El Committee of sponsoring organizations –COSO– es un documento que contiene las principales directivas para la implementación, gestión y control de un sistema de control interno. Este brinda herramientas para gestionar los riesgos y prever situaciones que puedan afectar el negocio en marcha.
Clasificaciones, modalidades y tendencias de investigación educativa.
2. Erm administración de riesgo empresarial 2019
1. Administración del Riesgo Empresarial
E.R.M
Janeth Lozano Lozano
Profesora
Curso Aseguramiento interno
2. El Auditor y la gestión de riesgos empresariales (ERM)
El equipo de gerencia ejecutiva debe asegurarse de que
el director de gobierno corporativo proporcione un
modelo de madurez para ayudar a medir el estado de las
prácticas de ERM y lo que el mapa de ruta de mejoras
implicaría.
COSO ERM - Estrategia y Desempeño
COSO 2013 - Control Interno
COSO ERM 2017 - la Generación de Valor
3. El “Committee of Sponsoring Organizations” (COSO) es
una organización voluntaria del sector privado cuya misión
es mejorar la calidad de la información financiera
mediante la ética en los negocios, los controles internos
efectivos y el gobierno corporativo.
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
4. Fundado en 1985 para patrocinar a la “National Commission on
Fraudulent Financial Reporting” (conocida como la “Treadway
Commission") y se encuentra conformado por las cinco mayores
asociaciones profesionales de los Estados Unidos:
1. American Accounting Association (AAA)
2. American Institute of Certified Public Accountants (AICPA)
3. Financial Executives Internacional (FEI)
4. Institute of Internal Auditors” (IIA)
5. National Association of Accountants, hoy convertida en el
“Institute of Management Accountants” (IMA).
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
5. En 1992, el Comité emitió el framework sobre control
interno, que se convirtió en un estándar ineludible a la hora
de hablar sobre la forma de encarar el control interno en
cualquier organización.
Tiempo después, el Comité emitió otro documento,
denominado “Enterprise Risk Management (ERM) -
Integrated Framework”1 , y que en la actualidad se conoce
como COSO II o COSO ERM.
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
El E.R.M. del COSO II, es reconocido como el standard para cumplir
con la sección 404 de la ley Sarbanes-Oxley
6. “Es un proceso efectuado por la junta de directores, la administración y otro personal de la entidad, aplicando en la
definición de la estrategia y a través del emprendimiento, diseñado para identificar los eventos potenciales que pueden
afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer
seguridad razonable en relación con el logro del objetivo de la entidad.”
Esta definición refleja ciertos conceptos fundamentales:
• Un proceso, es un medio para un fin, no un fin en si mismo.
• Efectuado por gente no es solamente política, estudio y forma, sino que involucra gente en cada nivel de una
organización.
• Aplicado en la definición de la estrategia.
• Aplicado a través de la administración en cada nivel y unidad, incluye asumir un punto de vista de portafolio de los riesgos
a nivel de la entidad.
• Diseñado para identificar los eventos que potencialmente afectan la entidad y para administrar los riesgos dentro del
apetito por los riesgos.
• Provee seguridad razonable para la administración y para la junta de una entidad.
• Orientado al logro de los objetivos en una o más categorías separadas pero al mismo tiempo se sobreponen unas con
otras.
Administración del Riesgo Empresarial - ERM.
Estupiñan, 2006
7. EL FRAMEWORK DE CONTROL INTERNO
Objetivo:
Es ayudar a los gerentes de las empresas y a los
funcionarios de organizaciones de cualquier tipo, a
administrar de manera más eficiente el riesgo relacionado
con el cumplimiento de los objetivos de la entidad.
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
8. Gestión de los riesgos:
La gestión de riesgos corporativos posee las siguientes capacidades
inherentes:
- Alinea el riesgo aceptado y la estrategia
- Mejora las decisiones de respuesta a los riesgos
- Reduce las sorpresas y las perdidas operativas
- Identifica y gestiona la diversidad de riesgos para toda la entidad
- Provee respuestas integradas a riesgos múltiples
- Permite aprovechar las oportunidades
- Racionaliza el capital
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
9. Gestión de los riesgos corporativos
“…es un proceso efectuado por el consejo de
administración de una entidad, su dirección y restante
personal, aplicable a la definición de estrategias en toda
la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de
los objetivos”. (Informe Coso)
Administración del Riesgo Empresarial - ERM.
Ambrosone, 2007
10. Administración del Riesgo Empresarial - ERM.
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf
11. Administración del Riesgo Empresarial - ERM.
Estupiñan, 2006
Los riesgos se clasifican en cuatro grandes tipos
Reputación
•Es importante estar al día de
las amenazas que en
determinado momento
podrían afectar la actividad
comercial. Asimismo, conviene
adaptar la estrategia
corporativa al sistema de
gestión del riesgo
reputacional, para que haya
plena concordancia entre las
medidas que en este sentido
se tomen y las directrices
generales de la compañía.
•Los peores riesgos que actúan
sobre el prestigio provocan
pérdida en la cuota de
clientes, bajos ingresos,
paralización de inversiones,
desplazamiento en el
mercado, entre otros efectos
Mercado
•Las variaciones fundamentales
en las tasas de interés y en la
tasa de cambio pueden
impactar negativamente la
situación financiera de la
organización.
•Probabilidad de variaciones en
el precio y posición de
algún activo de una empresa.
•Riesgo de variaciones
del precio de mercancías,
Riesgo de variaciones
en precios de acciones, Riesgo
de cambios en el tipo de
interés, Riesgo de variaciones
en el tipo de cambio de divisa
extranjera y Riesgo
de posicionamiento y
acepción del producto
Crédito
•La gestión del riesgo de
crédito debe ser parte integral
de la organización, por lo
tanto, los productos de
crédito ofrecidos, los cupos y
limites asignados deben estar
dentro de los niveles de
atribuciones establecidos por
el Consejo de Administración
o la Junta Directiva
Operacional
•Las organizaciones solidarias
deberán contar con los
recursos, medios y
procedimientos necesarios
que garanticen la adecuada
operación de sus actividades.
En este sentido, entre otros
requisitos deberán garantizar
“El riesgo operacional en
todas sus divisiones”
12. Administración del Riesgo Empresarial - ERM.
Como formalidad de prevención, detección y mitigación a dichos riesgos, el E.R.M.
determinó 8 componentes interrelacionados, los cuales muestra cómo la alta
gerencia opera un negocio, y cómo están integrados dentro del proceso
administrativo en general, ellos son:
1. El entorno interno
2. Definición de objetivos
3. Identificación de eventos
4. Valoración de riesgos
5. Respuesta al riesgo
6. Actividades de control
7. Información y comunicación
8. Monitoreo.
Estupiñan, 2006
13. Componentes de la gestión de riesgos corporativos
Administración del Riesgo Empresarial - ERM.
https://elauditormoderno.blogspot.com/2017/01/el-informe-coso.htmlJaime Roberto Hernández
14. Administración del Riesgo Empresarial - ERM.
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf
15. Administración del Riesgo Empresarial - ERM.
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf
16. Administración del Riesgo Empresarial - ERM.
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf
17. Administración del Riesgo Empresarial - ERM.
Práctica de administración de riesgos empresariales E.R.M. en la auditoría interna
La nueva definición de la auditoría interna separada en los dos grandes servicios a prestar como son el de
aseguramientoy consulta para agregar valor y mejorar las operaciones para evaluar y mejorar la eficacia de
los procesos de la administración o gestión de riesgos, control y gobierno corporativo.
La administración del riesgo empresarial E.R.M. es una responsabilidad clave de la Junta Directiva o
Consejo de Administración como de la alta gerencia, para lo cual deben asegurarse de que existan y funcionen
procesos de gestión de riesgos sólidos, apropiados y eficaces.
Esta función puede ser ejercida por un Comité de Auditoría con dirección directa de miembros de la Junta
Directiva o Consejo de Administración, colaborándose mediante el examen, evaluación, informe y
recomendaciones de mejoras sobre la adecuación y eficacia de los procesos del E.R.M.
A su vez, el auditor interno cumpliendo un rol de consultores pueden ayudar a la organización a identificar,
evaluar e implementar metodologías de administración de riesgos empresariales E.R.M. e implementar
controles adecuados.
18. Administración del Riesgo Empresarial - ERM.
Los directores de riesgo deben pensar en forma estratégica antes de comprometer a la
organización con un mapa de ruta de ERM. Además, deben complementar estos rasgos con las
siguientes cualidades:
Una conciencia de riesgo bien desarrollada.
Una comprensión práctica de los procesos de los negocios centrales de la organización.
Un título de grado universitario avanzado y capacitación adecuada para mantenerse
actualizado en función de los cambios que se producen en el campo de la gestión de riesgo.
Habilidades interpersonales tales como la capacidad de interactuar en diversos niveles de
gerencia y operaciones.
Experto en habilidades de mediación.
Conocimientos de finanzas, contabilidad y seguros.
Mapa de Riesgos: Herramienta de control interno que presenta una panorámica de los riesgos a los
que está expuesta cualquier organización y establece las bases para su correcto tratamiento. Contar
con un mapa de riesgos permite reducir la incertidumbre, proteger a los grupos de interés y cumplir con
la normativa vigente en materia de buen gobierno corporativo. (Aon Global Risk Consulting, s.f.)
Sean de l a Rosa, DCom(UP), CIA, CISA & CCSA
19. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
5.3 Evaluación de Riesgos Laborales
Constituye la base de partida de la acción preventiva, ya que a partir de la información obtenida con
la evaluación podrán adoptarse las decisiones precisas sobre la necesidad o no de acometer acciones
preventivas.
¿En qué consiste la evaluación de riesgos laborales?
Consiste en un examen sistemático de todos los aspectos del trabajo para determinar:
● qué puede causar daño o lesión
● si los riesgos pueden eliminarse
● qué medidas preventivas o de protección se han adoptado o deben adoptarse
Universidad de Valencia (s.f.)
20. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
¿Quién realiza la evaluación de riesgos laborales?
La evaluación de riesgos laborales la realizan los técnicos del Servicio de Prevención. Dependiendo de la formación y
capacitación podrán realizar las siguientes actuaciones:
Nivel básico: evaluaciones elementales y establecer medidas preventivas. Formación: 30 o 50 horas.
Nivel intermedio: evaluaciones de riesgo, excepto las asignadas a nivel superior. Proponer medidas control y reducción
de riesgos. Formación: 300 horas
Nivel superior: evaluaciones de riesgo que precisen medición, interpretación, y planificación, control y reducción de
riesgos. Formación: 600 horas
Se tendrá en cuenta la información de los trabajadores y trabajadoras.
Universidad de Valencia (s.f.)
21. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
¿Cómo se realiza una evaluación de riesgos?
Recogida de datos “in situ”, visitando los distintos puestos de trabajo y recogiendo información relativa a las tareas
desarrolladas, y el lugar de trabajo en el que se realizan (instalaciones, maquinaria, equipos de trabajo en general,
mobiliario, medio ambiente de trabajo, iluminación...).
Información proporcionada por los trabajadores y/o sus representantes respecto a su puesto de trabajo.
Estimación del riesgo laboral
Una vez recogidos los datos necesarios, se procede a elaborar el documento que nos permitirá establecer los riesgos
existentes y su peligrosidad.
Se define el riesgo laboral como la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo.
Para calificar un riesgo desde el punto de vista de su gravedad o importancia, se debe valorar conjuntamente la
severidad del daño y la probabilidad de que se produzca.
Universidad de Valencia (s.f.)
22. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
Tomada de: http://theific.org/wp-content/uploads/2014/08/Spanish_ch27_PRESS.pdf
23. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
La severidad indica el daño que se
puede producir al trabajador si el
riesgo se materializa.
Universidad de Valencia (s.f.)
24. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
La probabilidad indica si es fácil o
no que el riesgo se materialice en
las condiciones existentes
Universidad de Valencia (s.f.)
25. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
La Importancia o clasificación del
riesgo
Una vez determinada la
probabilidad y severidad del riesgo,
por medio de la tabla siguiente, se
obtendrá una clasificación del
mismo
Universidad de Valencia (s.f.)
26. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
Los niveles de riesgos indicados en
el cuadro anterior, forman la base
para decidir si se requiere mejorar
los controles existentes o implantar
unos nuevos, así como la
temporización de las acciones.
En la tabla se muestra el criterio
para la toma de decisión
Universidad de Valencia (s.f.)
27. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
Universidad de Valencia (s.f.)
La evaluación debe actualizarse:
a) Cuando así lo establezca una disposición específica.
b) Cuando se elijan nuevos equipos de trabajo, sustancias o preparados químicos, se introduzcan nuevas tecnologías o se
modifique el acondicionamiento de los lugares de trabajo.
c) Cuando existan cambios en las condiciones de trabajo por modificación del proceso, etc.
d) Por la incorporación de un trabajador menor de 18 años o cuyas características o estado biológico le hagan
especialmente sensibles a determinados riesgos.
e) Cuando en caso de maternidad y periodo de lactancia, no se hubiese contemplado esta situación específica en la
evaluación inicial
f) Cuando en los controles periódicos de las condiciones de seguridad se haya detectado que las actividades preventivas
son insuficientes o inadecuadas
g) Cuando en los controles periódicos de la vigilancia de la salud se haya detectado que las actividades preventivas son
insuficientes o inadecuadas
h) Cuando se produzcan daños para la salud.
i) Cuando exista una situación epidemiológica según datos aportados por las autoridades sanitarias u otras fuentes.
j) Cuando se acuerde con los representantes de los trabajadores teniendo en cuenta el deterioro a lo largo del tiempo de los
medios empleados en el proceso productivo.
Dichas actividades serán objeto de planificación por el empresario.
28. Evaluación del riesgo laboral: Ejemplo
Administración del Riesgo Empresarial - ERM.
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/Evaluacion-Riesgos-COSO.pdf
29. Actividad empresarial: Ingenio Azucarero Guabirá S.A.
Administración del Riesgo Empresarial - ERM.
Ingenio Ubicado a 53 km
de la ciudad de Santa Cruz
y a 3 km de la ciudad de
Montero, una empresa
dedicada a producir
azúcar, alcohol, etc.
(Hualpa, 2017)
http://notiboliviarural.net/images/stories/2014/abril/28/guabira%20bazurco.jpg
30. Actividad empresarial: Ingenio Azucarero Guabirá S.A.
Administración del Riesgo Empresarial - ERM.
OBJETIVO
Dar Valor agregado a la industrialización de la
caña de azúcar y empresas relacionadas,
generando bienestar, desarrollo sostenible y
trato justo a todos los grupos de interés
(Hualpa, 2017)
31. Actividad empresarial: Ingenio Azucarero Guabirá S.A.
Administración del Riesgo Empresarial - ERM.
IDENTIFICACION DE LOS RIESGOS
Durante el proceso de análisis de riesgos se puede
encontrar una seria de dificultades que pueden
ocasionar riesgo para el negocio (Hualpa, 2017)
32. Mapa de Riesgos
Administración del Riesgo Empresarial - ERM.
Riesgo Descripción Probabilidad Impacto Descripción del impacto
Clima y medio
ambiente
Cambios drásticos de
temperatura, dificulta
proveedores entregas
MODERADO MAYOR 2 Perdidas económicas
Retraso en las entregas
Mala calidad
materia prima
No se buena su calidad,
no existe control de
calidad
POSIBLE CRITICO 3 Mala calidad del producto final
Problema
Maquinaria
Daños que no exista
pronto arreglo o garantía
en equipos
OCASIONAL MAYOR 2 Retraso en la producción
Imperfectos, perdidas económicas
Demora en la
comercialización
Tardanza en la entrega de
pedidos por mala
planeación
POSIBLE MENOR 1 Perdida de clientes
Garantías
(Hualpa, 2017)
33. Mapa de Riesgos
Administración del Riesgo Empresarial - ERM.
Riesgo Descripción Probabilidad Impacto Descripción del impacto
Demandas Por no cumplimiento en
contratos, el asesor no esta
pendiente del proceso
POSIBLE CRITICO 3 Se pueden establecer demandas a
la empresa y dañaría la imagen
junto con perdidas económicas
Riesgo contra
incendios
NO se cuenta con medidas
de seguridad, no hay
extintores nuevos, están
obsoletos
POSIBLE CATASTROFICO
4
Perdidas económicas, perdidas de
proveedores, perdida de clientes
(Hualpa, 2017)
34. Valoración del riesgo: El riesgo máximo para este análisis seria el 125% ya que se
multiplica el valor máximo de probabilidad, consecuencia y control del riesgo
5x5x5=125*
Administración del Riesgo Empresarial - ERM.
Probabilidad /Impacto Probabilidad /Impacto Puntaje/Criterio Valoración
(5) Muy probable (5) Catastrófico (5) No existe control 5x5x5=125*
(4) Probable (4) Critico (4) Existe pero no se
usa
(3) Moderado (3) Mayor (3) Existe un método
(sistemático)
(2) Remoto o Posible (2) Menor (2) Es sistemático
(1) Ninguna (1) Insignificante (1) Organizacional
Mapa de Riesgos
35. Valoración del riesgo: El riesgo máximo para este análisis seria el 125% ya que se multiplica el valor
máximo de probabilidad, consecuencia y control del riesgo 5x5x5=125
Caso aplicado en el área financiera:
Administración del Riesgo Empresarial - ERM.
Mapa de Riesgos
EVENTO O AMENAZA PROBABILIDAD CONSECUENCIA
NÚMERO DE
RIESGO
CONTROL DEL RIESGO
NÚMERO FINAL
DEL RIESGO
(Descripción del evento) ( P ) ( C ) ( Ri ) = (P x C) ( Cr ) (Rf ) = (Ri x Cr)
1 Monitoreo* 3 4 12 3 36 125
2 Declaracion de impuesto 5 2 10 2 20 125
3 Soportes de Pago 4 4 16 3 48
125
4 Cuentas Bancarias 4 3 12 3 36 125
5 Manejo de recursos 5 2 10 2 20 125
6 Custodia de Efectivo, cheque y tokem 4 2 8 1 8
125
7 Idoneidad del pesonal en el area 4 2 8 2 16 125
4,142857143 2,714285714 2,285714286 125
MÁXIMO
VALOR DE
RIESGO
No.
TABLA PARA LA GESTIÓN DE RIESGO
OBJETIVO: Verificar que los procesos del area financiera esten de acuerdo con el objeto social de la empresa y que cumplen con la normatividad vigente.
36. Administración del Riesgo Empresarial
Análisis de riesgos internos y
externos
http://angiemadmon.files.wordpress.com/2010/08/ambiente-externo1.jpg
38. Administración del Riesgo Empresarial
La auditoría interna agrega valor al proceso de ERM en dos áreas clave.
1. Los auditores pueden brindar, al comité de auditoría y al equipo de gerencia
ejecutiva, las garantías necesarias de que el proceso de ERM es eficaz y
eficiente, a la vez que cumple con el enfoque acordado.
2. La auditoría interna puede usar el producto proveniente del proceso de
ERM para desarrollar su plan de auditoría basado en el riesgo y para
identificar áreas de alto riesgo inesperadas a medida que avanza el
ejercicio financiero.
Sean de la Rosa, DCom(UP), CIA, CISA, CCSA (2007)
39. Referencias
Aon Global Risk Consulting (s.f.). Enterprise Risk Management. Disponible en:
https://www.aon.com/spain/productos_servicios/consultoria-gestion-riesgos/erm.jsp
Ambrosone, M. (2007). Administración del Riesgo Empresarial: Una responsabilidad de Todos - El enfoque COSO -.
PricewatherhouseCoopers.
Deloitte (2015). COSO Enterprise Risk Services. Valuación de Riesgos. Obtenido de:
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/Evaluacion-Riesgos-COSO.pdf
Deloitte (2017). COSO ERM 2017 y la Generación de Valor. Obtenido de:
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202
017%20(Oct%2024).pdf
Estupiñán, G. R. (2006). Control interno y fraudes: Con base a los ciclos transaccionales: análisis de informe coso i y
ii (2a. ed.). Retrieved from https://ebookcentral.proquest.com/lib/ucooperativasp/detail.action?docID=3198431
Hualpa, J. C. (16 de 06 de 2017). Ejemplo mapas de riesgos. Obtenido de https://www.youtube.com/watch?v=PV7x-
ZLkJME
Mantilla, S. (2013). Auditoría del control interno (3a. ed.). Retrieved from https://ebookcentral.proquest.com
Sánchez, F. D. V. J. L., & Alvarado, R. M. (2016). Teoría y práctica de la auditoría I: Concepto y metodología
(6a. ed.). Retrieved from https://ebookcentral.proquest.com/lib/ucooperativasp/detail.action?docID=5102452
Sean de la Rosa, DCom(UP), CIA, CISA, CCSA (2007). Cómo avanzar en la Gestión de riesgo empresarial (ERM)
GERENTEDESOLUCIONES DEERM IQ BUSINESS GROUP (PTY) LTD. Obtenido de
https://na.theiia.org/translations/PublicDocuments/delaRosa_june07_artok2_spa__2_.pdf
Universidad de Valencia (s.f.). Administración del riesgo laboral. Disponible en:
https://www.uv.es/sfpenlinia/cas/53_evaluacin_de_riesgos_laborales.html
40. El director de riesgo debe actuar como
elemento aglutinador que une todas las
actividades de gestión de riesgo de la
organización y reduce la duplicación de
esfuerzos en las diversas actividades de
aseguramiento dentro del negocio
41. Muchas Gracias!
“Si todo parece estar bajo control, no estás
yendo lo suficientemente rápido”
Mario Andretti