Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
I. Objetivos
II. Conceptos
III. Modelo: Norma ISO 31000
IV. Aspectos a tener en cuenta
V. Pasos sugeridos
VI. Beneficios de la gestión de riesgos
VII. Roles
I. Objetivos
Presentar el marco conceptual de la Gestión de Riesgos
Fuente: http://www.coool-stuff.com/tag/stupidity/
riesgo
Del ant. riesco 'risco', por el peligro que suponen.
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro.
riesgo de crédito
1. m. Econ. riesgo que sufre una entidad financiera derivado de la no devolución en plazo de los créditos concedidos a sus clientes.
riesgo de interés
1. m. Econ. riesgo de que disminuya el valor de un título, especialmente de renta fija, como consecuencia de una subida de los tipos de interés.
riesgo de mercado
1. m. Econ. Incertidumbre para un inversor o entidad financiera, derivada de que los cambios que se producen en los mercados, p.
ej., en los tipos de interés, de cambio, etc., alteren el precio de sus activos.
riesgo de reinversión
1. m. Econ. riesgo de que los rendimientos futuros de una inversión no puedan ser reinvertidos al tipo de interés vigente en la actualidad.
riesgo específico
1. m. Econ. riesgo que puede ser reducido mediante la diversificación.
riesgo operativo
1. m. Econ. riesgo que sufre una empresa derivado de la posibilidad de fallos en su propio funcionamiento.
riesgo país
1. m. Econ. riesgo total de una operación financiera asociado a los factores políticos y estructurales del país en el que se realiza.
riesgo sistémico
1. m. Econ. riesgo asociado con el mercado total de activos y que no puede reducirse mediante la diversificación.
riesgo soberano
1. m. Econ. riesgo de que el Gobierno de un país no cumpla sus obligaciones.
Fuente: RAE
• Inherente: es aquel que está directamente
relacionado con la naturaleza de los procesos
desarrollados, en ausencia de controles.
• Residual es el riesgo subsistente una vez aplicados
los controles.
A c ti v i d a d 2
• Origen: Estados Unidos, 1985, se forma una comisión patrocinada Ambiente de Control
A c ti v i d a d 1
diversas instituciones, con el objetivo de identificar las causas de la
presentación de información financiera en forma fraudulenta o Evaluación de Riesgos
U nid a d B
falsificada.
U n id a d A
• En 1987 emite un informe que contenía una serie de Actividades de Control
recomendaciones en relación al control interno de cualquier empresa
u organización. Información y Comunicación
2009
COSO II
Gestión de Riesgos 2008
Corporativos – Marco
Ley Marco Integrado D.U Nº 067-2009
Modernización del 2006 Decreto de Urgencia
Estado Ley Nº que modifica el Art. 10
27658 de la Ley Nª 28716
2004 Normas de
Control Interno
RC 320-2006-CGR
2002
1992
Ley Orgánica del Sistema
COSO I
Nacional de Control y de la
Control Interno Marco
Contraloría General de la
Integrado
República Nº 27785 - CGR
(Comisión Treadway)
Promover y optimizar la eficiencia, eficacia, transparencia y
economía en las operaciones de la entidad, así como la calidad
de los servicios públicos que presta;
Cuidar y resguardar los recursos y bienes del Estado contra
cualquier forma de pérdida, deterioro, uso indebido y actos
ilegales, así como, en general, contra todo hecho irregular o
situación perjudicial que pudiera afectarlos;
Objetivos de la implantación del Control
Interno (Ley N° 28716)
Cumplir la normatividad aplicable a la entidad y a sus
operaciones;
Garantizar la confiabilidad y oportunidad de la información;
Fomentar e impulsar la práctica de valores institucionales;
Promover el cumplimiento de los funcionarios o servidores
públicos de rendir cuentas por los fondos y bienes públicos a su
cargo o por una misión u objetivo encargado y aceptado.
e) Mapa de Riesgos:
representación gráfica
(usualmente en cuadrantes) de
los riesgos de una
entidad/proceso/procedimient
o, conforme a un criterio de
probabilidad e impacto
Protocolos de riesgos
Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
Una política de gestión de riesgos debería incluir lo siguiente:
Excediendo
el Apetito de
Riesgo Tolerancia al riesgo
Impacto
Estrategia de negocio
Medio
Límite de Desempeño
Dentro del Real
tolerancia
Apetito de Variación
Riesgo Inaceptable Meta Fijada
Bajo
Límite de
Bajo Medio Alto tolerancia
Probabilidad
Variación
Inaceptable
Tiempo
• La Norma ISO 31000 como estándar internacional publicado en 2009 para analizar y gestionar los
riesgos, esta directamente recomendado por la norma ISO 22301 para realizar este apartado con
todas las garantías.
• Sin una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier
evento en la continuidad de un negocio.
1. Establecer el contexto
• Identificar una persona con el conocimiento (control interno y riesgos) a
nivel operativo
• La organización está basada en la gestión por procesos? Tiene metas y
resultados esperados?
• Identificar los objetivos institucionales – grupal
• Recordar: riesgo es todo aquello que pudiera afectar el logro de los objetivos
• Se puede comenzar por riesgos de la entidad y luego bajar a nivel de cada
proceso, comenzando por los más críticos
• Es importante la participación de todas las partes interesadas
• Posteriormente se pueden clasificar y definir los tipos de riesgos
2. Identificación de Riesgos
• Esta etapa busca identificar los riesgos que deben
ser gestionados
• Riesgo que no sea identificado, es excluido en
cualquier análisis posterior
• Qué puede suceder: impida el logro de los objetivos
o responsabilidades asignadas, afecte la eficiencia
de mis funciones, genere pérdidas (tiempo, imagen,
recursos, etc.)
• Los riesgos se identifican independientemente de
que estén bajo el control de la entidad o no
2. Identificación de Riesgos
Herramientas y Técnicas
de identificación de riesgos
Diagrama causa/efecto
Tormenta de Ideas
Entrevistas
Inventario de Riesgo
Análisis FODA
Clasificación del riesgo:
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información,
en la definición de los procesos, en la estructura de la entidad, la desarticulación entre
dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de
los compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de
la misión.
Categorías de Riesgos
Categorías de Riesgos
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
Estratégico fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
Operacional personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
Reputación
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Relacionados a inadecuado manejo financiero de la organización, sus
Financiero
inversiones y activos (crediticio, tesorería, mercado)
R e quie re m o nito re o
Inc um plim ie nto pa rc ia l de no rm a s y pro c e dim ie nto s 4
1 B a jo pe rió dic o a fin de m a nte ne r
inte rno s de ntro de l pe rio do e va lua do (no re pe titivo ). ( O p t im o )
lo s rie s go s e n e s te nive l
Estados del monitoreo
Acciones de Monitoreo
Categoría Concepto
Las acciones del responsable han sido las
Implementadas
apropiadas en el tiempo comprometido
Algunas acciones se encuentran
En proceso desfasadas o en proceso de
implementación
No se evidencias acciones en la gestión
Pendientes
del riesgo
3. Análisis de Riesgos
• El análisis de riesgos involucra prestar
consideración a las fuentes de riesgos, sus
consecuencias y las probabilidades de que puedan
ocurrir esas consecuencias
• Implica determinar: fuentes del riesgo, posibilidad,
consecuencias, responsables, acciones
• La lista de riesgo debe ser excluyente
• Se deben identificar los controles o acciones que
ayuden a minimizarlos
3. Análisis de Riesgos
• Cualitativos. El análisis cualitativo utiliza
formatos de palabras o escalas
descriptivas para describir la magnitud
de las consecuencias potenciales y la
probabilidad de que esas consecuencias
ocurran.
• Semi-cuantitativos. El número asignado
a cada descripción no tiene que guardar
una relación precisa con la magnitud
real de las consecuencias o
probabilidades.
• Cuantitativos. Uso de datos numéricos
para la determinación de los riesgos.
4. Evaluar los riesgos Matriz de riesgos
IMPACTO
establecidos previamente Moderado Ba jo Moderado Al to Al to Al to
• El propósito de la evaluación
de riesgos es tomar Menor Ba jo Moderado Modera do Modera do Al to
riesgos (tratamiento de
riesgos y la prioridad) Poco
Ra ra vez Oca s i onal Frecuente Muy frecuente
frecuente
FRECUENCIA
4. Evaluar los riesgos
Probable
Probabilidad Posible
Improbable
Análisis
Cualitativo
Impacto Leve
Moderado
Catastrófico
Evaluar el diseño
• Cómo se encuentra el diseño de los
• Evaluar la efectividad de los controles a nivel entidad y de
controles ?
procesos
• Remediar deficiencias a través de la implementación de
recomendaciones
Efectividad de los
• Cuáles son los riesgos de falla de los controles? controles
• Cuál es el desempeño de los controles?
• Concluir
Reporte • Comunicar
• Existen debilidades materiales o de cumplimiento? • Reportar
VI. Beneficios de la Gestión de Riesgos
• Colabora en la implementación del sistema de control interno (Resolución de Contraloría General Nº 458-2008-CG)
• Mayor probabilidad del logro de los objetivos organizacionales
• Incrementa la confianza en la habilidad de una organización para anticipar, priorizar y superar obstáculos para alcanzar sus metas
• Mayor comprensión de los riesgos clave y sus implicancias más amplias
• Identificación e intercambio de conocimientos sobre riesgos cruzados
• Mayor atención de la Alta Dirección a problemas realmente importantes
• Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley N° 28716, Ley de Control Interno de las entidades del Estado
y Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República)
• Mayor atención internamente para hacer lo correcto de la manera correcta
• Mayor probabilidad de que se logren las iniciativas de cambio
• Toma de decisiones más informadas, a nivel estratégico y operativo
• Coadyuva a la gestión de un presupuesto por resultados
• Fomenta el orden interno (gestión por procesos, establecimiento de indicadores de desempeño, identificación de controles, desarrollo
de procedimientos, normatividad, etc.)
• Progresivamente la administración podrá asumir procesos de autoevaluación de control
• Brinda transparencia a la gestión, interna y externamente
• Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad
• Actualización de conocimientos de los profesionales en temas de: gestión por procesos, control interno, indicadores, riesgos, etc.
VII. Roles
Alta Dirección
Responsable de la efectividad del SCI (SISTEMA DE CONTROL INTERNO)
Auditoría Interna
Brinda evaluación independiente Comité de Riesgos / Auditoría *
Supervisa y ejecuta el control de calidad a
•Retroalimentación sobre la gestión las actividades del SCI
de riesgos y controles
•Monitorea el proceso de
implementación del SCI y efectividad
de la gestión de riesgos
•Alinea los principales riesgos con el
Propietarios de los Riesgos
Implementan y reportan las acciones
Plan Anual de Control
https://www.youtube.com/watch?v=TTPjpEuyDrU
Bibliografía:
1. EEUU, COSO Committee of Sponsoring Organizations of the Treadway Commission (2015) «Guidance»,
<http://www.coso.org/guidance.htm> [consulta: 12/05/2015] .
2. ISO, INTERNATIONAL STANDARIZATION ASSOCIATION (2009) «ISO 31000:2009 Risk management – Principles
and guidelines», <http://www.iso.org/iso/ES/home/standards/iso31000. htm> [consulta: 12/05/2015].
3. INCIBE - Protege tu empresa - ¿Qué te interesa? (2014), «Plan director de seguridad» <https://
www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad> [consulta: 12/05/2015].