objetivo comercial determinados?

¿Las diversas combinaciones de probabilidad e impacto (medidas de

40 gravedad), dado el apetito por el riesgo, están codificadas por colores 1
para reflejar un nivel particular de gravedad?

¿Los riesgos evaluados para un objetivo comercial dado se trazan en el

41 mapa de calor utilizando las medidas de gravedad seleccionadas por la 1
entidad para un nivel de desempeño dado?

¿Cada riesgo trazado en el mapa de calor asume un nivel determinado

42 de desempeño para esa estrategia u objetivo comercial? 1

¿La codificación de colores se alinea con un resultado de gravedad

43 particular y refleja el apetito por el riesgo de la entidad? Ver ejemplo 1
en el Anexo.

¿La gerencia considera cómo los diferentes riesgos pueden presentar

44 diferentes impactos al mismo objetivo comercial? 1

Identificación de los factores desencadenantes de la reevaluación

¿La organización se esfuerza por identificar los desencadenantes que

45 provocarán una reevaluación de la gravedad del riesgo cuando sea 1
necesario?

¿La organización dispone de indicadores de alerta temprana para

46 identificar factores desencadenantes como los cambios en el contexto 1
empresarial o el apetito por el riesgo que sustentan la reevaluación de
la gravedad? A continuación presentamos algunos desencadenantes:

Ejemplos de desencadenantes que generan reevaluación de la

gravedad de los riesgos:
- Aumento en el número de quejas de los clientes
- Cambio adverso en un índice económico
- Caída en las ventas o un aumento en la rotación de empleados.
- Producto de un competidor retirado del mercado por defectos

Sesgo en la evaluación
 ¿La gerencia identifica y mitiga el efecto del sesgo en la realización de
47 prácticas de evaluación de riesgos? Por ejemplo: el sesgo de confianza 1
puede respaldar una percepción preexistente de un riesgo conocido.

¿La organización evalúa el sesgo de la gerencia que puede generar la

48 subestimación o sobreestimación de la gravedad de un riesgo y limitar 1
la eficacia de la respuesta al riesgo seleccionada?

¿La organización ha identificado alguna subestimación de la gravedad

49 que pueda resultar en una respuesta inadecuada, dejando a la entidad 1
expuesta y potencialmente fuera del apetito por el riesgo de la
entidad?

¿La organización ha identificado una sobrestimación de la gravedad de

50 un riesgo que puede resultar en que los recursos se desplieguen 1
innecesariamente en una respuesta, creando ineficiencias en la
entidad?

Suma
0 0 1 9 10 28 2
Puntos
0 1 18 30 112 10
Valoración del Componente
3.4

Criterios de Calificación del Componente Entre

Efectivo 4.1 5.0
Cumplimiento Básico - Táctico 3.1 4.0
En Proceso 2.1 3.0
Crítico y Reactivo 1.1 2.0

Descripción de los Criterios

Efectivo:
1. Es posible evaluar la gravedad del riesgo.
2. Se toman acciones sobre las no conformidades detectadas en los procesos de evaluación de la gravedad del riesgo.
3. Los procesos para evaluar la gravedad del riesgo se encuentran bajo un mejoramiento continuo.
4. Los procesos para evaluar la gravedad del riesgo son considerados de mejor práctica.
5. Se hace un seguimiento a las debilidades identificadas en los procesos de evaluación de la gravedad del riesgo, identificadas por lo

Cumplimiento Básico - Táctico

1. Los procesos para evaluar la gravedad del riesgo no están documentados.
2. Los procesos para evaluar la gravedad del riesgo dependen de la iniciativa de cada individuo y es poco probable que las posibles no
3. No hay seguimiento a los procesos para evaluar la gravedad del riesgo
4. Inadecuado seguimiento a los procesos para evaluar la gravedad del riesgo

En Proceso
1. Los procesos para evaluar la gravedad del riesgo se encuentran en desarrollo.
2. No existe entrenamiento formal para evaluar la gravedad del riesgo.
3. No existe comunicación sobre los procesos para evaluar la gravedad del riesgo.
4. No hay definición de responsabilidades sobre el Gobierno de los procesos para evaluar la gravedad del riesgo.
5. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, las no conformidades detectadas en los proc

Crítico y Reactivo
1. Ausencia de procesos para evaluar la gravedad del riesgo.
2. No existe ningún tipo de documentación relacionada con los procesos para evaluar la gravedad del riesgo.
3. Existen enfoques ad hoc del Gobierno en el proceso para evaluar la gravedad del riesgo, que tienden a aplicarse en forma individu
4. El enfoque general de la administración es reactivo respecto de los procesos para evaluar la gravedad del riesgo.
5. La ntidad no ha reconocido que existe un problema y/o riesgo inminente por no evaluar la gravedad del riesgo.
mplementación de COSO ERM - 2017

edad del riesgo

o COSO ERM 2017: La organización evalúa la gravedad del riesgo. Igualmente, esta herramienta permitirá
na mejor calificación en las siguientes evaluaciones hasta llegar a un nivel de efectivo.

pio.

ción.
cha y mejorar la calificación según fecha de compromiso.
sillas deben ser diligenciadas con un número uno (1), lo cual permite hacer el cálculo pertinente para

Comentarios Plan de Acción Fecha

 50
171

pción de los Criterios

del riesgo.

riesgo, identificadas por los auditores

robable que las posibles no conformidades sean detectadas.

iesgo.
des detectadas en los procesos para evaluar la gravedad del riesgo son muy probables.

o.
plicarse en forma individual y "caso por caso"
el riesgo.
riesgo.
MAPA DE CALOR