1. • Debido a la preocupación y al aumento del
interés en la gestión de riesgo durante la
segunda mitad de los años 90, el comité
de las organizaciones que patrocinaban la
Comisión de Treadway (COSO) determinó
que había una necesidad de un marco
común de Gestión Integral de Riesgo
• En el 2001 la Comisión contrató a
PricewaterhouseCoopers para desarrollar
un marco para evaluar y mejorar la gestión
de riesgo en las organizaciones
• COSO - ERM se crea ampliando a COSO I
para la gestión integral de riesgo pero no
para sustituir el marco de control interno
• En Septiembre de 2004 se publicó el
estudio ERM (Enterprise Risk Management)
Integrated Framework
Origen del estudio del Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
3. 1. Es un proceso…
2. realizado por la junta directiva, la
gerencia y demás personal de la
entidad,…
3. basado en el establecimiento de
estrategias para toda la empresa,
…
4. diseñadas para identificar eventos
potenciales que puedan afectar a la
entidad, y gerenciar los riesgos
dentro del apetito de riesgo…
5. para proporcionar una seguridad
razonable referente al logro de los
objetivos del negocio
Fuente: Enterprise Risk Management —
Integrated Framework Septiembre, 2004
Origen del estudio del Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
4. COSO II - ERM: Marco de Gestión Integral de
Riesgo (Enterprise Risk Management)
COSO I: Control Interno - Marco
Conceptual Integrado
Ambiente de Control
Operaciones
Reporte
Cumplimiento
Unidad
A
Unidad
B
Actividad
1
Actividad
2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
Origen del estudio del Committee of Sponsoring Organizations of the
Treadway Commission (COSO)
5. 5
Nuevo Componente
Componente Ampliado
Componente Ampliado
Objetivo Nuevo
Considera las
actividades de todos los
niveles de la
organización
Componentes del COSO-ERM
Nuevo Componente
Nuevo Componente
Componente Ampliado
Componente Ampliado
Componente Ampliado
6. COSO I
COSO II
COMPONENTES
COMPONENTES (5)
ENTORNO DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
COMPONENTES (5)
ENTORNO DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
COMPONENTES (8)
AMBIENTE INTERNO
ESTABLECIMIENTO DE OBJETIVOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
IDENTIFICACIÓN DE EVENTOS
EVALUACIÓN DE LOS RIESGOS
RESPUESTA A LOS RIESGOS
COMPONENTES (8)
AMBIENTE INTERNO
ESTABLECIMIENTO DE OBJETIVOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
IDENTIFICACIÓN DE EVENTOS
EVALUACIÓN DE LOS RIESGOS
RESPUESTA A LOS RIESGOS
COMPONENTES (3/4)
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIÓN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)
OBJETIVOS (3/4)
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIÓN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)
OBJETIVOS (4)
OPERATIVOS
INFORMACIÓN
CUMPLIMIENTO
OBJETIVOS (4)
OPERATIVOS
INFORMACIÓN
CUMPLIMIENTO
ESTRATÉGICOS
7. En el marco de Gestión Integral de Riesgos desarrollado por COSO II, existe una
relación directa entre los OBJETIVOS (aquellos que la organización trata de
alcanzar), los COMPONENTES de gestión del riesgo de la compañía
(representan las herramientas necesarias para el logro de dichos objetivos), así
como con cada uno de los NIVELES de la organización. La relación se
representa con el siguiente cubo:
OBJETIVOS
COMPONENTES
NIVELES DE LA
ORGANIZACIÓN
8. El presente Modelo de Gestión de Riesgos Corporativos está orientado a
alcanzar los OBJETIVOS de la Compañía, que se pueden clasificar en
cuatro categorías:
ESTRATÉGICOS: referidos a metas de alto nivel, alineadas y dando
soporte a la misión / visión de la organización.
OPERATIVOS: referidos a la eficiencia y eficacia de las actividades
de la organización, incluyendo los objetivos de rentabilidad y
desempeño.
INFORMACIÓN: referidos a la fiabilidad de la información
suministrada por la organización, que incluye datos internos y
externos, así como información financiera y no financiera.
CUMPLIMIENTO: referidos al cumplimiento de las leyes y normas y
leyes aplicables.
9. El modelo de Gestión de Riesgos Corporativos consta de ocho COMPONENTES
relacionados entre sí, que se derivan de la manera en que la dirección conduce la
empresa y cómo están integrados en el proceso de gestión.
Ambiente Interno
Filosofía de la gestión de riesgos– Cultura de riesgos– Consejo de Administración /
Dirección - Integridad y valores éticos– Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivos
Objetivos estratégicos– Objetivos relacionados– Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientos
Acontecimientos– Factores de influencia estratégica y de objetivos-
Metodologías y técnicas– Acontecimientos independientes– Categorías de
Acontecimientos– Riesgos y oportunidades
Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
Ambiente Interno
Filosofía de la gestión de riesgos– Cultura de riesgos– Consejo de Administración /
Dirección - Integridad y valores éticos– Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivos
Objetivos estratégicos– Objetivos relacionados– Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientos
Acontecimientos– Factores de influencia estratégica y de objetivos-
Metodologías y técnicas– Acontecimientos independientes– Categorías de
Acontecimientos– Riesgos y oportunidades
Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
10. Actividadesde control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos– Controles de los sistemas de información – Controles
Específicos de la entidad
Información y comunicación
Información - Comunicación
Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes–
Comunicación de deficiencias
Respuesta a losriesgos
Evaluación de posibles respuestas– Selección de respuestas-
Perspectiva de cartera
Actividadesde control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos– Controles de los sistemas de información – Controles
Específicos de la entidad
Información y comunicación
Información - Comunicación
Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes–
Comunicación de deficiencias
Respuesta a losriesgos
Evaluación de posibles respuestas– Selección de respuestas-
Perspectiva de cartera
11. La Gestión de Riesgos Corporativos considera actividades a todos los NIVELES
DE LA ORGANIZACIÓN:
- NIVEL CORPORATIVO
- LÍNEA DE NEGOCIO / PAÍS
- EMPRESA
- UNIDAD
12. ◦ Apalancar el proceso existente de control interno para
evaluación de riesgo
◦ Evaluar la efectividad de su proceso de administración de
riesgo.
◦ Identificar formas de mejorar la administración de riesgo.
◦ Integrar la administración de riesgo de la compañía con el
control interno.
◦ Integrar la administración del desempeño de la entidad con la
administración de riesgo de la compañía.
13. – Se inicia con los
objegivos:
• Estratégicos
• Operacionales
• Reportaje
• Cumplimiento
– Aplica a las actividades
de todos los niveles de
la organización
– Tiene 8 componentes
interrelacionados
14. ◦ Administración de Riesgo en la definición de la
estrategia
◦ Eventos y Riesgos
◦ Risk Appetite
◦ Risk Tolerance
◦ Portafolio de Visión del Riesgo
15. ◦ Los objetivos estratégicos de la entidad deben estar
alineados con las metas de alto nivel y soportados por su
misión/visión.
◦ Los objetivos reflejan la estrategia seleccionada por la
administración, y cómo la entidad busca crear valor para
sus accionistas.
◦ La administración identifica los riesgos asociados con la
estrategia seleccionada y considera sus implicaciones.
◦ La administración asigna los recursos a través de las
unidades de negocio, considerando el “risk appetite” de
la entidad y los planes estratégicos de las unidades de
negocio individuales, para generar un retorno deseado
sobre los recursos invertidos.
16. Un evento es una ocurrencia que podría afectar la implementación
de la estrategia o el logro de los objetivos
◦ Riesgo es la posibilidad de que un evento ocurra y afecte
adversamente al logro de los objetivos
◦ Eventos que pueden tener un impacto positivo representan
oportunidades
Riesgos se miden utilizando las mismas unidades de medida que
sus objetivos relacionados.
La administración identifica eventos a nivel de la entidad y de
actividades
Eventos con bajas posibilidades de ocurrencia son considerados
siempre y cuando tengan alto impacto en el cumplimiento de
objetivos importantes
17. ◦ Risk appetite es la visión de alto nivel de la administración y
del directorio de cuanto riesgo están dispuestos a aceptar
◦ La administración formula el “risk appetite” a nivel de la
entidad
◦ Las compañías puede expresar el “risk appetite” como el
balance aceptable entre el crecimiento, el riesgo y el
retorno.
◦ Las entidades sin fines de lucro, expresan su “risk appetite”
como el nivel de riesgo que ellos aceptarán en proveer valor
a sus stakeholders.
18. ◦ Tolerancia al riesgo son los niveles aceptables de
variación alrededor de los objetivos
◦ Las tolerancias a los riesgos se miden, preferiblemente
en las mismas unidades que sus objetivos relacionados
◦ En la fijación de las tolerancias al riesgo, la
administración considera la importancia relativa de los
objetivos relacionados
◦ La tolerancia al riesgo está alineada con el “risk
appetite”
19. ◦ La administración considera el riesgo desde la
perspectiva de la entidad
◦ La administración determina si el perfil de riesgo
residual de la entidad está acorde con el “risk
appetite” en general.
◦ La administración considera como están
interrelacionados los riesgos individuales
◦ La administración desarrolla una visión de portafolio
de riesgos, tanto desde la perspectiva de la entidad
como de las unidades de negocio.
20. El ERM permite:
• Alinear las estrategias y el apetito del
riesgo de la organización
• Interrelacionar el crecimiento, riesgo y
rentabilidad (creación de valor)
• Mejorar la toma de decisiones sobre
respuestas al riesgo
• Minimizar pérdidas y sorpresas
operacionales
• Identificar y gestionar el riesgo en toda la
empresa
• Proveer respuesta integral ante múltiples
riesgos
• Aprovechar oportunidades derivadas de
eventos potenciales de riesgo
ERM dirige a la organización a donde quiere ir, evitando
peligros y sorpresas a lo largo del camino
21. Estrategia
La gestión integral de riesgo
genera un retorno
cuantificable de la inversión
Toda empresa
existe para crear
valor a sus
accionistas
La gestión integral
de riesgo permite
crear valor a los
accionistas
Toda empresa enfrenta
incertidumbres ¿Cuánto
está dispuesto a enfrentar y
aceptar?
Enfocado al
aumento de la
participación del
mercado
Valor
22. Junta Directiva
(Incluyendo
Comité de
Auditoría)
• Base para mejorar gobierno corporativo, permitiendo un monitoreo más
efectivo del desempeño
• Aumenta la reputación como empresa transparente y bien administrada
• Participación proactiva en la gerencia del riesgo
Comité Ejecutivo
• Reduce las sorpresas
• Consistente estrategia del manejo de riesgo hacia la organización con
políticas y procedimientos formales
• Mejora la responsabilidad y la conducta de la gerencia
• Mejorar los mecanismos para la toma de decisiones
• Colocación inteligente de recursos en objetivos clave
• Mejora las herramientas para monitorear y controlar los riesgos
• Impulsa un estilo de gerencia proactivo
Auditoría Interna
• Aumenta el sentido de responsabilidad sobre los controles
• Mejora las herramientas para monitorear y controlar los riesgos
• Enfoque en áreas de alto riesgo
23. Beneficios de COSO-ERM
Clientes y
Proveedores
• Optimiza los controles y procesos, mejorando el desempeño operacional
• Anticipación y respuesta proactiva a los cambios en las necesidades y
preferencias de los clientes
• Mejora la administración de los acuerdos
• Mejora las relaciones con proveedores de calidad y se eliminan los de bajo
desempeño
Empleados
• Mejora en la comunicación de las metas y objetivos
• Mejor entendimiento de los riesgos y adecuadas herramientas para
mitigarlos
• Establecen un marco de medición del desempeño y las recompensas
• Mejoras en el desempeño, por medio de evaluaciones, manejo, medición y
monitoreo de los riesgos y controles
Leyes
• Aumenta la reputación como una empresa transparente y bien administrada
• Fiel cumplimento de las regulaciones
Entorno
• Provee a la empresa de un marco para identificar y manejar cualquier
riesgo concernientes a temas de salud, seguridad y del medio ambiente
• Mejora la reputación como empresa transparente y bien administrada
24. AMBIENTE INTERNO
Filosofía
Admon.Riesgo
Propensión
al Riesgo
Cultura
Riesgo
Consejo
Admón.
Integridad y
Valores Éticos
Compentencia
Personal
•Valor
•Comun.
Palabra/Acc
•Valor
•Cuantitativo
•Cualitativo
•Vinculado a
estrategia
•Independen-
cia
•Activa
•Involucrada
•Indepen-
dencia.
•Activa
•Involucrada
•Código Cond.
•Prerequisitos
•Ejemplo Dir.
•Incentivos
•Conocimientos
•Habilidades
•Trade Off
Filosofía . Admva.
Y Operacional
Estructura
Orgánica
Asig. Autoridad
y Responsab.
Pol. y Proc
de R.H.
Diferencia
en Ambiente
•Formal Vs Informal
•Conserv. Vs. Agres.
•Alineada
•Lineas Resporte
•Centraliz./ Desc.
•Matriz/Funcional/
Geográfica
•Facultamiento
•Rendición de
cuentas
•Evaluación
•Entrenamiento
•Compensación
•Incentivos y
disciplina
•Preferencias
•Juicios de Valor
•Estilos de
administración
Ambiente Interno
25. Fundamento para todos los demás componentes de ERM
Influye en estrategia y objetivos.
Influye en diseño de actividades de control, sistemas de
información y comunicación, y supervisión de actividades.
Incluye valores éticos, competencia del personal, estilo de
operación, asignación de autoridad y responsabilidad, y
estructura organizacional.
La Dirección se reconoce responsable de los riesgos y de
ella emana la filosofía y estilo gerencial e integra y
promueve el ERM
26. Evidencia de la cultura organizacional:
• Acuerdos con sus empleados
• Trato a clientes y a otros externos
• La incidencia de violaciones a leyes y reglamentos
• El tono desde lo alto
• Prudencia financiera
• La calidad de los productos y servicios ofrecidos
• Sus respuestas a las crisis
• Su imagen pública
27. Las culturas organizacionales cambian en el transcurso
del tiempo
Jóvenes en su entusiasmo vs compañías más
maduras
Conforme maduran las empresas, sus estructuras de
control interno deben madurar también
Las empresas con dificultades financieras, a menudo
minimizan costos en formas tales que reducen los
controles internos
29. Deben existir objetivos antes de que la administración
pueda identificar eventos que potencialmente afecten
su logro.
Alinear misión/visión con objetivos
Tipos: Estratégicos: relacionados con metas de alto
nivel
Reportes: confiabilidad en los mecanismos de reportes
Cumplimiento: con leyes y reglamentos aplicables
Establecimiento de Objetivos
30. Aquellos involucrados en el pensamiento estratégico deberían
tener esta información:
- Tendencias económicas generales y en la industria específica
- Desarrollo de nuevos productos y procesos
- Tendencias tecnológicas
- Desarrollos en habilidades clave
- Marcos competitivos de desempeño
- Planes y metas estratégicas internas
- Resultados históricos de desempeño
- Oportunidades para incrementar el potencial de productos o mercados
- Disponibilidad de recursos
- Asuntos regulatorios
- Asuntos ambientales
- Efectos en empleados
Establecimiento de Objetivos
31. 31
“Si no sabes por donde vas, entonces
cualquier camino te llevará alli.”
El Gato que rie, Alice en el Pais de las Maravillas
32. Eventos
Factores Influy.
Estrat. y Objs.
Metodología
y técnicas
Categorías
de Eventos
Riegos y
Oportunidades
•Incidental
•Impacto
positivo y/o
negativo
•Internos
•Externos
•Durante
•Periódico
•Pasado y
Futuro
•Grupos
de riesgo
por
proceso
y/o
función
•Imp. Neg: Riesgo
•Imp. Pos: Oport.
•Disminución del
riesgo
IDENTIFICACIÓN DE EVENTOS
Eventos Inter-
dependientes
•Eventos
precursores
(reacciones en
cadena)
•Interrelacionados
Identificación de Eventos
33. 33
Componente COSO-ERM: Identificación de Eventos
Evento: Devaluación cambiaria
Impacto positivo – impacto negativo
Riesgo:
Oportunidad:
Deuda Externa
Inversión en moneda extranjera
Evento: Aumento de precios afectando los productos de 1000 grs
Disminución de las ventas
Ventas de productos de 250 grs
Riesgo:
Oportunidad:
34. 34
Factores Externos
Económicos Ambiente Natural Políticos
Contaminación
Energía
Desastres naturales
Tendencias tecnológicas
E-business, E-commerce
Tecnologías emergentes
Interrupciones
Cambios gubernamentales
Legislación
Regulaciones
Componente COSO-ERM: Identificación de Eventos
Disponibilidad de capital
Incumplimiento de créditos
Seguros
Incumplimiento
Concentración
Liquidez
Financiamiento
Flujo de caja
Mercado
Precios
Desempleo
Huelgas
35. 35
Factores Internos
Infraestructura
Personal Proceso
Tecnología
Componente COSO-ERM: Identificación de Eventos
Diseño
Ejecución
Proveedor /
dependencias
Competencia del personal
Salud e higiene
Ética e integridad
Disponibilidad de activos
Capacidad de activos
Acceso a capital
Datos
Mantenimiento
Distribución
Confidencialidad
Integridad
Disponibilidad
Capacidad
Sistemas
Selección
Desarrollo
Implantación
Desempeño y
rendimiento
Disponibilidad
36. Riesgo Inherente
y Residual
Probabilidad e
Impacto
Metodologías y
Técnicas Correlación
•Accs. Admvas. Previas
•Accs. Admvas. Post.
•Esperadas e Inesperadas
•Cualitativas
•Cuantitativas
•Secuencia de
eventos
•Categorías
•Escenarios
EVALUACIÓN DE RIESGOS
•Esperadas
•Horizonte de tiempo
•Métrica de medición
•Datos observables
Evaluación de Riesgos
37. - Condiciones que pueden crear un riesgo adicional
- Diseño u operación inadecuada del control interno
- Metas y planeación fuera de la realidad
- Actividades no autorizadas
- Entendimiento insuficiente de nuevas inversiones,
productos, iniciativas y actividades de negocio
similares
- Acciones correctivas pobremente planeadas o
implementadas
38. - ¿Se asegura el Consejo o el Comité de Auditoría de que se reportan
los hallazgos relativos a los riesgos?
- ¿El Director Ejecutivo, el Director Financiero y el Director de AI
conocen de la efectividad de los controles internos?
- ¿El Director de Auditoría actúa con independencia y proporciona
reportes útiles y competentes?
- ¿Se reúne periódicamente el Comité de Auditoría con la gerencia
de primer nivel, el Director de Auditoría y los auditores externos?
- ¿Tiene el Consejo por lo menos un experto financiero?
39. ¿Conozco cuáles son los riesgos de
mi negocio?
¿He evaluado el surgimiento de
riesgos no tradicionales?
¿Es consciente la empresa de al
posibilidad de pérdidas
económicas, generadas por una no
efectiva administración del riesgo?
¿Conozco cuál es el apetito de
riesgo de la empresa?
¿Conozco quiénes son los
responsables de los riesgos de la
empresa? ¿Se tienen implantados
sistemas que midan y vigilen los
riesgos?
Riesgo de
Mercado
Riesgo de
Liquidez
Riesgo
de
Crédito
Riesgo
Legal
Lavado de
Activos
Estratégico
Reputacional
Riesgo
Operacional
39
40. ¿Cuál es la perspectiva de la persona
o departamento que atiende los
riesgos?
¿Se busca de manera regular nuevos
mercados, oportunidades de alianza y
otras estrategias de optimización de
riesgos?
¿Cómo afectan los sistemas de
incentivos a la administración de
riesgos?
¿El entendimiento de la empresa se
transmite a la organización y su
cultura?
Riesgo de
Mercado
Riesgo de
Liquidez
Riesgo
de
Crédito
Riesgo
Legal
Lavado de
Activos
Estratégico
Reputacional
Riesgo
Operacional
40
41. Respuesta al Riesgo
(control interno)
- Considerar los riesgos a largo plazo.
- Riesgo inherente: riesgo para la entidad en ausencia de cualquier
acción realizada por la administración para alterar la
probabilidad o el impacto.
- Riesgo residual: riesgo remanente después de la acción realizada
por la administración para alterar su probabilidad o impacto.
Riesgo
Inherente
Riesgo
Residual
42. 1. Tormenta de ideas sobre riesgos y oportunidades
2. Identificar de raíz las causas y las correlaciones
3. La mejor forma es tener sesiones de facilitación
4. Calcular el impacto del riesgo usando la misma medida de los
objetivos
5. Calcular los escenarios mínimo, máximo y probable
6. Preparar un programa de riesgo
7. Priorizar riesgos y oportunidades basados en su valor
ponderado
8. Identificar los riesgos clave que requieren atención estratégica
Tormenta de
Ideas
Peso/Cálculo Priorizar
43. 43
Componente COSO-ERM: Evaluación de Riesgo
• Autoevaluación: Es el proceso en el cual las unidades funcionales de
la organización, de forma subjetiva, identifican los riesgos inherentes
a sus actividades, evalúan el nivel de control existente y determinan
los puntos de mejora que se deben realizar
• Talleres Grupales (Workshops)
• Cuestionarios
• Como resultado de la aplicación de cualquiera de esta técnicas se
obtiene el catálogo de riesgos, ponderando la probabilidad de
ocurrencia e impacto en los objetivos del negocio
Técnicas de evaluación: Cualitativas
Altamente probable
Posiblemente probable
Remotamente probable
Alto
Medio
Bajo
Probabilidad de ocurrencia Impacto
44. 44
Bajo
Alto
Alto
I
M
P
A
C
T
O
PROBABILIDAD
Riesgo Alto
Riesgo Médio
Riesgo Médio
Riesgo Bajo
• Pérdida de telefonos
• Pérdida de ordenadores
• Riesgo de crédito
• Cliente tiene lara espera
• Cliente no puede entrar
• Cliente no obtiene respuestas
• Errores de entrada
• Equipo obsoleto
• Llamadas repetidas para el
mismo problema
• Fraude
• Pérdida de transaciones
• Moral de los empleados
45. Riesgos Probabilidad Impacto
1 Multas por violaciones a las normas
2 Deterioro de imagen
3 Devaluación de la moneda mayor al 15%
4 Huelgas que afectan la respuestas a clientes
5 Morosidad de la cartera
6 Falla en la integridad de la información
7
Alta concentración (colocaciones en pocos
clientes)
8 Bajo retorno de la inversión
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
46. Identificación de
Respuestas
Evaluación Posibles
Respuestas
Elección de
Respuesta Visión Integral
•Evadir
•Compartir
•Reducir
•rAceptar
•Toma de
decisiones
•Nivel entidad
•Nivel Unidad de negocio
•Base Inherente y residual
RESPUESTA AL RIESGO
•Impacto
•Probabilidad
•Costo Vs. Beneficio
•Respuestas Innovativas
Respuesta al Riesgo
47. - Opciones y su efecto en la probabilidad e impacto de un evento.
- Relación con: tolerancia al riesgo, costo vs. beneficio.
- Selección e implantación.
- Seleccionar respuestas que traerán la probabilidad e impacto de
un evento denro de la tolerancia al riesgo de la entidad.
- Cuatro Tipos de Respuesta al Riesgo
- Evasión - Reducción
- Compartir - Aceptación
- Redimensionar el riesgo sobre una base residual.
- Siempre existirán niveles de riesgo residual.
48. Controlar
Compartir Mitigar & Controlar
Aceptar
Riesgo Alto
Riesgo Médio
Riesgo Médio
Riesgo Bajo
Bajo
Alto
Alto
I
M
P
A
C
T
O
PROBABILIDAD
49. Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo
Reducir la expansión de una línea de
productos a nuevos mercados
Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
Dejar de producir un producto o
servicio altamente riesgoso
Componente COSO-ERM: Respuesta al riesgo
Evaluar posibles respuestas
50. Distribución de riesgos de forma representativa, de acuerdo
con el nivel de exposición
Impacto
Patrimonial
Probabilidad de ocurrencia
Devaluación de la
moneda mayor al
15%
Falla en la integridad
de la información
Deterioro de imagen
Multas violaciones
ambientales y sanitarias
Morosidad de la
cartera Huelgas que afectan las
respuestas a clientes
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
51. Integradas a las
Respuestas
Tipos de
Control Específicos
•Implícitas en los
procesos del
negocio
•Admon. TI
•Infraestructura TI
•Admon. Seguridad
•Desarrollo y
Mantenimiento de
software
•Estrategias y
objetivos
específicos
•Ambiente
Operacional
•Complejidad
de la entidad
ACTIVIDADES DE CONTROL
•Políticas
•Procedimientos
•Preventivos
•Detectivos
•Manuales
•Automatizados
Controles de
Aplicación
•Integridad
•Exactitud
•Autorización
•Validación
Controles Generales
Actividades de Control
52. Las actividades de control también incluyen sistemas,
procesos, iniciativas, técnicas, programas, proyectos y
otras formas de lograr los objetivos
Los controles internos que son efectivos bajo un conjunto
de circunstancias, pueden no ser efectivos cuando
cambian las condiciones
53. 53
La selección de las actividades de control incluye:
Considerar su relevancia y lo adecuado para responder ante el riesgo
Cómo se interrelacionan con otras actividades de control y con los objetivos
de la entidad
Integración con las respuestas al riesgo
Respuesta: Reducir el riesgo mediante el análisis del
comportamiento histórico de los clientes y realizar investigaciones
de mercado
Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo
producto
Riesgo: Carencia de suficiente conocimiento de factores externos,
tales como necesidades potenciales de los clientes
Actividad de control: Monitorear el comportamiento de los clientes
mediante reportes mensuales y la validación de la data existente
55. De fuentes internas y externas
Identifica, captura, analiza y comunica a quienes lo
necesitan
Forma y tiempo
Útil para llevar a cabo responsabilidades
Fluye hacia abajo, hacia arriba y a lo largo de la
organización
Intercambio con partes externas: clientes, proveedores,
legisladores, accionistas
Útil para identificar, evaluar y responder a riesgos, mover
la entidad y lograr los objetivos
Información y Comunicación
56. Información relevante
Uso de datos históricos y actuales. Identifica correlaciones, tendencias,
utiliza el conocimiento para ayudar a pronosticar el desempeño futuro.
Prevención temprana.
Estado actual para evaluar si se está dentro de las tolerancias
establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.
Esencial al Consejo para realizar sus responsabilidades de vigilancia
sobre los riesgos y su administración.
Riesgo de reportes sesgados
Canales de comunicación Tradicionales vs No-tradicionales.
Información y Comunicación
57. Durante las Operaciones
•Tiempo real
•Implícito
•Operaciones día a día
•Alcance
•Frecuencia
•Autoevaluación (facilitación
Auditores Internos)
•Ampliamente documentada
SEGUIMIENTO Y EVALUACIÓN
Reporte Deficiencias
•Durante las Operaciones
•Entidades externas
•Protocolos
•Canales alternos
Evaluaciones
Independientes
Supervisión
58. Verificar que los componentes están presentes y funcionando, y su
calidad en el curso del tiempo
Dos caminos: Evaluaciones sobre la marcha o independientes.
La documentación varía con el tamaño y complejidad de la
organización
La falta de documentación no significa que los componentes no
existan o no puedan ser probados. La documentación hace que la
supervisión sea más efectiva. También es importante respaldar las
aseveraciones sobre la calidad de ERM.
Supervisión
59. Reportar las deficiencias a quienes pueden tomar la
acción apropiada.
La deficiencia se puede percibir, sea potencial o real.
También la oportunidad para fortalecer el proceso, para
aumentar la probabilidad del logro de objetivos.
Mecanismo para reportar actos delicados, ilegales o
impropios
Resultados de la información y de la evaluación
Quién, qué, cuándo, dónde, cómo, por qué
Supervisión
60. 60
Autoevaluación de las
áreas de la
organización
Evaluaciones de
auditoría interna
Evaluaciones de
auditoría externa
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
Ger
Auditoría
Interna
Riesgos
Financieros
Riesgos
Tecnológicos
Riesgos
de Fraude
Riesgos de
Manufactura
Riesgos
Seguridad
Lógica
Riesgos
Regulatorios
Riesgos de
Seguridad de
Información
Riesgos de
Reputación