ADMINISTRACIÓN

DE RIESGOS

PhD ( c ) Fanny Barrantes Santos

ADMINISTRACION DE RIESGOS

RIESGO OPERATIVO
 OBJETIVOS DE LA CLASE:

 Las participantes aprenden la importancia del

concepto de Riesgo operativo, procesos, tipos, casos
de desastres, el control interno y el enfoque COSO,
regulación local e internacional.
 Definición:

 Se define como el riesgo de pérdida debido a las

deficiencias o a fallas de los procesos, el personal y
los sistemas internos, o bien a causa de
acontecimientos externos. El tipo y frecuencia de
eventos que abarca es muy diverso.

 Esta definición incluye el riesgo legal, pero excluye el

estratégico y el de reputación.
 Definición:

 Del riesgo operativo se pueden destacar las

siguientes características:

Las grandes pérdidas

El riesgo operativo es Es inherente a toda que ha ocasionado a
Es complejo, como
el más antiguo de actividad en que la industria financiera
consecuencia de la
todos y está presente intervengan muestran el
gran diversidad de
en cualquier clase de personas, procesos y desconocimiento que
causas que lo
negocio y casi en plataformas de él se tiene y la
originan.
toda actividad. tecnológicas. falta de herramientas
para gestionarlo.
 Tipos de Riesgo Operativo:

 Algunos autores definen varias situaciones o

procesos en las organizaciones que pueden ser
vulnerables al riesgo operativo. Según Crouhy, Galai
y Mark (2006), los tipos de fallos en la operación son
los siguientes:
Riesgo Humano

Riesgo en el
Proceso

Riesgo en Sistemas
y Tecnología
 Tipos de Riesgo Operativo:

A. Riesgo Humano:

Son los errores que puede cometer una o varias personas al

realizar ciertas actividades que perjudican a la empresa, como
cometer un fraude, equivocarse al presionar una tecla en una
computadora, borrar o destruir de manera involuntaria un
archivo o introducir un valor incorrecto como parámetro de
algún modelo.
 Tipos de Riesgo Operativo:

B. Riesgo en el Proceso:

Se pueden subdividir en riesgo asociados con modelos,

transacciones y control operacional.
i. Cuando se asocia con un modelo, se pueden encontrar errores
propiamente del modelo creado o en la metodología de cómo debe
aplicarse.
ii. Cuando se refiere a riesgo transaccional, se puede relacionar con
actividades como errores en documentación o contratos, en la ejecución
de alguna transacción, en productos altamente complejos o en
acuerdos, entre otras actividades que implican operaciones bilaterales.
iii. Para el caso del control operacional, se pueden cometer errores, por
ejemplo, en seguridad, en volumen y en exceder algunos limites no
permitidos.
 Tipos de Riesgo Operativo:

C. Riesgo en Sistemas y Tecnología:

Para este caso, los riesgos están asociados con fallas en los
sistemas y con errores en la programación, en la información y
en las telecomunicaciones, entre otras posibilidades.

Este tipo de riesgo en la dinámica económica actual es de mucho

cuidado y se destina gran cantidad de recursos en las empresas
para su cuidado y su mitigación.
 Procesos:

 Las siguientes cuestiones introducen a los

problemas que han de ser resueltos para construir
una base de datos sólida a partir de la cual se pueda
modelar el riesgo operativo, y establecer las
estrategias de seguimiento y administración este
riesgo:
 Procesos:

1) ¿Quién identifica los riesgos?

2) ¿Cuál va a ser el mapa de riesgos: líneas de negocio y eventos de
pérdida?
3) ¿Cuál es la definición de ventana del evento?, es decir ¿cuándo se
considera que un evento ha sucedido y concluido?, ¿pérdidas en
diferentes tiempos deben ser acumuladas en un solo evento?
4) La definición de evento, acumulación de pérdidas asociadas a un
mismo evento y ventana de evento se vuelven relevantes.
5) ¿Se registran sólo los eventos que efectivamente terminan en
pérdida?
6) ¿Todas las pérdidas son registrables?
7) ¿Quién identifica y reporta las pérdidas?
 Procesos:

8) ¿Quién construye la base de datos de pérdidas, quién la valida?

9) ¿Qué controles aseguran que toda pérdida es reportada y clasificada
adecuadamente?
10) ¿Debe ser modificado el esquema contable para clasificar
pérdidas?
11) ¿Quién decide qué riesgo debe ser mitigado?
12) ¿Quién establece los planes de acción?
13) ¿Quién da seguimiento a los planes de mitigación?
14) ¿Quién construye los modelos de administración del riesgo
operativo?
15) ¿Qué cambios en la estructura de control y reporte deben ser
implementados como resultado de las pérdidas observadas y de los
parámetros de riesgo obtenidos?
 Procesos:

 Un ejemplo de esquema global de la gestión del

riesgo operativo es el siguiente:
 El control Interno:

 Ayuda a los gerentes de las empresas y a los

funcionarios de organizaciones de cualquier tipo, a
administrar de manera más eficiente el riesgo
relacionado con el cumplimiento de los objetivos de
la entidad.
 Se fundamenta en una estructura basada en cinco
componentes funcionales:

Actividades
Ambiente Evaluación Información y
de control Supervisión
de control de riesgos comunicación
gerencial
 El control Interno:

 Los beneficios de contar con un Sistema de Control

Interno son:
Reducir los riesgos de corrupción
Lograr los objetivos y metas establecidos
Promover el desarrollo organizacional
Lograr mayor eficiencia, eficacia y transparencia en las operaciones
Asegurar el cumplimiento del marco normativo
Proteger los recursos y bienes del Estado, y el adecuado uso de los mismos
Contar con información confiable y oportuna
Fomentar la práctica de valores
Promover la rendición de cuentas de los funcionarios.
 El Enfoque COSO:

 El control interno es entendido y definido de maneras

diferentes, y por consiguiente aplicado en formas distintas.
Ese es, posiblemente, su mayor dificultad inherente.

 En la búsqueda de soluciones a ello, se ha intentado recoger

en una sola definición los distintos elementos comunes que
permiten alcanzar consenso sobre el particular.

 De esos esfuerzos, el que más éxito y reconocimiento

internacional ha tenido es COSO, si bien hay otras
alternativas entre las cuales se destacan los esfuerzos de
OCEG, UK FRC y CPA Canada, entre otros.
 El Enfoque COSO:

 El COSO define el control interno como un proceso,

ejecutado por la junta de directores, la administración
principal y otro personal de la entidad, diseñado para
proveer seguridad razonable en relación con el logro de los
objetivos de la organización.

 Tales objetivos son:

Eficacia y Confiabilidad
Cumplimiento
eficiencia de de la Salvaguarda de
de normas y
las información activos.
obligaciones.
operaciones. financiera.
 El Enfoque COSO:

 Los Principales aportes de COSO en relación con el control

interno son:
Elaboración de una estructura conceptual integrada, que unifica los distintos conceptos y prácticas, a
partir de la cual se realiza el diseño /implementación /mejoramiento del control interno.

Posicionamiento del control interno en los máximos niveles gerenciales (alta gerencia), y
direccionamiento estratégico. Con un centro de atención claro en el negocio y no tanto en las
operaciones.

Entendimiento del control interno en términos de sistemas y concretado como un proceso, afectado por
la junta, la administración y otro personal, diseñado para proveer seguridad razonable.

La pirámide COSO (Componentes del control).

Los niveles organizacionales dependen de cada ente económico, pero básicamente se diferencian tres:
(1) El sistema de control interno (estratégico); (2) Los subsistemas organizacionales (por departamentos,
unidades de negocio, etc.); y (3) Los procesos operacionales (flujo de operaciones, transacciones, etc.).
 El Enfoque COSO:

 Pirámide COSO M
oni
tor
eo

Co
Información y

nfi
es

ab
ion
comunicación

ilid
ac
er

ad
op

nl e
las

Actividades de control

os
en

Re
ia

p
nc

or
cie

tes
Análisis de riesgos
Efi

Fin
y

an
cia

cie
ca
Efi

ro
Ambiente de control

s
Cumplimiento de leyes y regulaciones
 El Enfoque COSO:

 Para el año 2004, el comité publicó el COSO II, este nuevo modelo
de control interno amplio más el concepto de la gestión de los
riesgos, también, en este nuevo sistema se ve necesaria la
participación de todos los trabajadores incluyendo a los directores
y administradores (AEC, s.f.). El modelo COSO II a diferencia del
COSO I amplió el número de sus componentes a ocho, estos
fueron:
 El Enfoque COSO:

Ambiente de Son los valores y filosofía de la organización, influye en la visión de los

control trabajadores ante los riesgos y las actividades de control de los mismos.

Establecimiento Estratégicos, operativos, de información y de cumplimientos.

de objetivos
Identificación Que pueden tener impacto en el cumplimiento de objetivos).
de eventos
Evaluación de Identificación y análisis de los riesgos relevantes para la consecución de los
riesgos objetivos.

Respuesta a los Determinación de acciones frente a los riesgos

riesgos
Actividades de Políticas y procedimientos que aseguran que se llevan a cabo acciones
control contra los riesgos.

Información y Eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con
comunicación sus responsabilidades.

Supervisión Para realizar el seguimiento de las actividades.

 El Enfoque COSO:

 Después, en el año 2013, se actualizó el marco de referencia

de 1992 y se dio origen al COSO III o COSO 2013.

 Esta tercera versión tiene como novedades la mejora sobre la

agilidad de los sistemas de gestión de riesgo para poder
ajustarse a todos las circunstancias que puedan ocurrir,
mayor confianza en la reducción de los diversos riesgos que
puede presentar una empresa y la obtención de sus
objetivos, mayor transparencia en cuanto a la información y
comunicación dentro de las organizaciones.
 El Enfoque COSO:

 De los cinco componentes de Control Interno que establece

COSO, se deberán considerar los 17 principios que
representan los conceptos fundamentales relacionados con
los componentes para el establecimiento de un efectivo
Sistema de Control Interno:
 El Enfoque COSO:
AMBIENTE DE CONTROL

1. La organización demuestra compromiso por la integridad y valores éticos.

2. El Consejo de Administración demuestra una independencia de la
administración y ejerce una supervisión del desarrollo y el rendimiento
de los controles internos.
3. La Administración establece, con la aprobación del Consejo, las
estructuras, líneas de reporte y las autoridades y responsabilidades
apropiadas en la búsqueda de objetivos.
4. La organización demuestra un compromiso a atraer, desarrollar y retener
personas competentes en alineación con los objetivos.
5. La organización retiene individuos comprometidos con sus
responsabilidades de control interno en la búsqueda de objetivos.
 El Enfoque COSO:
EVALUACIÓN DE RIESGOS

6. La organización especifica objetivos con suficiente claridad para permitir

la identificación y valoración de los riesgos relacionados a los objetivos.
7. La organización identifica los riesgos sobre el cumplimiento de los
objetivos a través de la entidad y analiza los riesgos para determinar
cómo esos riesgos deben de administrarse.
8. La organización considera la posibilidad de fraude en la evaluación de
riesgos para el logro de los objetivos.
9. La organización identifica y evalúa cambios que pueden impactar
significativamente al sistema de control interno.
 El Enfoque COSO:
ACTIVIDADES DE CONTROL

10. La organización elige y desarrolla actividades de control que contribuyen

a la mitigación de riesgos para el logro de objetivos a niveles aceptables.
11. La organización elige y desarrolla actividades de control generales sobre
la tecnología para apoyar el cumplimiento de los objetivos.
12. La organización despliega actividades de control a través de políticas que
establecen lo que se espera y procedimientos que ponen dichas políticas
en acción.
 El Enfoque COSO:
INFORMACIÓN Y COMUNICACIÓN

13. La organización obtiene o genera y usa información relevante y de

calidad para apoyar el funcionamiento del control interno.
14. La organización comunica información internamente, incluyendo
objetivos y responsabilidades sobre el control interno, necesarios para
apoyar funcionamiento del control interno.
15. La organización se comunica con grupos externos con respecto a
situaciones que afectan el funcionamiento del control interno.
 El Enfoque COSO:
SUPERVISIÓN

16. La organización selecciona, desarrolla, y realiza evaluaciones continuas

y/o separadas para comprobar cuando los componentes de control
interno están presentes y funcionando.
17. La organización evalúa y comunica deficiencias de control interno de
manera adecuada a aquellos grupos responsables de tomar la acción
correctiva, incluyendo la Alta Dirección y el Consejo de Administración,
según sea apropiado.
 El Enfoque COSO:

 Los pasos a Seguir:

Para iniciar con la aplicación del nuevo enfoque de COSO, se

deben realizar los siguientes pasos:

Definir un plan
Evaluar el Comunicarlo en
Estudiarlo y entenderlo de
estado actual la organización
implementación
 Regulación Local e Internacional:

 En Perú:

La Contraloría General de la República es responsable de la

evaluación del sistema de control interno de las entidades del
Estado. Sus resultados contribuyen a fortalecer la institución, a
través de las recomendaciones que hace de conocimiento de la
administración para las acciones conducentes a superar las
debilidades e ineficiencias encontradas.

A través de la RESOLUCIÓN DE CONTRALORÍA N° 320-2006-CG,

se aprueban las Normas del Control Interno.
 Regulación Local e Internacional:

 Internacional:

a) La Ley “Sarbanes-Oxley Act”

Tiene como objetivo generar un marco de transparencia para las actividades y

reportes financieros de las empresas que cotizan en Bolsa, y darle mayor
certidumbre y confianza a inversionistas y al propio Estado.

Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de

interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos
que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar
dinero fácil y a través de empresas y corporaciones engañando a socios,
empleados y grupos de interés, entre ellos sus clientes y proveedores.
 Regulación Local e Internacional:

 Internacional:

La Ley “Sarbanes-Oxley Act”

La Ley se aplica a todas las empresa públicas, norteamericanas o extranjeras,

incluyendo a los emisores American Depositary Receipts (ADR) cuyos valores
se transan en bolsas de valores de los Estados Unidos, es decir, emisores de
“Nivel II” y de “Nivel III” cuyos valores están registrados según la Sección 12
de la Securities Exchange Act of 1934 y que adecuen sus contabilidades a la
normas contables generalmente aceptadas en los Estados Unidos, o bien,
presenten su informe anual según dicha normas.