Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Octubre, 2018
2 Agenda
I. Objetivos del Tema
II. Conceptos
III. Modelo: Norma AS/NZS 4360:2004
IV. Aspectos a tener en cuenta
V. Pasos sugeridos
VI. Beneficios de la gestión de riesgos
VII. Roles
I. Objetivos del Tema
3
Presentar el marco conceptual de la Gestión
de Riesgos
Fuente: http://www.coool-stuff.com/tag/stupidity/
II. Conceptos
7
Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html
II. Conceptos
Alto
Riesgo
Administrado
Logro de
Objetivos
Ineficacia Ineficacia
por por
exposición controles
Bajo
- Controles +
El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.
Debido a la gran aceptación de la que ha gozado, desde su publicación en el año 1992, el Informe COSO se ha convertido en el estándar de
referencia
II. Conceptos
15
Coso: Corresponde a las siglas en inglés del
comité de Organizadores y Patrocinadores de la COSO : Control Interno - Marco
Comisión Treadway, organismos que en Conceptual Integrado
conjunto emitieron el informe con
recomendaciones referentes al Control Interno to
es ien
que lleva su nombre. era
ci on
epo
rte
mp
l im
Op R Cu
Origen: Estados Unidos, 1985, se forma una
Actividad 2
comisión patrocinada diversas instituciones, Ambiente de Control
Ac tividad 1
con el objetivo de identificar las causas de la Evaluación de Riesgos
Unidad B
Unidad A
presentación de información financiera en forma Actividades de Control
fraudulenta o falsificada.
Información y Comunicación
En 1987 emite un informe que contenía una
Monitoreo (Seguimiento)
serie de recomendaciones en relación al control
interno de cualquier empresa u organización.
La comisión Treadway, debatió durante más de
cinco años y finalmente en 1992, se emite el
informe COSO, el cual tuvo gran aceptación y
difusión en gran parte debido a la diversidad y
autoridad que posee el grupo que se hizo cargo
de la elaboración del Informe.
II. Conceptos
16
2004 Normas de
Control Interno
RC 320-2006-CGR
2002
1992
Ley Orgánica del Sistema
COSO I
Nacional de Control y de la
Control Interno Marco
Contraloría General de la
Integrado
República Nº 27785 - CGR
(Comisión Treadway)
II. Conceptos
17
Ley
Ley27785,
27785,ART.
ART.2°,
2°,OBJETO
OBJETODE
DELA
LALEY
LEY
propender al:
propender al:
APROPIADO
APROPIADOOPORTUNO
OPORTUNOYY EFECTIVO
EFECTIVO
Ejercicio del control gubernamental
Ejercicio del control gubernamental
para
para
PREVENIR
PREVENIR YY VERIFICAR
VERIFICAR
Mediante
Mediante
Aplicación de:
Aplicación de:
PRINCIPIOS,
PRINCIPIOS, SISTEMAS
SISTEMAS YY PROCEDIMIENTOS
PROCEDIMIENTOSTÉCNICOS
TÉCNICOS
la:
la:
Resolución 320-2006-CG
20 II. Conceptos
Monitoreo Actividad 2
Actividad 1
Información y Comunicación
U nidad B
Unidad A
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
II. Conceptos
21
e) Mapa de Riesgos:
Representación gráfica (usualmente en
cuadrantes) de los riesgos de una
entidad/proceso/procedimiento, conforme a
un criterio de probabilidad e impacto.
e) Gestión de Riesgos:
Es un proceso para identificar, evaluar,
manejar y controlar acontecimientos o
situaciones potenciales, con el fin de
proporcionar un aseguramiento razonable
respecto del alcance de los objetivos de la
organización.
II. Conceptos
Es un proceso continuo que fluye por toda la entidad.
22
Es realizado por su personal en todos los niveles de la
organización.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye
adoptar una perspectiva del riesgo a nivel conjunto de la
entidad.
Está diseñado para identificar acontecimientos potenciales que,
de ocurrir, afectarían a la entidad y para gestionar los riesgos
dentro del nivel de riesgo aceptado.
Es capaz de proporcionar una seguridad razonable al consejo
de administración y a la dirección de una entidad.
Está orientada al logro de objetivos dentro de unas categorías
diferenciadas, aunque susceptibles de solaparse.
II. Conceptos
23
Protocolos de riesgos
Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
II. Conceptos
Una política de gestión de riesgos debería incluir lo siguiente:
24
Objetivos de control interno y de gestión de riesgos
(gobierno)
Una declaración de la actitud de la organización para
con los riesgos (estrategia)
Descripción de la cultura consciente de los riesgos o
ambiente de control
Nivel y naturaleza del riesgo que es aceptable (apetito
de riesgo)
Organización de la gestión de riesgos y acuerdos
(arquitectura)
Detalle de los procedimientos para el reconocimiento
de riesgos y su priorización (evaluación de riesgos)
Conceptos
25 Una política de gestión de riesgos debería incluir lo
siguiente:
Lista de documentación para analizar y reportar riesgos
(protocolos de riesgo)
Requerimientos de mitigación de riesgos y mecanismos
de control (respuesta al riesgo)
Asignación de los roles de la administración y sus
responsabilidades
Prioridades y temas de entrenamiento en gestión de
riesgos
Criterios para efectuar el monitoreo y benchmarking de
riesgos
Asignación de los recursos apropiados para la gestión de
riesgos
Actividades y prioridades relacionadas a la gestión de
riesgos para el año venidero
26 II. Conceptos
g) Apetito por el riesgo: el nivel de riesgo
que la organización está dispuesta a
asumir en su búsqueda de rentabilidad
y valor.
h) Tolerancia al riesgo: el nivel de
variación que la organización está
dispuesta a asumir en caso de
desviación a los objetivos
empresariales trazados.
27 II. Conceptos
Apetito por el riesgo
Alto
Excediendo
el Apetito de
Riesgo
Tolerancia al riesgo
Impacto
Medio
Estrategia de negocio
Dentro del
Apetito de Límite de Desempeño
Riesgo Real
Variación
tolerancia
Bajo
Variación
Inaceptable
Tiempo
Monitoreo y revisión
31 1. Establecer el contexto
Esta etapa busca identificar los riesgos que deben ser gestionados
Riesgo que no sea identificado, es excluido en cualquier análisis
posterior
Qué puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de mis
funciones, genere pérdidas (tiempo, imagen, recursos, etc.)
Los riesgos se identifican independientemente de que estén bajo
el control de la entidad o no
33 2. Identificación de Riesgos
Herramientas y Técnicas
de identificación de riesgos
Técnicas de Diagramación
Diagrama causa/efecto
Tormenta de Ideas
Técnica Delphi
Diagrama flujo de proceso
Cuestionarios y encuesta
Análisis FODA
34 2. Identificación de Riesgos
Clasificación del riesgo:
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas
de información, en la definición de los procesos, en la estructura de la entidad, la
desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de
corrupción e incumplimiento de los compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que
incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos,
manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con
los requisitos legales, contractuales, de ética pública y en general con su compromiso
ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el
cumplimiento de la misión.
35 2. Identificación de Riesgos
Riesgos estratégicos del FONCODES
Riesgo de focalización: que los diferentes esfuerzos de Riesgo de control de resultados: el no contar con
entidades del Estado no sean identificados y por lo tanto no se herramientas que permitan medir el desempeño, conforme a
atienda apropiadamente a la población objetivo. El proceso de metas en el tiempo y que las mismas cumplan con los
definición de la población objetivo podría contemplar un enfoque resultados esperados, conlleva a un riesgo de no controlar
integral de acción del Estado, tanto del gobierno nacional, como así
adecuadamente las actividades, para ello podría necesitarse
también de los gobiernos locales y regionales; asimismo el identificar
las actividades versus los actores podría colaborar en identificar
desarrollar una normatividad apropiada, un esquema de
matricialmente "cruces" en las intervenciones, evitando que el Estado control permanente de los indicadores, gestión de riesgos y
invierte dos veces en lo mismo, deje desantendidos a grupos capacitación de los trabajadores promoviendo su
poblacionales o atienda insuficientemente especialización
Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean categorizados ni se
estimen factores que permitan discernir la prioridad en la asignación del capital en base a identificar los riesgos, asimismo
que el resultado del emprendimiento no sea medible o no se establezcan metas, con el consiguiente esquema de control
Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de capacidades
productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los ayude a viabilizar
mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse iniciativas positivas, que sin embargo
por una falta de control y orientación no logren los resultados esperados
Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como puede ser:
ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando sinergias tanto en
calidad de recursos, oportunidad en la intervención y brechas a cubrir
36 Categorías de Riesgos
Categorías de Riesgos
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
Estratégico fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
Operacional personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
Reputación
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Relacionados a inadecuado manejo financiero de la organización, sus
Financiero
inversiones y activos (crediticio, tesorería, mercado)
A pro ba c ió n
Directiva de CGR, Co municació n co n la
3 P res entació n ino po rtuna Gerencia de Línea, Remis ió n o po rtuna a la Es tratégico 2 4 2 Mo derado Alta Implementadas J efatura del OCI
CGR, Ges tió n del SAGU
R e s ulta do pa rc ia l 2.00
R e s ulta do 2.00 M o de ra do
38 2. Identificación de Riesgos
NIVEL DE RIESGO Equivalente Nivel del
Criterios Fundamentales
Nivel Criterio Descripción Riesgo / Madurez
Afe c ta c ió n a l c um plim ie nto de lo s o bje tivo s
e s tra te gic o s .
R e quie re m o nito re o
Inc um plim ie nto pa rc ia l de no rm a s y pro c e dim ie nto s 4
1 B a jo pe rió dic o a fin de m a nte ne r
inte rno s de ntro de l pe rio do e va lua do (no re pe titivo ). ( O p t im o )
lo s rie s go s e n e s te nive l
39 Estados del monitoreo
Acciones de Monitoreo
Categoría Concepto
Las acciones del responsable han sido las
Implementadas
apropiadas en el tiempo comprometido
Algunas acciones se encuentran
En proceso desfasadas o en proceso de
implementación
No se evidencias acciones en la gestión
Pendientes
del riesgo
40 3. Análisis de Riesgos
Moderado Ba jo Modera do Al to Al to Al to
Poco
Ra ra vez Oca s i ona l Frecuente Muy frecuente
frecuente
FRECUENCIA
45 4. Evaluar los riesgos
Probable
Probabilidad Posible
Improbable
Análisis
Cualitativo
Impacto Leve
Moderado
Catastrófico
• Concluir
• Comunicar
• Existen debilidades materiales o de • Reportar
Fuente: Adaptación de un esquema de Protiviti cumplimiento?
Reporte
57 V. Pasos sugeridos
Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006
59 V. Pasos sugeridos
Alta Dirección
Responsable de la efectividad del SCI
Auditoría Interna
Brinda evaluación independiente Comité de Riesgos / Auditoría *
Supervisa y ejecuta el control de calidad a
•Retroalimentación sobre la gestión las actividades del SCI
de riesgos y controles
•Monitorea el proceso de
implementación del SCI y efectividad
de la gestión de riesgos
•Alinea los principales riesgos con el
Propietarios de los Riesgos
Implementan y reportan las acciones
Plan Anual de Control
Muchas gracias
Riesgos del Entorno
63
Riesgo de competencia
Competidores importantes o nuevos intrusos en el mercado puede tener ventajas competitivas
sobre la Empresa y amenazar su habilidad para sobrevivir.
Sobre comprometer los recursos y los flujos futuros esperados, afecta la capacidad de la
Riesgo de sensibilidad
organización para enfrentar cambios en el entorno.
Riesgo de relaciones con Una caída en la confianza de los inversores destruye la habilidad de la Empresa para obtener
accionistas capital eficientemente.
Riesgo de disponibilidad La Empresa no tiene un acceso eficiente al capital que necesita para financiar su crecimiento,
de capital llevar a cabo su estrategia y generar los resultados financieros futuros.
Riesgo de desastres Puede amenazar la habilidad de la organización de sostener sus operaciones, proveer los
naturales productos y servicios esenciales o recuperar sus costos operacionales.
Acciones políticas adversas en un país, en la cual la Empresa ha invertido en forma
Riesgo político y de
importante o depende un volumen significativo del negocio, puede amenazar los recursos y
soberanía
los flujos de caja futuros de la Empresa.
En las leyes pueden amenazar la capacidad de la Empresa para llevar a cabo acciones
Riesgo legal importantes y poner en vigor acuerdos contractuales o implementar estrategias.
Precios de los activos financieros. Tasa de un indicador base, tal como tasa de interés. Un
Riesgos de mercados índice, tal como el de mercado de valores u otro índice similar, puede afectar negativamente
financieros el valor de los activos financieros en la organización.
Riesgos del Negocio
64
Riesgo de operaciones
Estos se derivan de que las operaciones sean ineficientes e ineficaces en satisfacer a los clientes y alcanzar los
objetivos que tiene la Empresa.
Riesgos de satisfacción al Una empresa que no escuche a los clientes no va a entender o desarrollar los productos con las características o
cliente elementos de servicios para mantenerse competitivo.
Operaciones ineficientes amenazan la capacidad de la organización de producir servicios a un costo igual o menor
Riesgos de eficiencia que los costos incurridos por los competidores o por empresas a nivel mundial.
Riesgos de capacidad Una capacidad insuficiente o un exceso de capacidad amenaza la habilidad de la Empresa de generar márgenes
productiva adecuados en un mercado competitivo.
Riesgos de diferencial con La inhabilidad de actuar a un nivel o clase mundial en términos de calidad de costos, amenazan la demanda de los
competencia productos o servicios de las operaciones.
Un plazo excesivo entre el inicio y el término de un proceso de negocios, debido a actividades redundantes,
Riesgo de oportunidad innecesarias o irrelevantes amenazan la capacidad de la Empresa para producir servicios en forma oportuna
Riesgos de precio en La estrategia para comprar y las desviaciones de los productos básicos exponen a la Empresa a costos de
productos básicos producción excesivos o pérdidas por mantenerlos en sus inventarios.
Riesgos de obsolescencia y Los riesgos de exceso, obsolescencia o pérdida de inventario da como resultado pérdidas importantes a la Empresa.
faltantes
El incumplimiento de los requerimientos del cliente de políticas prescritas por la organización, puede resultar en una
Riesgo de incumplimiento menor calidad, altos costos de producción, ingresos perdidos, etc.
Riesgos de interrupción del Es originado por la disponibilidad de materia prima, información tecnológica, sistemas o mano de obra especializada,
negocio que amenaza la capacidad de la organización para continuar con las operaciones.
Servicios defectuosos o que no funcionan, exponen a la organización las quejas del cliente, reclamos de garantía,
Riesgo de fallo en el servicio reparaciones, devoluciones y pérdida de participación en el mercado y de reputación.
Los riesgos ambientales exponentes a las organizaciones a pasivos potencialmente enormes. Pueden surgir de
Riesgo ambiental actividades pasadas o presentes de edificios u otras estructuras y emisiones contaminantes de las operaciones.
Riesgo de erosión en la La erosión de marca comercial que no sean debidamente mantenida a través del tiempo, amenaza la demanda de
marca comercial los servicios de la organización.
Riesgos de Dirección
65
Puede resultar en una falta de dirección, enfoque al cliente,
Riesgo de dirección motivación para lograr objetivos, credibilidad de la gerencia
y confianza a través de la organización.
Riesgo de fraude del Los empleados, clientes o proveedores pueden perpetrar fraudes
empleado contra la Empresa para su ganancia personal.
Riesgo de Cambios en los precios o tasa de interés que ocurran antes de que los flujos
reinversión de efectivo puedan ser reinvertidos y se obtienen rendimientos inferiores.
Riesgo de La pérdida parcial o total del valor de un activo dado en garantía, expone a la
garantía organización a una pérdida financiera
Riesgo de La falta de una contraparte en un contrato transferido a un intermediario que
incumplimiento subsecuentemente incurre en falta, expone a la organización a pérdidas
de contraparte financieras.
Riesgos de la Información para la Toma de
69Decisiones
La falta de información relevante que soporte la
Riesgo de determinación de determinación de precios, puede resultar en precios o
precios tarifas que los clientes no quieran pagar o que no cubran
los costos de desarrollo y otros costos.
La Empresa puede no tener información que le permita
Riesgo de compromiso de evaluar los compromisos contractuales existentes de tal
contrato manera que las decisiones para tomar compromisos
adicionales sean inadecuadas.
Riesgo de diversificación La falta de información confiable y relevante puede impedir maximizar su actuación
del negocio global a una organización diversificada.
La falta de información relevante y confiable del valor del negocio, puede impedir que
Riesgo de valor del negocio
los dueños lleven a cabo un juicio informado sobre la empresa.
Riesgo de planificación Un proceso de planeación estratégico pesado y poco imaginativo puede resultar en
estratégica información irrelevante.