SlideShare una empresa de Scribd logo
1 de 70
Descargar para leer sin conexión
Gestión de Riesgos
Ing. Franklin Aranaga Meneses
Órgano de Control Institucional
Octubre, 2012
Agenda
I. Objetivos del taller
II. Conceptos
III. Modelo: Norma AS/NZS 4360:2004
IV. Aspectos a tener en cuenta
V. Pasos sugeridos
VI. Beneficios de la gestión de riesgos
VII.Roles
2
I. Objetivos del taller
Presentar el marco conceptual de la Gestión de Riesgos
Valorar el rol activo de los funcionarios y empleados
públicos en la implementación del control interno en los
procesos administrativos y operativos de la entidad
Destacar la importancia de la gestión de riesgos en un
manejo eficiente y orientado al cumplimiento de los
objetivos institucionales
Mejorar la cultura de control interno en el FONCODES.
3
II. Conceptos
a) Riesgo
b) Control
c) Gobierno
d) Control Interno
e) Mapa de Riesgos
f) Gestión de Riesgos
g) Apetito por el riesgo
h) Tolerancia al riesgo
4
II. Conceptos
a) Riesgo: La posibilidad de que ocurra un
acontecimiento que tenga impacto en el
alcance de los objetivos. El riesgo se mide en
términos de impacto y probabilidad. Por otro
lado peligro es la potencialidad de ocurrencia
de un daño, pérdida o lesión
5
II. Conceptos
6
Fuente: http://www.coool-stuff.com/tag/stupidity/
II. Conceptos
7
Peligro: cualquier cosa que puede
causar daño
Ejemplo: escaleras = un peligro
Gente subiendo o bajando =situación peligrosa (personal
interactuando con el peligro)
Tropezón o resbalón
=evento peligroso (expone a
una persona a daño)
Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html
II. Conceptos
8
Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html
II. Conceptos
• Inherente:Inherente: es aquel que está directamente
relacionado con la naturaleza de los procesos
desarrollados, en ausencia de controles.
• ResidualResidual es el riesgo subsistente una vez
aplicados los controles.
Riesgo residual = Riesgo inherente - ControlRiesgo residual = Riesgo inherente - Control
9
II. Conceptos
b) Control: Cualquier medida que tome la
dirección, el Consejo y otras partes, para
gestionar los riesgos y aumentar la
probabilidad de alcanzar los objetivos y
metas establecidos. La dirección planifica,
organiza y dirige la realización de las acciones
suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos
y metas.
10
II. Conceptos
11
Riesgo
Administrado
Ineficacia
por
exposición
Ineficacia
por
controles
Desinformado Gerenciado Obsesionado
- Controles +
Logro de
Objetivos
Alto
Bajo
Ineficacia
por
controles
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
II. Conceptos
c) Gobierno: La combinación de procesos y
estructuras implantados por el Consejo de
Administración para informar, dirigir,
gestionar y vigilar las actividades de la
organización con el fin de lograr sus
objetivos.
12
II. Conceptos
d) Control Interno: Concepto fundamental de la
administración y control, aplicable en las
entidades del Estado para describir las
acciones que corresponde adoptar a sus
titulares y funcionarios para preservar,
evaluar y monitorear las operaciones y la
calidad del servicio.
13
II. Conceptos
d) Control Interno: Conforme al COSO, es un
proceso efectuado por el Directorio de una
organización, la gerencia y demás personal,
diseñado para proveer seguridad razonable
respecto al logro de los objetivos
relacionados con:
– Efectividad y eficiencia de las operaciones
– Confiabilidad de los reportes financieros
– Cumplimiento con leyes y regulaciones aplicables
14
II. Conceptos
• Coso: Corresponde a las siglas en inglés del comité de
Organizadores y Patrocinadores de la Comisión Treadway,
organismos que en conjunto emitieron el informe con
recomendaciones referentes al Control Interno que lleva su
nombre.
• Origen: Estados Unidos, 1985, se forma una comisión
patrocinada diversas instituciones, con el objetivo de
identificar las causas de la presentación de información
financiera en forma fraudulenta o falsificada.
• En 1987 emite un informe que contenía una serie de
recomendaciones en relación al control interno de
cualquier empresa u organización.
• La comisión Treadway, debatió durante más de cinco años
y finalmente en 1992, se emite el informe COSO, el cual
tuvo gran aceptación y difusión en gran parte debido a la
diversidad y autoridad que posee el grupo que se hizo
cargo de la elaboración del Informe.
Monitoreo (Seguimiento)
Operaciones
Reporte
Cumplimiento
UnidadA
UnidadB
Actividad1
Actividad2
Información y Comunicación
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
 COSO : Control Interno -
Marco Conceptual Integrado
15
II. Conceptos
16
1992
2002
2004
2008
COSO I
Control Interno Marco
Integrado
(Comisión Treadway)
Ley Marco
Modernización del
Estado Ley Nº
27658
Ley Orgánica del Sistema
Nacional de Control y de la
Contraloría General de la
República Nº 27785 - CGR
COSO II
Gestión de Riesgos
Corporativos – Marco
Integrado
2006
Ley Nº 28716 de Control
Interno de las
Entidades del Estado
Ley
Normas de
Control Interno
RC 320-2006-CGR
Guía para la
Implementación del
Control Interno
RC 458-2008 - CGR 2011
2009
D.U Nº 067-2009
Decreto de Urgencia
que modifica el Art. 10
de la Ley Nª 28716
Ley Nº 29743 – Ley que
modifica el Articulo 10ª de la
Ley Nº 28716, Ley de Control
Interno de las Entidades del
Estado
Evolución del Control Interno en el Perú
17
Ley 27785, ART. 2°, OBJETO DE LA LEY
propender al:
Ley 27785, ART. 2°, OBJETO DE LA LEY
propender al:
APROPIADO OPORTUNO Y EFECTIVO
Ejercicio del control gubernamental
para
APROPIADO OPORTUNO Y EFECTIVO
Ejercicio del control gubernamental
para
PREVENIR Y VERIFICAR
Mediante
Aplicación de:
PREVENIR Y VERIFICAR
Mediante
Aplicación de:
PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOS
la:
PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOS
la:
CORRECTA EFICIENTE Y TRANSPARENTE
Utilización y gestión de los
recursos y bienes del Estado.
Desarrollo honesto y probo de las
funciones y actos de las:
Autoridades, Funcionarios y
Servidores Público.
Cumplimiento de metas y
resultados por las instituciones
finalidad Contribuir y orientar el mejoramiento de sus
actividades y servicios en beneficio de la Nación.
II. Conceptos
 Promover y optimizar la eficiencia, eficacia,
transparencia y economía en las
operaciones de la entidad, así como la
calidad de los servicios públicos que presta;
 Cuidar y resguardar los recursos y bienes
del Estado contra cualquier forma de
pérdida, deterioro, uso indebido y actos
ilegales, así como, en general, contra todo
hecho irregular o situación perjudicial que
pudiera afectarlos;
 Cumplir la normatividad aplicable a la
entidad y a sus operaciones;
 Garantizar la confiabilidad y oportunidad de
la información;
 Fomentar e impulsar la práctica de valores
institucionales;
 Promover el cumplimiento de los
funcionarios o servidores públicos de rendir
cuentas por los fondos y bienes públicos a
su cargo o por una misión u objetivo
encargado y aceptado.
II. Conceptos
18
Objetivos de la implantación del
Control Interno (Ley N° 28716)
II. Conceptos
19
Componente
Norma General
Normas Básicas (35)
Ambiente de Control
(Entorno organizacional favorable
y sensibilización)
Filosofía de la Dirección, Integridad y los valores éticos, Administración
estratégica, Estructura organizacional, Administración de RR.HH.,
Competencia profesional, Asignación de autoridad y responsabilidades,
Órgano de Control Institucional.
Evaluación de Riesgos
(Identificación y análisis de los
riesgos)
Planeamiento de la administración de riesgos, identificación de los
riesgos, valoración de los riesgos, respuesta al riesgo.
Actividades de Control G.
(Políticas y procedimientos
relacionados a la administración
de los riesgos)
Procedimientos de autorización y aprobación, Segregación de funciones,
Evaluación costo-beneficio, Controles sobre el acceso a los recursos o
archivos, Verificaciones y conciliaciones, Evaluación de desempeño,
Rendición de cuentas, Revisión de procesos, actividades y tareas,
Controles para las TIC.
Información y Comunicación
(Métodos, procesos, canales,
medios y acciones que aseguren
el flujo de la información con
calidad y oportunidad)
Funciones y características de la información, Información y
responsabilidad, Calidad y suficiencia de la información, Sistemas de
información, Flexibilidad al cambio, Archivo institucional, Comunicación
interna y externa.
Supervisión
(El SCI esta sujeto a supervisión a
fin de evaluar su eficacia y
calidad)
Prevención y monitoreo, Monitoreo oportuno del control interno, Reporte
de deficiencias, Seguimiento e implementación de medidas correctivas,
Autoevaluación, Evaluaciones independientes.
Resolución 320-2006-CG
II. Conceptos
20
Ambiente de Control
Operaciones
Reporte
Cumplimiento
UnidadA
UnidadB
Actividad1
Actividad2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
II. Conceptos
e) Mapa de Riesgos: representación gráfica
(usualmente en cuadrantes) de los riesgos de
una entidad/proceso/procedimiento, conforme
a un criterio de probabilidad e impacto
f) Gestión de Riesgos: un proceso para identificar,
evaluar, manejar y controlar acontecimientos o
situaciones potenciales, con el fin de
proporcionar un aseguramiento razonable
respecto del alcance de los objetivos de la
organización.
21
II. Conceptos
• Es un proceso continuo que fluye por toda la entidad
• Es realizado por su personal en todos los niveles de la organización
• Se aplica en el establecimiento de la estrategia
• Se aplica en toda la entidad, en cada nivel y unidad, e incluye
adoptar una perspectiva del riesgo a nivel conjunto de la entidad
• Está diseñado para identificar acontecimientos potenciales que, de
ocurrir, afectarían a la entidad y para gestionar los riesgos dentro
del nivel de riesgo aceptado
• Es capaz de proporcionar una seguridad razonable al consejo de
administración y a la dirección de una entidad
• Está orientada al logro de objetivos dentro de unas categorías
diferenciadas, aunque susceptibles de solaparse
22
23
II. Conceptos
Proceso de Gestión de Riesgos
Arquitectura de riesgos Estrategia de riesgos
Protocolos de riesgos
• La arquitectura de riesgos especifica los
roles, responsabilidades, comunicación y
estructura de reporte de los riesgos
• La estrategia de riesgos, apetito,
actitudes y filosofía están definidas en la
política de gestión de riesgos
• Los protocolos de riesgos son presentados en la forma de lineamientos de riesgos para la
organización e incluyen las reglas y los procedimientos, así como la identificación de la
metodología a emplear, herramientas y técnicas que deberán ser usadas
Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
Una política de gestión de riesgos debería incluir lo siguiente:
– Objetivos de control interno y de gestión de riesgos (gobierno)
– Una declaración de la actitud de la organización para con los riesgos (estrategia)
– Descripción de la cultura consciente de los riesgos o ambiente de control
– Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
– Organización de la gestión de riesgos y acuerdos (arquitectura)
– Detalle de los procedimientos para el reconocimiento de riesgos y su priorización
(evaluación de riesgos)
– Lista de documentación para analizar y reportar riesgos (protocolos de riesgo)
– Requerimientos de mitigación de riesgos y mecanismos de control (respuesta al
riesgo)
– Asignación de los roles de la administración y sus responsabilidades
– Prioridades y temas de entrenamiento en gestión de riesgos
– Criterios para efectuar el monitoreo y benchmarking de riesgos
– Asignación de los recursos apropiados para la gestión de riesgos
– Actividades y prioridades relacionadas a la gestión de riesgos para el año venidero
24
II. Conceptos
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
II. Conceptos
g) Apetito por el riesgo: el nivel de riesgo que la
organización está dispuesta a asumir en su
búsqueda de rentabilidad y valor
h) Tolerancia al riesgo: el nivel de variación que
la organización está dispuesta a asumir en
caso de desviación a los objetivos
empresariales trazados
25
II. Conceptos
26
Probabilidad
Impacto
Bajo Medio Alto
BajoMedioAlto
Excediendo
el Apetito de
Riesgo
Dentro del
Apetito de
Riesgo
Meta Fijada
Tiempo
Estrategia de negocio
Límite de
tolerancia
Desempeño
Real
Variación
Inaceptable
Límite de
toleranciaVariación
Inaceptable
Fuente: Gestión Integral de Riesgos. PWC. 2009
Apetito por el riesgo
Tolerancia al riesgo
III. Modelo: Norma AS/NZS 4360:2004
• Norma Australiana / Neozelandesa publicada
en 1995, 2ed en1999 y 3ed 2004
• Suministra una guía genérica para la gestión
de riesgos en general, “Enterprise Risk
Management (ERM)”.
27
• Administración de riesgos es el término
aplicado a un método lógico y sistemático de
establecer el contexto, identificar, analizar,
evaluar, tratar, monitorear y comunicar los
riesgos asociados con una actividad, función o
proceso de una forma que permita a las
organizaciones minimizar pérdidas y
maximizar oportunidades.
28
III. Modelo: Norma AS/NZS 4360:2004
III. Modelo: Norma AS/NZS 4360:2004
29
Comunicación y consulta
Monitoreo y revisión
1. Establecer
el contexto
Objetivos
Grupos de interés
Criterios
Definir elementos
clave
2. Identificación
de riesgos
Qué puede
suceder ?
Cómo puede
suceder ?
3. Análisis
de riesgos
Revisar controles
Probabilidades
Consecuencias
Nivel de riesgo
4. Evaluar
los riesgos
Evaluar riesgos
Ranking
5. Tratar los
riesgos
Identificar opciones
Seleccionar las
mejores respuestas
Desarrollar planes de
gestión de riesgos
Implementar
1. Establecer el contexto
• Identificar una persona con el conocimiento (control
interno y riesgos) a nivel operativo
• La organización está basada en la gestión por procesos?
Tiene metas y resultados esperados?
• Identificar los objetivos institucionales – grupal
• Recordaris: riesgo es todo aquello que pudiera afectar el
logro de los objetivos
• Se puede comenzar por riesgos de la entidad y luego bajar
a nivel de cada proceso, comenzando por los más críticos
• Es importante la participación de todas las partes
interesadas
• Posteriormente se pueden clasificar y definir los tipos de
riesgos
30
2. Identificación de Riesgos
• Esta etapa busca identificar los riesgos que deben
ser gestionados
• Riesgo que no sea identificado, es excluido en
cualquier análisis posterior
• Qué puede suceder: impida el logro de los
objetivos o responsabilidades asignadas, afecte la
eficiencia de mis funciones, genere pérdidas
(tiempo, imagen, recursos, etc.)
• Los riesgos se identifican independientemente de
que estén bajo el control de la entidad o no
31
2. Identificación de Riesgos
32
Herramientas y Técnicas
de identificación de riesgos
Técnicas de Diagramación
Tormenta de Ideas
Técnica Delphi
Cuestionarios y encuesta
Análisis FODA
Entrevistas
Diagrama causa/efecto
Diagrama flujo de proceso
Inventario de Riesgo
2. Identificación de Riesgos
33
Clasificación del riesgo:
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas
de información, en la definición de los procesos, en la estructura de la entidad, la
desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de
corrupción e incumplimiento de los compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que
incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos,
manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con
los requisitos legales, contractuales, de ética pública y en general con su compromiso
ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología
disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el
cumplimiento de la misión.
2. Identificación de Riesgos
34
Riesgo de focalización: que los diferentes esfuerzos de
entidades del Estado no sean identificados y por lo tanto no se
atienda apropiadamente a la población objetivo. El proceso de
definición de la población objetivo podría contemplar un enfoque
integral de acción del Estado, tanto del gobierno nacional, como así
también de los gobiernos locales y regionales; asimismo el identificar
las actividades versus los actores podría colaborar en identificar
matricialmente "cruces" en las intervenciones, evitando que el
Estado invierte dos veces en lo mismo, deje desantendidos a grupos
poblacionales o atienda insuficientemente
Riesgo de control de resultados: el no contar con
herramientas que permitan medir el desempeño, conforme a
metas en el tiempo y que las mismas cumplan con los
resultados esperados, conlleva a un riesgo de no controlar
adecuadamente las actividades, para ello podría necesitarse
desarrollar una normatividad apropiada, un esquema de
control permanente de los indicadores, gestión de riesgos y
capacitación de los trabajadores promoviendo su
especialización
Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como puede ser:
ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando sinergias tanto en
calidad de recursos, oportunidad en la intervención y brechas a cubrir
Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de capacidades
productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los ayude a viabilizar
mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse iniciativas positivas, que sin embargo
por una falta de control y orientación no logren los resultados esperados
Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean categorizados ni se
estimen factores que permitan discernir la prioridad en la asignación del capital en base a identificar los riesgos, asimismo
que el resultado del emprendimiento no sea medible o no se establezcan metas, con el consiguiente esquema de control
Riesgos estratégicos del FONCODES
Categorías de Riesgos
35
Estratégico
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
Operacional
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
Reputación
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Financiero
Relacionados a inadecuado manejo financiero de la organización, sus
inversiones y activos (crediticio, tesorería, mercado)
Fuente: Resolución SBS N° 037-2008
Categorías de Riesgos
2. Identificación de Riesgos
36
Frecuencia
(P ro babilidad)
Impacto
Nivel del
R ies go
M adurez de la
G es tió n del
Ries go
A ccio nes de
M o nito reo
R es po ns able
1 Fallaen el SAGU
Personal capacitado ycon experiencia,Gestión
del SAGU
Operacional 2 4 2 Moderado Media Implementadas Supervisor
2 Carencia deun adecuado enfoque
Metodología para la Formulación,Información
para el planeamiento, Personal capacitado y
con experiencia, Directiva de CGR,
Comunicación con la Gerencia de Línea,
Estimación de tiempos, Inventario de riesgos y
controles
Operacional 1 4 2 Moderado Alta En proceso Jefatura del OCI
2.00 Moderado
3 Presentación inoportuna
Directiva de CGR,Comunicacióncon la
Gerencia de Línea,Remisión oportuna ala
CGR,Gestión del SAGU
Estratégico 2 4 2 Moderado Alta Implementadas Jefatura del OCI
2.00
2.00 Mo derado
Acción de la Administración
PROCESO ESTRATEGICO
Formulación y aprobación del PAC
Fo rmulació n
Resultado
Incidencia en
O bjetivo s
Es tratégico s
Evento de R ies go
AUDITORIA ENCAMPO
Co ntro l Catego ría del R ies go
Apro bació n
Resultado parcial
Resultado parcial
2. Identificación de Riesgos
37
Nivel Criterio Descripción
1 B a jo
Requiere monitoreo
periódico a fin de mantener
los riesgos en este nivel
Incumplimiento parcial de normas y procedimientos
internos dentro del periodo evaluado (no repetitivo).
4
(O ptim o )
2 M o dera do
Requiere atención de la
Gerencia
Incumplimiento reiterativo de procedimientos internos
dentro del periodo evaluado.
3
(Im ple m e nta do )
Desactualización de normas y procedimientos
internos relacionados con la administración de
activos, recursos entre otros.
3 A lto
Requiere atención urgente
de las Gerencias
responsables
Afectación al cumplimiento de los objetivos
operativos.
2
(En P ro c e s o )
Atención y servicio al cliente (trascendencia publica
local)
Perdidas y/o multas por incumplimiento de
normatividad interna y externa (< o = al 50%porciento
de la materialidad).
Omisión en la aplicación de controles criticos en los
procesos operativos y de soporte.
Carencia de normas y procedimientos internos
relacionados con la administración activos y
recursos.
Omision en la implantacion de recomendaciones en
dos periodos consecutivos.
NIVEL DE RIESGO
Criterios Fundamentales
Equivalente Nivel del
Riesgo / Madurez
4 Extre m o
Requiere de atención urgente
de la Alta Direccion
Afectación al cumplimiento de los objetivos
estrategicos.
1
(Ine xis te nte / Inic ia l)
Afectación de la imagen institucional (trascendencia
pública a nivel nacional)
Interrupción de las operaciones que afecten la
prestacion de los servicios y que generen un efecto
economico negativo.
Fraudes, robos e irregularidades intencionales.
Perdidas y/o multas por incumplimiento de
normatividad interna y externa (> al 50%porciento de la
materialidad).
Omisión en la aplicación de controles criticos en los
procesos estrategicos, operativos y soporte.
Estados del monitoreo
38
Categoría Concepto
Implementadas
Las acciones del responsable han sido las
apropiadas en el tiempo comprometido
En proceso
Algunas acciones se encuentran
desfasadas o en proceso de
implementación
Pendientes
No se evidencias acciones en la gestión
del riesgo
Acciones de Monitoreo
3. Análisis de Riesgos
• El análisis de riesgos involucra prestar
consideración a las fuentes de riesgos, sus
consecuencias y las probabilidades de que
puedan ocurrir esas consecuencias
• Implica determinar: fuentes del riesgo,
posibilidad, consecuencias, responsables,
acciones
• La lista de riesgo debe ser excluyente
• Se deben identificar los controles o acciones que
ayuden a minimizarlos
39
3. Análisis de Riesgos
• Cualitativos. El análisis cualitativo utiliza formatos
de palabras o escalas descriptivas para describir
la magnitud de las consecuencias potenciales y la
probabilidad de que esas consecuencias ocurran.
• Semi-cuantitativos. El número asignado a cada
descripción no tiene que guardar una relación
precisa con la magnitud real de las consecuencias
o probabilidades.
• Cuantitativos. Uso de datos numéricos para la
determinación de los riesgos.
40
4. Evaluar los riesgos
• La evaluación de riesgos involucra comparar el
nivel de riesgo detectado durante el proceso
de análisis con criterios de riesgo establecidos
previamente
• El propósito de la evaluación de riesgos es
tomar decisiones basadas en los resultados
del análisis de riesgos (tratamiento de riesgos
y la prioridad)
41
4. Evaluar los riesgos
42
Nivel Descripción Nivel Descripción
1 Improbable 1 Insignificante
2
Poco probable /
Raro
2 M enor
3 Probable 3 M oderado
4 Potencial 4 M ayor
5 Casi cierto 5 Catastrofico
NIVEL DE PROBABILIDAD NIVEL DE IMPACTO
Concepto Concepto
Puede ocurrir en algún momento
El riesgo tiene un efecto nulo o pequeño, en el desarrollo
del proceso - baja perdida financiera
Se espera que ocurra en la mayoria de
circunstacias
El proceso es gravemente dañado - Enorme perdida
financiera
Puede ocurrir sólo en circunstancias
excepcionales
El desarrollo del proceso sufre un daño menor - Con
perdida financiera menor
Probablemente ocurriria en la
mayoria de circunstancias
El desarrollo del proceso sufre un deterioro, dificultando
o retrazando su cumplimiento - Con afectación financiera
Puede ocurrir en la mayoría de
circunstancias
El desarrollo del proceso es afectado significativamente -
Pérdida financiera mayor
4. Evaluar los riesgos
43
Catastrófico
Mayor
Moderado
Menor
Insignificante
Rara vez Ocasional
Poco
frecuente
Frecuente Muy frecuente
Extremo
Moderado Moderado Alto Extremo Extremo
IMPACTO
Moderado Alto Alto Extremo
Bajo Moderado Alto Alto Alto
FRECUENCIA
Bajo Moderado Moderado Moderado Alto
Bajo Bajo Bajo Moderado Moderado
Matriz de riesgos
4. Evaluar los riesgos
44
Análisis
Cualitativo
Análisis
Cuantitativo
ProbabilidadProbabilidad
ImpactoImpacto
Probable
Posible
Improbable
Leve
Moderado
Catastrófico
Probabilidad de
ocurrencia
Nivel Calificación
0 – 25 Improbable 1
26- 70 Posible 2
71- 100 Probable 3
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico 30
4. Evaluar los riesgos
45
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
4. Evaluar los riesgos
46
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
4. Evaluar los riesgos
47
Presentación KPMG Advisory
5. Tratar los riesgos
• El tratamiento de los riesgos involucra
identificar el rango de opciones para tratar los
riesgos, evaluar esas opciones, preparar
planes para tratamiento de los riesgos e
implementarlos
• Evaluar las opciones para tratar los riesgos
• Preparar planes de tratamiento
• Implementar planes de tratamiento
48
5. Tratar los riesgos
49
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo
• Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo
• Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Fuente: Gestión Integral de Riesgos. PWC. 2009
5. Tratar los riesgos
50
Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.
Monitoreo y revisión
• Es necesario monitorear los riesgos, la
efectividad del plan de tratamiento de los
riesgos, las estrategias y el sistema de
administración que se establece para
controlar la implementación. Los riesgos y la
efectividad de las medidas de control
necesitan ser monitoreadas para asegurar que
las circunstancias cambiantes no alteren las
prioridades de los riesgos
51
Comunicación y consulta
• La comunicación y consulta son una consideración importante en
cada paso del proceso de administración de riesgos
• Es importante la comunicación efectiva interna y externa para
asegurar que aquellos responsables por implementar la
administración de riesgos, y aquellos con intereses creados
comprenden la base sobre la cual se toman las decisiones y por qué
se requieren ciertas acciones en particular
• Dado que los interesados pueden tener un impacto significativo en
las decisiones tomadas, es importante que sus percepciones de los
riesgos, así como, sus percepciones de los beneficios, sean
identificadas y documentadas y las razones subyacentes para las
mismas comprendidas y tenidas en cuenta
52
IV. Aspectos a tener en cuenta…
• Impulsar desde el más alto nivel la implementación del Sistema de Control Interno (SCI)
• Realizar talleres de capacitación y aprestamiento sobre control interno y gestión de riesgos
• Incorporar en los documentos de gestión la responsabilidad de cada trabajador en el control
interno y la gestión de riesgos
• Establecer progresivamente un lenguaje común respecto a la gestión de riesgos (categorías,
definiciones, políticas, responsabilidades, metas, indicadores, normatividad, etc.)
• Identificar y adaptar una metodología a las necesidades de FONCODES
• Expresar y comunicar los objetivos de la organización, a través del uso de indicadores de
desempeño
• Identificar las amenazas potenciales para el logro de los objetivos
• Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan
• Seleccionar e implementar respuestas ante los riesgos
• Priorizar los riesgos
• Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes periódicamente
• Comunicar la información sobre riesgos de manera coherente en todos los niveles de la
organización
• Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus resultados
• Determinar el grado de aceptación de riesgos de la organización
• Establecer un entorno interno adecuado, que incluya un enfoque de gestión de riesgos.
53
V. Pasos sugeridos
• Capacitación en: control interno, riesgos, procesos, indicadores
• Identificar instrumentos para recolectar información
• Listar los objetivos institucionales, tomando en cuenta la misión
• Clasificar los procesos, actividades y las tareas
• Designar un responsable por proceso y progresivamente incorporar
la documentación y normatividad respectiva
• Identificar los riesgos y controles más importantes de la entidad
• Valorar los riesgos
• Cruzar los riesgos vs. procesos
• Elaborar planes de acción, responsables y metas
• Evaluar la eficacia y las brechas encontradas
• Mantener y actualizar
54
V. Pasos sugeridos
55
Seleccionar
procesos clave
Comprender
los procesos
Fuente de los
riesgos
Documentar
controles clave
Evaluar el
diseño
Efectividad de
los controles
Reporte
• Seleccionar los procesos clave conforme a la
importancia en el cumplimiento misional, manejo de
fondos y probabilidad de corrupción
• Considerar insumos de materialidad e importancia
• Comprender las actividades y los procedimientos
• Identificar reportes contables o de la gestión de
proyectos, a fin de establecer materialidad
• Cruzar riesgos vs. procesos
• Documentar controles a nivel entidad
• Documentar otros controles
• Documentar controles a nivel preventivo y detectivos en los procesos principales
• Evaluar la efectividad del diseño de los controles a nivel entidad
• Tomar acciones de mejora sobre las deficiencias encontradas
• Evaluar la efectividad de los controles a nivel
entidad y de procesos
• Remediar deficiencias a través de la
implementación de recomendaciones
• Concluir
• Comunicar
• Reportar
• Cuáles son los riesgos a que se
encuentran expuestos los procesos?
• En qué actividades se encuentran los
riesgos?
• Cuáles son los controles clave?
• Quién es propietario de los controles
clave?
• Cómo se encuentra el diseño de los
controles ?
• Cuáles son los riesgos de falla de los
controles?
• Cuál es el desempeño de los
controles?
• Existen debilidades materiales o de
cumplimiento?Fuente: Adaptación de un esquema de Protiviti
Objetivos institucionales
V. Pasos sugeridos
56
Fuente: Gestión Integral de Riesgos (ERM). Deloitte. Fernando Gaziano. 2007
V. Pasos sugeridos
57
Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006
V. Pasos sugeridos
58
Fuente: Administración de Riesgos. KPMG. 2010. Juan José Descailleaux
VI. Beneficios de la Gestión de Riesgos
• Colabora en la implementación del sistema de control interno (Resolución de Contraloría General
Nº 458-2008-CG)
• Mayor probabilidad del logro de los objetivos organizacionales
• Incrementa la confianza en la habilidad de una organización para anticipar, priorizar y superar
obstáculos para alcanzar sus metas
• Mayor comprensión de los riesgos clave y sus implicancias más amplias
• Identificación e intercambio de conocimientos sobre riesgos cruzados
• Mayor atención de la Alta Dirección a problemas realmente importantes
• Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley N° 28716, Ley de
Control Interno de las entidades del Estado y Ley N° 27785, Ley Orgánica del Sistema Nacional de
Control y de la Contraloría General de la República)
• Mayor atención internamente para hacer lo correcto de la manera correcta
• Mayor probabilidad de que se logren las iniciativas de cambio
• Toma de decisiones más informadas, a nivel estratégico y operativo
• Coadyuva a la gestión de un presupuesto por resultados
• Fomenta el orden interno (gestión por procesos, establecimiento de indicadores de desempeño,
identificación de controles, desarrollo de procedimientos, normatividad, etc.)
• Progresivamente la administración podrá asumir procesos de autoevaluación de control
• Brinda transparencia a la gestión, interna y externamente
• Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad
• Actualización de conocimientos de los profesionales en temas de: gestión por procesos, control
interno, indicadores, riesgos, etc.
59
VII. Roles
60
Alta Dirección
Responsable de la efectividad del SCI
Auditoría Interna
Brinda evaluación independiente
•Retroalimentación sobre la gestión
de riesgos y controles
•Monitorea el proceso de
implementación del SCI y efectividad
de la gestión de riesgos
•Alinea los principales riesgos con el
Plan Anual de Control
Comité de Riesgos / Auditoría *
Supervisa y ejecuta el control de calidad a
las actividades del SCI
Propietarios de los Riesgos
Implementan y reportan las acciones
* En caso exista alguno de ellos en la entidad
Muchas gracias
61
Riesgo de competencia
Competidores importantes o nuevos intrusos en el mercado puede tener ventajas competitivas
sobre la Empresa y amenazar su habilidad para sobrevivir.
Riesgo de sensibilidad
Sobre comprometer los recursos y los flujos futuros esperados, afecta la capacidad de la
organización para enfrentar cambios en el entorno.
Riesgo de relaciones con
accionistas
Una caída en la confianza de los inversores destruye la habilidad de la Empresa para obtener
capital eficientemente.
Riesgo de disponibilidad
de capital
La Empresa no tiene un acceso eficiente al capital que necesita para financiar su crecimiento,
llevar a cabo su estrategia y generar los resultados financieros futuros.
Riesgo de desastres
naturales
Puede amenazar la habilidad de la organización de sostener sus operaciones, proveer los
productos y servicios esenciales o recuperar sus costos operacionales.
Riesgo político y de
soberanía
Acciones políticas adversas en un país, en la cual la Empresa ha invertido en forma
importante o depende un volumen significativo del negocio, puede amenazar los recursos y
los flujos de caja futuros de la Empresa.
Riesgo legal
En las leyes pueden amenazar la capacidad de la Empresa para llevar a cabo acciones
importantes y poner en vigor acuerdos contractuales o implementar estrategias.
Riesgo de regulación
Cambios en las regulaciones, puede ocasionar un aumento en las presiones competitivas y
afectar la habilidad de la Empresa para llevar a cabo en forma eficiente su negocio.
Riesgo de industria
Cambios en las oportunidades y en los obstáculos, así como en la capacidad de los
competidores y en otras condiciones que pueden afectar la industria en que actúa la Empresa.
Riesgos de mercados
financieros
Precios de los activos financieros. Tasa de un indicador base, tal como tasa de interés. Un
índice, tal como el de mercado de valores u otro índice similar, puede afectar negativamente
el valor de los activos financieros en la organización.
Riesgos del Entorno
Riesgo de operaciones
Estos se derivan de que las operaciones sean ineficientes e ineficaces en satisfacer a los clientes y alcanzar los
objetivos que tiene la Empresa.
Riesgos de satisfacción al
cliente
Una empresa que no escuche a los clientes no va a entender o desarrollar los productos con las características o
elementos de servicios para mantenerse competitivo.
Riesgos de eficiencia
Operaciones ineficientes amenazan la capacidad de la organización de producir servicios a un costo igual o menor
que los costos incurridos por los competidores o por empresas a nivel mundial.
Riesgos de capacidad
productiva
Una capacidad insuficiente o un exceso de capacidad amenaza la habilidad de la Empresa de generar márgenes
adecuados en un mercado competitivo.
Riesgos de diferencial con
competencia
La inhabilidad de actuar a un nivel o clase mundial en términos de calidad de costos, amenazan la demanda de los
productos o servicios de las operaciones.
Riesgo de oportunidad
Un plazo excesivo entre el inicio y el término de un proceso de negocios, debido a actividades redundantes,
innecesarias o irrelevantes amenazan la capacidad de la Empresa para producir servicios en forma oportuna
Riesgos de precio en
productos básicos
La estrategia para comprar y las desviaciones de los productos básicos exponen a la Empresa a costos de
producción excesivos o pérdidas por mantenerlos en sus inventarios.
Riesgos de obsolescencia y
faltantes
Los riesgos de exceso, obsolescencia o pérdida de inventario da como resultado pérdidas importantes a la Empresa.
Riesgo de incumplimiento
El incumplimiento de los requerimientos del cliente de políticas prescritas por la organización, puede resultar en una
menor calidad, altos costos de producción, ingresos perdidos, etc.
Riesgos de interrupción del
negocio
Es originado por la disponibilidad de materia prima, información tecnológica, sistemas o mano de obra especializada,
que amenaza la capacidad de la organización para continuar con las operaciones.
Riesgo de fallo en el servicio
Servicios defectuosos o que no funcionan, exponen a la organización las quejas del cliente, reclamos de garantía,
reparaciones, devoluciones y pérdida de participación en el mercado y de reputación.
Riesgo ambiental
Los riesgos ambientales exponentes a las organizaciones a pasivos potencialmente enormes. Pueden surgir de
actividades pasadas o presentes de edificios u otras estructuras y emisiones contaminantes de las operaciones.
Riesgo de erosión en la
marca comercial
La erosión de marca comercial que no sean debidamente mantenida a través del tiempo, amenaza la demanda de
los servicios de la organización.
Riesgos del Negocio
Riesgo de dirección
Puede resultar en una falta de dirección, enfoque al cliente,
motivación para lograr objetivos, credibilidad de la gerencia
y confianza a través de la organización.
Riesgo de autoridad
Líneas de autoridad pueden causar que se hagan cosas
que no deberían de hacerse o no hacer lo que es debido.
Riesgo de límites
Un fallo al establecer límites puede causar que se lleven a
cabo actos no autorizados o desleales.
Riesgo de incentivos de
actuación
Medidas de actuación que nos sean realistas o mal
interpretadas puede causar una actuación de una manera
inconsistente con los objetivos de la organización
Riesgo de comunicaciones
Los canales inefectivos de comunicación pueden resultar
en mensajes que son inconsistentes.
Riesgos de Dirección
Riesgo de acceso
La falla en mantener un acceso adecuado a los sistemas de
información puede resultar en conocimientos no autorizados y uso
indebido de información confidencial.
Riesgo de integridad
La falta de integridad en la gestión de la infraestructura de los
sistemas de información puede resultar en acceso no autorizado a
los datos.
Riesgo de relevancia
El riesgo de relevancia está asociado con no proporcionar los
datos o información correcta al momento correcto para toma de
decisiones.
Riesgo de
disponibilidad
La falta de disponibilidad de información importante, en el
momento en que es necesaria, puede afectar adversamente la
continuidad de los procesos y operaciones críticas de la
organización.
Riesgo de energía
La falta de fluido eléctrico puede provocar que los sistemas
utilizados para la operación de la Empresa, no se encuentren
disponibles impactando en forma directa la prestación del servicio.
Riesgo en los enlaces
de comunicación
Una interrupción en los enlaces de comunicación, utilizados en los
sistemas, impacta negativamente en el servicio prestado a los
clientes.
Riesgos Tecnológicos y de la Información
Riesgos de Integridad
Riesgo de fraude de
la Administración
Puede emitir información financiera distorsionada con el intento de
engañar al público inversor y al auditor externo. La administración
puede efectuar sobornos y otros actos ilegales para el beneficio de la
Empresa
Riesgo de fraude del
empleado
Los empleados, clientes o proveedores pueden perpetrar fraudes
contra la Empresa para su ganancia personal.
Riesgo de actos
ilegales
Actos ilegales expone a la Empresa a multas y sanciones y a pérdida
de cliente, utilidades, reputación, etc.
Riesgo de uso no
autorizado
El uso no autorizado de los activos físicos, financieros o de
información expone a la Empresa a un desperdicio innecesario de
recursos.
Riesgo de reputación
Puede perder clientes, empleados clave o su habilidad para competir,
debido a la percepción de que no se está dando un trato justo.
Riesgos Financieros
Riesgo de
liquidez
La imposibilidad de tener efectivo disponible en una forma oportuna o de no
convertir activos efectivo cuando sea necesario, puede incumplir con los
pagos de sus obligaciones.
Riesgo de rapidez
en realizar
transferencias
El tiempo requerido para transferir fondos a través del sistema financiero o
transferir, puede resultar en pérdidas en su valor.
Riesgo de
derivados
Transacciones de derivados indebidamente estructuradas pueden impedir a la
organización alcanzar sus objetivos.
Riesgo de
liquidación de
operaciones
Existe cuando una de las dos partes cumple con su obligación bajo el
contrato, cuando aún no ha recibido el valor correspondiente de la contraparte.
Riesgo de crédito Expone a la Empresa a costos de cobranza y pérdidas excesivas.
Riesgo de
reinversión
Cambios en los precios o tasa de interés que ocurran antes de que los flujos
de efectivo puedan ser reinvertidos y se obtienen rendimientos inferiores.
Riesgo de
garantía
La pérdida parcial o total del valor de un activo dado en garantía, expone a la
organización a una pérdida financiera
Riesgo de
incumplimiento
de contraparte
La falta de una contraparte en un contrato transferido a un intermediario que
subsecuentemente incurre en falta, expone a la organización a pérdidas
financieras.
Riesgos de la Información para la Toma de
Decisiones
Riesgo de determinación de
precios
La falta de información relevante que soporte la
determinación de precios, puede resultar en precios o
tarifas que los clientes no quieran pagar o que no cubran
los costos de desarrollo y otros costos.
Riesgo de compromiso de
contrato
La Empresa puede no tener información que le permita
evaluar los compromisos contractuales existentes de tal
manera que las decisiones para tomar compromisos
adicionales sean inadecuadas.
Riesgo de mediación La inexistencia de medidas causa conclusiones erróneas
Riesgo de alineación con la
estrategia
Consiste en que los objetivos y medidas de desempeño de
los procesos de la empresa no estén alineados con los
objetivos y estrategias globales.
Riesgo de información precisa,
completa y regulatoria
La información incompleta puede causar decisiones
equivocadas.
Riesgo de Contingencia
La falta de planes de contingencia o un inadecuado diseño
de los mismos, puede provocar que la Empresa interrumpa
sus operaciones regulares.
Riesgos de la Información Financiera
Riesgo de planificación
y presupuesto
La falta de información sobre planeación y presupuestos o que sea irreal,
puede causar conclusiones y decisiones financieras inapropiadas.
Riesgo de información
errónea e incompleta
Información financiera errónea e incompleta causa decisiones y conclusiones
inapropiadas.
Riesgo de información
contable
Sobre enfatizar el uso de información contable para manejar el negocio, resulta
en alcanzar ciertos objetivos financieros a costa de no cumplir con los objetivos
de satisfacción al cliente, calidad y eficiencia.
Riesgo de impuestos
Fallas en la obtención y evaluación de información relevante resulta en el
incumplimiento de regulaciones impositivas.
Riesgo de evaluación de
la información
financiera
Se deriva del hecho de que información emitida a inversores o acreedores
pueda tener errores u omisiones importantes que conduzcan a error en su
interpretación.
Riesgo de evaluación de
inversiones
La falta de información relevante y confiable que respalde las decisiones de
inversión puede resultar en pobres inversiones, a corto plazo.
Riesgo de informes a
reguladores
La emisión de información requerida por los reguladores que sea incompleta,
errónea o tardía expone a la Empresa a multas, penas y otros
Riesgo de fondos
Información errónea e incompleta derivada de compensación y beneficios
puede impedir que la empresa cumplir con sus obligaciones definidas.
Riesgos de la Evaluación Estratégica
Riesgo de evaluación del
entorno
Fallos en el seguimiento del entorno externo, puede causar que la Empresa conserve
estrategias más allá del tiempo establecidas hasta ser obsoletas.
Riesgo de diversificación
del negocio
La falta de información confiable y relevante puede impedir maximizar su actuación
global a una organización diversificada.
Riesgo de valor del negocio
La falta de información relevante y confiable del valor del negocio, puede impedir que
los dueños lleven a cabo un juicio informado sobre la empresa.
Riesgo de medición de
resultados
La falta de confiabilidad de medidas de desempeño, puede afectar negativamente la
habilidad de la empresa para alcanzar sus estrategias a largo plazo.
Riesgo de la estructura
organizacional
No hay la información necesaria para juzgar la efectividad de la estructura
organizacional de la empresa, afectando su capacidad de cambio y lograr sus objetivos
a largo plazo.
Riesgo de asignación de
recursos
Un proceso inadecuado de la distribución de recursos y de información que lo respalde,
puede impedir que se establezca y sostenga ventajas competitivas.
Riesgo de planificación
estratégica
Un proceso de planeación estratégico pesado y poco imaginativo puede resultar en
información irrelevante.
Riesgo de ciclo de vida
La falta de información relevante y confiable que permita a la Administración conducir
las actividades de sus líneas de productos y la evolución del ciclo de vida de sus
industrias o productos, amenaza la capacidad de la organización de permanecer
competitiva.

Más contenido relacionado

La actualidad más candente

PA 01 Control Interno Caso ENRON.docx
PA 01 Control Interno Caso ENRON.docxPA 01 Control Interno Caso ENRON.docx
PA 01 Control Interno Caso ENRON.docxJenniferMariluzCordo
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de RiesgosSandraDuranG
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Auditoria de rendimiento Agregar valor
Auditoria de rendimiento Agregar valorAuditoria de rendimiento Agregar valor
Auditoria de rendimiento Agregar valoricgfmconference
 
¿Qué son indicadores de riesgo?
¿Qué son indicadores de riesgo?¿Qué son indicadores de riesgo?
¿Qué son indicadores de riesgo?Riesgos Cero
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 PECB
 

La actualidad más candente (20)

PA 01 Control Interno Caso ENRON.docx
PA 01 Control Interno Caso ENRON.docxPA 01 Control Interno Caso ENRON.docx
PA 01 Control Interno Caso ENRON.docx
 
Nia 28 y 29
Nia 28 y 29Nia 28 y 29
Nia 28 y 29
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgo
 
ISO 9001: 2015 GESTIÓN DE RIESGOS
ISO 9001: 2015 GESTIÓN DE RIESGOSISO 9001: 2015 GESTIÓN DE RIESGOS
ISO 9001: 2015 GESTIÓN DE RIESGOS
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de Riesgos
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgos
 
Auditoria de rendimiento Agregar valor
Auditoria de rendimiento Agregar valorAuditoria de rendimiento Agregar valor
Auditoria de rendimiento Agregar valor
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
¿Qué son indicadores de riesgo?
¿Qué son indicadores de riesgo?¿Qué son indicadores de riesgo?
¿Qué son indicadores de riesgo?
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de Riesgos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 

Similar a Gestion de riesgos

Control Interno.pptx
Control Interno.pptxControl Interno.pptx
Control Interno.pptxgupeze191503
 
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptxFERNANDO RAUL ESTUPIÑAN ALEGRIA
 
Gestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxGestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxjenriquevasquez
 
Contralor_Sistema Control Interno Gestión Pública (1).pdf
Contralor_Sistema Control Interno Gestión Pública (1).pdfContralor_Sistema Control Interno Gestión Pública (1).pdf
Contralor_Sistema Control Interno Gestión Pública (1).pdfYuvicsaMarquinaBarda
 
Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014TVPerú
 
analisis y evaluacion de ctrl int. (coso)[1]
 analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]LauraMedina56
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Genny Paola Rojas
 
Diapositiva 25.06.14
Diapositiva 25.06.14Diapositiva 25.06.14
Diapositiva 25.06.14TVPerú
 
Present. control interno
Present. control internoPresent. control interno
Present. control internoGilmaCenteno
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe CosoUro Cacho
 
Introduccion-a-las-Normas-de-Control-Interno.pptx
Introduccion-a-las-Normas-de-Control-Interno.pptxIntroduccion-a-las-Normas-de-Control-Interno.pptx
Introduccion-a-las-Normas-de-Control-Interno.pptxmichellehua6
 
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdf
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdfJUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdf
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdfKevinSaavedraRuiz
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cgafdidocar
 
implementacion-sci-en-pension-65.pptx
implementacion-sci-en-pension-65.pptximplementacion-sci-en-pension-65.pptx
implementacion-sci-en-pension-65.pptxAnthonyBradConde
 
Introduccion al Control Interno - ASM.pptx
Introduccion al Control Interno - ASM.pptxIntroduccion al Control Interno - ASM.pptx
Introduccion al Control Interno - ASM.pptxANDREASALOMEMAURICIO
 
Documento técnico n° 70 implantación mantención y actualización del proces...
Documento técnico  n° 70   implantación mantención y actualización del proces...Documento técnico  n° 70   implantación mantención y actualización del proces...
Documento técnico n° 70 implantación mantención y actualización del proces...auditormilano
 

Similar a Gestion de riesgos (20)

Control Interno.pptx
Control Interno.pptxControl Interno.pptx
Control Interno.pptx
 
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
 
5ta. clase COSO
5ta. clase COSO5ta. clase COSO
5ta. clase COSO
 
Sesión III.pdf
Sesión III.pdfSesión III.pdf
Sesión III.pdf
 
Gestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxGestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptx
 
Contralor_Sistema Control Interno Gestión Pública (1).pdf
Contralor_Sistema Control Interno Gestión Pública (1).pdfContralor_Sistema Control Interno Gestión Pública (1).pdf
Contralor_Sistema Control Interno Gestión Pública (1).pdf
 
Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014
 
analisis y evaluacion de ctrl int. (coso)[1]
 analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)
 
Diapositiva 25.06.14
Diapositiva 25.06.14Diapositiva 25.06.14
Diapositiva 25.06.14
 
Control interno (1).pptx
Control interno (1).pptxControl interno (1).pptx
Control interno (1).pptx
 
El Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera GubernamentalEl Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera Gubernamental
 
Present. control interno
Present. control internoPresent. control interno
Present. control interno
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe Coso
 
Introduccion-a-las-Normas-de-Control-Interno.pptx
Introduccion-a-las-Normas-de-Control-Interno.pptxIntroduccion-a-las-Normas-de-Control-Interno.pptx
Introduccion-a-las-Normas-de-Control-Interno.pptx
 
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdf
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdfJUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdf
JUANLUQUE.Presentacinin_28_forum_auditors_Sitges.pdf
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cga
 
implementacion-sci-en-pension-65.pptx
implementacion-sci-en-pension-65.pptximplementacion-sci-en-pension-65.pptx
implementacion-sci-en-pension-65.pptx
 
Introduccion al Control Interno - ASM.pptx
Introduccion al Control Interno - ASM.pptxIntroduccion al Control Interno - ASM.pptx
Introduccion al Control Interno - ASM.pptx
 
Documento técnico n° 70 implantación mantención y actualización del proces...
Documento técnico  n° 70   implantación mantención y actualización del proces...Documento técnico  n° 70   implantación mantención y actualización del proces...
Documento técnico n° 70 implantación mantención y actualización del proces...
 

Más de Olenka Brizseida Dueñas Mandamientos

Más de Olenka Brizseida Dueñas Mandamientos (20)

apendicitis aguda.pptx
apendicitis aguda.pptxapendicitis aguda.pptx
apendicitis aguda.pptx
 
telemedicina y nanotecnologia.pptx
telemedicina y nanotecnologia.pptxtelemedicina y nanotecnologia.pptx
telemedicina y nanotecnologia.pptx
 
Trauma vertebromedular pre hospitalario
Trauma vertebromedular pre hospitalarioTrauma vertebromedular pre hospitalario
Trauma vertebromedular pre hospitalario
 
Traumas especiales
Traumas especialesTraumas especiales
Traumas especiales
 
Traumatismos traslasos
Traumatismos traslasosTraumatismos traslasos
Traumatismos traslasos
 
Vicios de refraccion
Vicios de refraccionVicios de refraccion
Vicios de refraccion
 
TBC infantil
TBC infantilTBC infantil
TBC infantil
 
Test proposito de la vida
Test proposito de la vidaTest proposito de la vida
Test proposito de la vida
 
Test habilidades sociales
Test habilidades socialesTest habilidades sociales
Test habilidades sociales
 
Test de tanner
Test de tannerTest de tanner
Test de tanner
 
Test chaside (vocacion)
Test chaside (vocacion)Test chaside (vocacion)
Test chaside (vocacion)
 
TEPSI
TEPSITEPSI
TEPSI
 
Tepsi trabajo de presentacion
Tepsi trabajo de presentacion Tepsi trabajo de presentacion
Tepsi trabajo de presentacion
 
Salud y alimentacion
Salud y alimentacionSalud y alimentacion
Salud y alimentacion
 
Rotafolio de lavado de manos
Rotafolio de lavado de manosRotafolio de lavado de manos
Rotafolio de lavado de manos
 
Rcp 2015
Rcp 2015Rcp 2015
Rcp 2015
 
Poliedros recortables
Poliedros recortablesPoliedros recortables
Poliedros recortables
 
Poliedros
PoliedrosPoliedros
Poliedros
 
Poliedros
Poliedros Poliedros
Poliedros
 
Libro de medicina tradicional
Libro de  medicina tradicionalLibro de  medicina tradicional
Libro de medicina tradicional
 

Último

terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptx
terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptxterminologia NIÑO Y ADOLESCENTE Y SAKUD.pptx
terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptxrosi339302
 
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdf
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdfPresentación Propuesta de Proyecto Orgánico Naranja y Verde.pdf
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdfjuancmendez1405
 
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptx
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptxGRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptx
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptxmuriespi1583
 
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)Cristian Carpio Bazan
 
definiciones de contusiones tratados de medicina legal
definiciones de contusiones tratados de medicina legaldefiniciones de contusiones tratados de medicina legal
definiciones de contusiones tratados de medicina legalratxeldistrict12
 
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisirán
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisiránePóster. Reducciones c-LDL el primer año de tratamiento con inclisirán
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisiránSociedad Española de Cardiología
 
Clase 8 Miembro Superior Osteologia 2024.pdf
Clase 8 Miembro Superior Osteologia 2024.pdfClase 8 Miembro Superior Osteologia 2024.pdf
Clase 8 Miembro Superior Osteologia 2024.pdfgarrotamara01
 
CHAGAS CONGÉNITO EXPO.pdfchagascongenito
CHAGAS CONGÉNITO EXPO.pdfchagascongenitoCHAGAS CONGÉNITO EXPO.pdfchagascongenito
CHAGAS CONGÉNITO EXPO.pdfchagascongenitoFERRUFINOCASTELLONYU
 
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdf
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdfpdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdf
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdfjesner muñoz
 
01 Espirometría resumen uss 2024-1 docs
01 Espirometría resumen uss 2024-1 docs01 Espirometría resumen uss 2024-1 docs
01 Espirometría resumen uss 2024-1 docsMaraBelnFernndezRami
 

Último (20)

Estudio VICTORION-INITIATE
Estudio VICTORION-INITIATEEstudio VICTORION-INITIATE
Estudio VICTORION-INITIATE
 
terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptx
terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptxterminologia NIÑO Y ADOLESCENTE Y SAKUD.pptx
terminologia NIÑO Y ADOLESCENTE Y SAKUD.pptx
 
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdf
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdfPresentación Propuesta de Proyecto Orgánico Naranja y Verde.pdf
Presentación Propuesta de Proyecto Orgánico Naranja y Verde.pdf
 
Estudio KARDIA-2
Estudio KARDIA-2Estudio KARDIA-2
Estudio KARDIA-2
 
Estudio STEP HFpEF DM
Estudio STEP HFpEF DMEstudio STEP HFpEF DM
Estudio STEP HFpEF DM
 
Estudio IMPROVE-HCM
Estudio IMPROVE-HCMEstudio IMPROVE-HCM
Estudio IMPROVE-HCM
 
(2024-11-04) Patologia anorectal (ptt).pptx
(2024-11-04) Patologia anorectal (ptt).pptx(2024-11-04) Patologia anorectal (ptt).pptx
(2024-11-04) Patologia anorectal (ptt).pptx
 
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptx
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptxGRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptx
GRUPO 1 CRANEOTOMIA Y CRANIECTOMIA PPT FINAL.pptx
 
Estudio PREVENT
Estudio PREVENTEstudio PREVENT
Estudio PREVENT
 
Estudio RELIEVE-HF
Estudio RELIEVE-HFEstudio RELIEVE-HF
Estudio RELIEVE-HF
 
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)
ALERTA PARKINSON X DR. CRISTIAN CARPIO (11 ABRIL 2024)
 
definiciones de contusiones tratados de medicina legal
definiciones de contusiones tratados de medicina legaldefiniciones de contusiones tratados de medicina legal
definiciones de contusiones tratados de medicina legal
 
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisirán
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisiránePóster. Reducciones c-LDL el primer año de tratamiento con inclisirán
ePóster. Reducciones c-LDL el primer año de tratamiento con inclisirán
 
Clase 8 Miembro Superior Osteologia 2024.pdf
Clase 8 Miembro Superior Osteologia 2024.pdfClase 8 Miembro Superior Osteologia 2024.pdf
Clase 8 Miembro Superior Osteologia 2024.pdf
 
Estudio ORBITA-COSMIC
Estudio ORBITA-COSMICEstudio ORBITA-COSMIC
Estudio ORBITA-COSMIC
 
CHAGAS CONGÉNITO EXPO.pdfchagascongenito
CHAGAS CONGÉNITO EXPO.pdfchagascongenitoCHAGAS CONGÉNITO EXPO.pdfchagascongenito
CHAGAS CONGÉNITO EXPO.pdfchagascongenito
 
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdf
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdfpdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdf
pdfcoffee.com_embriologia-arteaga-3-edicion-5-pdf-free-1.pdf
 
01 Espirometría resumen uss 2024-1 docs
01 Espirometría resumen uss 2024-1 docs01 Espirometría resumen uss 2024-1 docs
01 Espirometría resumen uss 2024-1 docs
 
(2024-04-10) TÉCNICA ROVIRALTA (ppt).pdf
(2024-04-10) TÉCNICA ROVIRALTA (ppt).pdf(2024-04-10) TÉCNICA ROVIRALTA (ppt).pdf
(2024-04-10) TÉCNICA ROVIRALTA (ppt).pdf
 
Estudio DANGER
Estudio DANGEREstudio DANGER
Estudio DANGER
 

Gestion de riesgos

  • 1. Gestión de Riesgos Ing. Franklin Aranaga Meneses Órgano de Control Institucional Octubre, 2012
  • 2. Agenda I. Objetivos del taller II. Conceptos III. Modelo: Norma AS/NZS 4360:2004 IV. Aspectos a tener en cuenta V. Pasos sugeridos VI. Beneficios de la gestión de riesgos VII.Roles 2
  • 3. I. Objetivos del taller Presentar el marco conceptual de la Gestión de Riesgos Valorar el rol activo de los funcionarios y empleados públicos en la implementación del control interno en los procesos administrativos y operativos de la entidad Destacar la importancia de la gestión de riesgos en un manejo eficiente y orientado al cumplimiento de los objetivos institucionales Mejorar la cultura de control interno en el FONCODES. 3
  • 4. II. Conceptos a) Riesgo b) Control c) Gobierno d) Control Interno e) Mapa de Riesgos f) Gestión de Riesgos g) Apetito por el riesgo h) Tolerancia al riesgo 4
  • 5. II. Conceptos a) Riesgo: La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad. Por otro lado peligro es la potencialidad de ocurrencia de un daño, pérdida o lesión 5
  • 7. II. Conceptos 7 Peligro: cualquier cosa que puede causar daño Ejemplo: escaleras = un peligro Gente subiendo o bajando =situación peligrosa (personal interactuando con el peligro) Tropezón o resbalón =evento peligroso (expone a una persona a daño) Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html
  • 9. II. Conceptos • Inherente:Inherente: es aquel que está directamente relacionado con la naturaleza de los procesos desarrollados, en ausencia de controles. • ResidualResidual es el riesgo subsistente una vez aplicados los controles. Riesgo residual = Riesgo inherente - ControlRiesgo residual = Riesgo inherente - Control 9
  • 10. II. Conceptos b) Control: Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas. 10
  • 11. II. Conceptos 11 Riesgo Administrado Ineficacia por exposición Ineficacia por controles Desinformado Gerenciado Obsesionado - Controles + Logro de Objetivos Alto Bajo Ineficacia por controles Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
  • 12. II. Conceptos c) Gobierno: La combinación de procesos y estructuras implantados por el Consejo de Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin de lograr sus objetivos. 12
  • 13. II. Conceptos d) Control Interno: Concepto fundamental de la administración y control, aplicable en las entidades del Estado para describir las acciones que corresponde adoptar a sus titulares y funcionarios para preservar, evaluar y monitorear las operaciones y la calidad del servicio. 13
  • 14. II. Conceptos d) Control Interno: Conforme al COSO, es un proceso efectuado por el Directorio de una organización, la gerencia y demás personal, diseñado para proveer seguridad razonable respecto al logro de los objetivos relacionados con: – Efectividad y eficiencia de las operaciones – Confiabilidad de los reportes financieros – Cumplimiento con leyes y regulaciones aplicables 14
  • 15. II. Conceptos • Coso: Corresponde a las siglas en inglés del comité de Organizadores y Patrocinadores de la Comisión Treadway, organismos que en conjunto emitieron el informe con recomendaciones referentes al Control Interno que lleva su nombre. • Origen: Estados Unidos, 1985, se forma una comisión patrocinada diversas instituciones, con el objetivo de identificar las causas de la presentación de información financiera en forma fraudulenta o falsificada. • En 1987 emite un informe que contenía una serie de recomendaciones en relación al control interno de cualquier empresa u organización. • La comisión Treadway, debatió durante más de cinco años y finalmente en 1992, se emite el informe COSO, el cual tuvo gran aceptación y difusión en gran parte debido a la diversidad y autoridad que posee el grupo que se hizo cargo de la elaboración del Informe. Monitoreo (Seguimiento) Operaciones Reporte Cumplimiento UnidadA UnidadB Actividad1 Actividad2 Información y Comunicación Actividades de Control Evaluación de Riesgos Ambiente de Control  COSO : Control Interno - Marco Conceptual Integrado 15
  • 16. II. Conceptos 16 1992 2002 2004 2008 COSO I Control Interno Marco Integrado (Comisión Treadway) Ley Marco Modernización del Estado Ley Nº 27658 Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República Nº 27785 - CGR COSO II Gestión de Riesgos Corporativos – Marco Integrado 2006 Ley Nº 28716 de Control Interno de las Entidades del Estado Ley Normas de Control Interno RC 320-2006-CGR Guía para la Implementación del Control Interno RC 458-2008 - CGR 2011 2009 D.U Nº 067-2009 Decreto de Urgencia que modifica el Art. 10 de la Ley Nª 28716 Ley Nº 29743 – Ley que modifica el Articulo 10ª de la Ley Nº 28716, Ley de Control Interno de las Entidades del Estado Evolución del Control Interno en el Perú
  • 17. 17 Ley 27785, ART. 2°, OBJETO DE LA LEY propender al: Ley 27785, ART. 2°, OBJETO DE LA LEY propender al: APROPIADO OPORTUNO Y EFECTIVO Ejercicio del control gubernamental para APROPIADO OPORTUNO Y EFECTIVO Ejercicio del control gubernamental para PREVENIR Y VERIFICAR Mediante Aplicación de: PREVENIR Y VERIFICAR Mediante Aplicación de: PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOS la: PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOS la: CORRECTA EFICIENTE Y TRANSPARENTE Utilización y gestión de los recursos y bienes del Estado. Desarrollo honesto y probo de las funciones y actos de las: Autoridades, Funcionarios y Servidores Público. Cumplimiento de metas y resultados por las instituciones finalidad Contribuir y orientar el mejoramiento de sus actividades y servicios en beneficio de la Nación. II. Conceptos
  • 18.  Promover y optimizar la eficiencia, eficacia, transparencia y economía en las operaciones de la entidad, así como la calidad de los servicios públicos que presta;  Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo hecho irregular o situación perjudicial que pudiera afectarlos;  Cumplir la normatividad aplicable a la entidad y a sus operaciones;  Garantizar la confiabilidad y oportunidad de la información;  Fomentar e impulsar la práctica de valores institucionales;  Promover el cumplimiento de los funcionarios o servidores públicos de rendir cuentas por los fondos y bienes públicos a su cargo o por una misión u objetivo encargado y aceptado. II. Conceptos 18 Objetivos de la implantación del Control Interno (Ley N° 28716)
  • 19. II. Conceptos 19 Componente Norma General Normas Básicas (35) Ambiente de Control (Entorno organizacional favorable y sensibilización) Filosofía de la Dirección, Integridad y los valores éticos, Administración estratégica, Estructura organizacional, Administración de RR.HH., Competencia profesional, Asignación de autoridad y responsabilidades, Órgano de Control Institucional. Evaluación de Riesgos (Identificación y análisis de los riesgos) Planeamiento de la administración de riesgos, identificación de los riesgos, valoración de los riesgos, respuesta al riesgo. Actividades de Control G. (Políticas y procedimientos relacionados a la administración de los riesgos) Procedimientos de autorización y aprobación, Segregación de funciones, Evaluación costo-beneficio, Controles sobre el acceso a los recursos o archivos, Verificaciones y conciliaciones, Evaluación de desempeño, Rendición de cuentas, Revisión de procesos, actividades y tareas, Controles para las TIC. Información y Comunicación (Métodos, procesos, canales, medios y acciones que aseguren el flujo de la información con calidad y oportunidad) Funciones y características de la información, Información y responsabilidad, Calidad y suficiencia de la información, Sistemas de información, Flexibilidad al cambio, Archivo institucional, Comunicación interna y externa. Supervisión (El SCI esta sujeto a supervisión a fin de evaluar su eficacia y calidad) Prevención y monitoreo, Monitoreo oportuno del control interno, Reporte de deficiencias, Seguimiento e implementación de medidas correctivas, Autoevaluación, Evaluaciones independientes. Resolución 320-2006-CG
  • 20. II. Conceptos 20 Ambiente de Control Operaciones Reporte Cumplimiento UnidadA UnidadB Actividad1 Actividad2 Evaluación de Riesgos Actividades de Control Información y Comunicación Monitoreo COSO: Marco conceptual integrado, 1992 COSO ERM: Marco de Gestión Integral de Riesgo, 2004
  • 21. II. Conceptos e) Mapa de Riesgos: representación gráfica (usualmente en cuadrantes) de los riesgos de una entidad/proceso/procedimiento, conforme a un criterio de probabilidad e impacto f) Gestión de Riesgos: un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización. 21
  • 22. II. Conceptos • Es un proceso continuo que fluye por toda la entidad • Es realizado por su personal en todos los niveles de la organización • Se aplica en el establecimiento de la estrategia • Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad • Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado • Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad • Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse 22
  • 23. 23 II. Conceptos Proceso de Gestión de Riesgos Arquitectura de riesgos Estrategia de riesgos Protocolos de riesgos • La arquitectura de riesgos especifica los roles, responsabilidades, comunicación y estructura de reporte de los riesgos • La estrategia de riesgos, apetito, actitudes y filosofía están definidas en la política de gestión de riesgos • Los protocolos de riesgos son presentados en la forma de lineamientos de riesgos para la organización e incluyen las reglas y los procedimientos, así como la identificación de la metodología a emplear, herramientas y técnicas que deberán ser usadas Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
  • 24. Una política de gestión de riesgos debería incluir lo siguiente: – Objetivos de control interno y de gestión de riesgos (gobierno) – Una declaración de la actitud de la organización para con los riesgos (estrategia) – Descripción de la cultura consciente de los riesgos o ambiente de control – Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo) – Organización de la gestión de riesgos y acuerdos (arquitectura) – Detalle de los procedimientos para el reconocimiento de riesgos y su priorización (evaluación de riesgos) – Lista de documentación para analizar y reportar riesgos (protocolos de riesgo) – Requerimientos de mitigación de riesgos y mecanismos de control (respuesta al riesgo) – Asignación de los roles de la administración y sus responsabilidades – Prioridades y temas de entrenamiento en gestión de riesgos – Criterios para efectuar el monitoreo y benchmarking de riesgos – Asignación de los recursos apropiados para la gestión de riesgos – Actividades y prioridades relacionadas a la gestión de riesgos para el año venidero 24 II. Conceptos Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
  • 25. II. Conceptos g) Apetito por el riesgo: el nivel de riesgo que la organización está dispuesta a asumir en su búsqueda de rentabilidad y valor h) Tolerancia al riesgo: el nivel de variación que la organización está dispuesta a asumir en caso de desviación a los objetivos empresariales trazados 25
  • 26. II. Conceptos 26 Probabilidad Impacto Bajo Medio Alto BajoMedioAlto Excediendo el Apetito de Riesgo Dentro del Apetito de Riesgo Meta Fijada Tiempo Estrategia de negocio Límite de tolerancia Desempeño Real Variación Inaceptable Límite de toleranciaVariación Inaceptable Fuente: Gestión Integral de Riesgos. PWC. 2009 Apetito por el riesgo Tolerancia al riesgo
  • 27. III. Modelo: Norma AS/NZS 4360:2004 • Norma Australiana / Neozelandesa publicada en 1995, 2ed en1999 y 3ed 2004 • Suministra una guía genérica para la gestión de riesgos en general, “Enterprise Risk Management (ERM)”. 27
  • 28. • Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. 28 III. Modelo: Norma AS/NZS 4360:2004
  • 29. III. Modelo: Norma AS/NZS 4360:2004 29 Comunicación y consulta Monitoreo y revisión 1. Establecer el contexto Objetivos Grupos de interés Criterios Definir elementos clave 2. Identificación de riesgos Qué puede suceder ? Cómo puede suceder ? 3. Análisis de riesgos Revisar controles Probabilidades Consecuencias Nivel de riesgo 4. Evaluar los riesgos Evaluar riesgos Ranking 5. Tratar los riesgos Identificar opciones Seleccionar las mejores respuestas Desarrollar planes de gestión de riesgos Implementar
  • 30. 1. Establecer el contexto • Identificar una persona con el conocimiento (control interno y riesgos) a nivel operativo • La organización está basada en la gestión por procesos? Tiene metas y resultados esperados? • Identificar los objetivos institucionales – grupal • Recordaris: riesgo es todo aquello que pudiera afectar el logro de los objetivos • Se puede comenzar por riesgos de la entidad y luego bajar a nivel de cada proceso, comenzando por los más críticos • Es importante la participación de todas las partes interesadas • Posteriormente se pueden clasificar y definir los tipos de riesgos 30
  • 31. 2. Identificación de Riesgos • Esta etapa busca identificar los riesgos que deben ser gestionados • Riesgo que no sea identificado, es excluido en cualquier análisis posterior • Qué puede suceder: impida el logro de los objetivos o responsabilidades asignadas, afecte la eficiencia de mis funciones, genere pérdidas (tiempo, imagen, recursos, etc.) • Los riesgos se identifican independientemente de que estén bajo el control de la entidad o no 31
  • 32. 2. Identificación de Riesgos 32 Herramientas y Técnicas de identificación de riesgos Técnicas de Diagramación Tormenta de Ideas Técnica Delphi Cuestionarios y encuesta Análisis FODA Entrevistas Diagrama causa/efecto Diagrama flujo de proceso Inventario de Riesgo
  • 33. 2. Identificación de Riesgos 33 Clasificación del riesgo: • Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. • Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. • Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. • Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. • Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.
  • 34. 2. Identificación de Riesgos 34 Riesgo de focalización: que los diferentes esfuerzos de entidades del Estado no sean identificados y por lo tanto no se atienda apropiadamente a la población objetivo. El proceso de definición de la población objetivo podría contemplar un enfoque integral de acción del Estado, tanto del gobierno nacional, como así también de los gobiernos locales y regionales; asimismo el identificar las actividades versus los actores podría colaborar en identificar matricialmente "cruces" en las intervenciones, evitando que el Estado invierte dos veces en lo mismo, deje desantendidos a grupos poblacionales o atienda insuficientemente Riesgo de control de resultados: el no contar con herramientas que permitan medir el desempeño, conforme a metas en el tiempo y que las mismas cumplan con los resultados esperados, conlleva a un riesgo de no controlar adecuadamente las actividades, para ello podría necesitarse desarrollar una normatividad apropiada, un esquema de control permanente de los indicadores, gestión de riesgos y capacitación de los trabajadores promoviendo su especialización Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como puede ser: ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando sinergias tanto en calidad de recursos, oportunidad en la intervención y brechas a cubrir Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de capacidades productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los ayude a viabilizar mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse iniciativas positivas, que sin embargo por una falta de control y orientación no logren los resultados esperados Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean categorizados ni se estimen factores que permitan discernir la prioridad en la asignación del capital en base a identificar los riesgos, asimismo que el resultado del emprendimiento no sea medible o no se establezcan metas, con el consiguiente esquema de control Riesgos estratégicos del FONCODES
  • 35. Categorías de Riesgos 35 Estratégico La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno (riesgo político), competencias claves de la empresa y en el proceso de generación e innovación de valor. Operacional La posibilidad de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal y de cumplimiento. Reputación La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización. Financiero Relacionados a inadecuado manejo financiero de la organización, sus inversiones y activos (crediticio, tesorería, mercado) Fuente: Resolución SBS N° 037-2008 Categorías de Riesgos
  • 36. 2. Identificación de Riesgos 36 Frecuencia (P ro babilidad) Impacto Nivel del R ies go M adurez de la G es tió n del Ries go A ccio nes de M o nito reo R es po ns able 1 Fallaen el SAGU Personal capacitado ycon experiencia,Gestión del SAGU Operacional 2 4 2 Moderado Media Implementadas Supervisor 2 Carencia deun adecuado enfoque Metodología para la Formulación,Información para el planeamiento, Personal capacitado y con experiencia, Directiva de CGR, Comunicación con la Gerencia de Línea, Estimación de tiempos, Inventario de riesgos y controles Operacional 1 4 2 Moderado Alta En proceso Jefatura del OCI 2.00 Moderado 3 Presentación inoportuna Directiva de CGR,Comunicacióncon la Gerencia de Línea,Remisión oportuna ala CGR,Gestión del SAGU Estratégico 2 4 2 Moderado Alta Implementadas Jefatura del OCI 2.00 2.00 Mo derado Acción de la Administración PROCESO ESTRATEGICO Formulación y aprobación del PAC Fo rmulació n Resultado Incidencia en O bjetivo s Es tratégico s Evento de R ies go AUDITORIA ENCAMPO Co ntro l Catego ría del R ies go Apro bació n Resultado parcial Resultado parcial
  • 37. 2. Identificación de Riesgos 37 Nivel Criterio Descripción 1 B a jo Requiere monitoreo periódico a fin de mantener los riesgos en este nivel Incumplimiento parcial de normas y procedimientos internos dentro del periodo evaluado (no repetitivo). 4 (O ptim o ) 2 M o dera do Requiere atención de la Gerencia Incumplimiento reiterativo de procedimientos internos dentro del periodo evaluado. 3 (Im ple m e nta do ) Desactualización de normas y procedimientos internos relacionados con la administración de activos, recursos entre otros. 3 A lto Requiere atención urgente de las Gerencias responsables Afectación al cumplimiento de los objetivos operativos. 2 (En P ro c e s o ) Atención y servicio al cliente (trascendencia publica local) Perdidas y/o multas por incumplimiento de normatividad interna y externa (< o = al 50%porciento de la materialidad). Omisión en la aplicación de controles criticos en los procesos operativos y de soporte. Carencia de normas y procedimientos internos relacionados con la administración activos y recursos. Omision en la implantacion de recomendaciones en dos periodos consecutivos. NIVEL DE RIESGO Criterios Fundamentales Equivalente Nivel del Riesgo / Madurez 4 Extre m o Requiere de atención urgente de la Alta Direccion Afectación al cumplimiento de los objetivos estrategicos. 1 (Ine xis te nte / Inic ia l) Afectación de la imagen institucional (trascendencia pública a nivel nacional) Interrupción de las operaciones que afecten la prestacion de los servicios y que generen un efecto economico negativo. Fraudes, robos e irregularidades intencionales. Perdidas y/o multas por incumplimiento de normatividad interna y externa (> al 50%porciento de la materialidad). Omisión en la aplicación de controles criticos en los procesos estrategicos, operativos y soporte.
  • 38. Estados del monitoreo 38 Categoría Concepto Implementadas Las acciones del responsable han sido las apropiadas en el tiempo comprometido En proceso Algunas acciones se encuentran desfasadas o en proceso de implementación Pendientes No se evidencias acciones en la gestión del riesgo Acciones de Monitoreo
  • 39. 3. Análisis de Riesgos • El análisis de riesgos involucra prestar consideración a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias • Implica determinar: fuentes del riesgo, posibilidad, consecuencias, responsables, acciones • La lista de riesgo debe ser excluyente • Se deben identificar los controles o acciones que ayuden a minimizarlos 39
  • 40. 3. Análisis de Riesgos • Cualitativos. El análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. • Semi-cuantitativos. El número asignado a cada descripción no tiene que guardar una relación precisa con la magnitud real de las consecuencias o probabilidades. • Cuantitativos. Uso de datos numéricos para la determinación de los riesgos. 40
  • 41. 4. Evaluar los riesgos • La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente • El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos (tratamiento de riesgos y la prioridad) 41
  • 42. 4. Evaluar los riesgos 42 Nivel Descripción Nivel Descripción 1 Improbable 1 Insignificante 2 Poco probable / Raro 2 M enor 3 Probable 3 M oderado 4 Potencial 4 M ayor 5 Casi cierto 5 Catastrofico NIVEL DE PROBABILIDAD NIVEL DE IMPACTO Concepto Concepto Puede ocurrir en algún momento El riesgo tiene un efecto nulo o pequeño, en el desarrollo del proceso - baja perdida financiera Se espera que ocurra en la mayoria de circunstacias El proceso es gravemente dañado - Enorme perdida financiera Puede ocurrir sólo en circunstancias excepcionales El desarrollo del proceso sufre un daño menor - Con perdida financiera menor Probablemente ocurriria en la mayoria de circunstancias El desarrollo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectación financiera Puede ocurrir en la mayoría de circunstancias El desarrollo del proceso es afectado significativamente - Pérdida financiera mayor
  • 43. 4. Evaluar los riesgos 43 Catastrófico Mayor Moderado Menor Insignificante Rara vez Ocasional Poco frecuente Frecuente Muy frecuente Extremo Moderado Moderado Alto Extremo Extremo IMPACTO Moderado Alto Alto Extremo Bajo Moderado Alto Alto Alto FRECUENCIA Bajo Moderado Moderado Moderado Alto Bajo Bajo Bajo Moderado Moderado Matriz de riesgos
  • 44. 4. Evaluar los riesgos 44 Análisis Cualitativo Análisis Cuantitativo ProbabilidadProbabilidad ImpactoImpacto Probable Posible Improbable Leve Moderado Catastrófico Probabilidad de ocurrencia Nivel Calificación 0 – 25 Improbable 1 26- 70 Posible 2 71- 100 Probable 3 Impacto Nivel Calificación 0 – 25 Leve 10 26- 70 Moderado 20 71- 100 Catastrófico 30
  • 45. 4. Evaluar los riesgos 45 Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
  • 46. 4. Evaluar los riesgos 46 Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
  • 47. 4. Evaluar los riesgos 47 Presentación KPMG Advisory
  • 48. 5. Tratar los riesgos • El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos • Evaluar las opciones para tratar los riesgos • Preparar planes de tratamiento • Implementar planes de tratamiento 48
  • 49. 5. Tratar los riesgos 49 Aceptar el Riesgo • Auto-asegurarse (Self-insuring) contra pérdidas • Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Compartir el Riesgo • Compra de seguros contra pérdidas inesperadas significativas • Contratación de outsourcing para procesos del negocio • Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Mitigar el Riesgo • Fortalecimiento del control interno en los procesos del negocio • Diversificación de productos • Establecimiento de límites a las operaciones y monitoreo • Reasignación de capital entre unidades operativas Evitar el Riesgo • Reducir la expansión de una línea de productos a nuevos mercados • Vender una división, unidad de negocio o segmento geográfico altamente riesgoso • Dejar de producir un producto o servicio altamente riesgoso Aceptar el Riesgo • Auto-asegurarse (Self-insuring) contra pérdidas • Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Compartir el Riesgo • Compra de seguros contra pérdidas inesperadas significativas • Contratación de outsourcing para procesos del negocio • Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Mitigar el Riesgo • Fortalecimiento del control interno en los procesos del negocio • Diversificación de productos • Establecimiento de límites a las operaciones y monitoreo • Reasignación de capital entre unidades operativas Evitar el Riesgo • Reducir la expansión de una línea de productos a nuevos mercados • Vender una división, unidad de negocio o segmento geográfico altamente riesgoso • Dejar de producir un producto o servicio altamente riesgoso Fuente: Gestión Integral de Riesgos. PWC. 2009
  • 50. 5. Tratar los riesgos 50 Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.
  • 51. Monitoreo y revisión • Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos 51
  • 52. Comunicación y consulta • La comunicación y consulta son una consideración importante en cada paso del proceso de administración de riesgos • Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por implementar la administración de riesgos, y aquellos con intereses creados comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular • Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riesgos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenidas en cuenta 52
  • 53. IV. Aspectos a tener en cuenta… • Impulsar desde el más alto nivel la implementación del Sistema de Control Interno (SCI) • Realizar talleres de capacitación y aprestamiento sobre control interno y gestión de riesgos • Incorporar en los documentos de gestión la responsabilidad de cada trabajador en el control interno y la gestión de riesgos • Establecer progresivamente un lenguaje común respecto a la gestión de riesgos (categorías, definiciones, políticas, responsabilidades, metas, indicadores, normatividad, etc.) • Identificar y adaptar una metodología a las necesidades de FONCODES • Expresar y comunicar los objetivos de la organización, a través del uso de indicadores de desempeño • Identificar las amenazas potenciales para el logro de los objetivos • Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan • Seleccionar e implementar respuestas ante los riesgos • Priorizar los riesgos • Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes periódicamente • Comunicar la información sobre riesgos de manera coherente en todos los niveles de la organización • Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus resultados • Determinar el grado de aceptación de riesgos de la organización • Establecer un entorno interno adecuado, que incluya un enfoque de gestión de riesgos. 53
  • 54. V. Pasos sugeridos • Capacitación en: control interno, riesgos, procesos, indicadores • Identificar instrumentos para recolectar información • Listar los objetivos institucionales, tomando en cuenta la misión • Clasificar los procesos, actividades y las tareas • Designar un responsable por proceso y progresivamente incorporar la documentación y normatividad respectiva • Identificar los riesgos y controles más importantes de la entidad • Valorar los riesgos • Cruzar los riesgos vs. procesos • Elaborar planes de acción, responsables y metas • Evaluar la eficacia y las brechas encontradas • Mantener y actualizar 54
  • 55. V. Pasos sugeridos 55 Seleccionar procesos clave Comprender los procesos Fuente de los riesgos Documentar controles clave Evaluar el diseño Efectividad de los controles Reporte • Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupción • Considerar insumos de materialidad e importancia • Comprender las actividades y los procedimientos • Identificar reportes contables o de la gestión de proyectos, a fin de establecer materialidad • Cruzar riesgos vs. procesos • Documentar controles a nivel entidad • Documentar otros controles • Documentar controles a nivel preventivo y detectivos en los procesos principales • Evaluar la efectividad del diseño de los controles a nivel entidad • Tomar acciones de mejora sobre las deficiencias encontradas • Evaluar la efectividad de los controles a nivel entidad y de procesos • Remediar deficiencias a través de la implementación de recomendaciones • Concluir • Comunicar • Reportar • Cuáles son los riesgos a que se encuentran expuestos los procesos? • En qué actividades se encuentran los riesgos? • Cuáles son los controles clave? • Quién es propietario de los controles clave? • Cómo se encuentra el diseño de los controles ? • Cuáles son los riesgos de falla de los controles? • Cuál es el desempeño de los controles? • Existen debilidades materiales o de cumplimiento?Fuente: Adaptación de un esquema de Protiviti Objetivos institucionales
  • 56. V. Pasos sugeridos 56 Fuente: Gestión Integral de Riesgos (ERM). Deloitte. Fernando Gaziano. 2007
  • 57. V. Pasos sugeridos 57 Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006
  • 58. V. Pasos sugeridos 58 Fuente: Administración de Riesgos. KPMG. 2010. Juan José Descailleaux
  • 59. VI. Beneficios de la Gestión de Riesgos • Colabora en la implementación del sistema de control interno (Resolución de Contraloría General Nº 458-2008-CG) • Mayor probabilidad del logro de los objetivos organizacionales • Incrementa la confianza en la habilidad de una organización para anticipar, priorizar y superar obstáculos para alcanzar sus metas • Mayor comprensión de los riesgos clave y sus implicancias más amplias • Identificación e intercambio de conocimientos sobre riesgos cruzados • Mayor atención de la Alta Dirección a problemas realmente importantes • Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley N° 28716, Ley de Control Interno de las entidades del Estado y Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República) • Mayor atención internamente para hacer lo correcto de la manera correcta • Mayor probabilidad de que se logren las iniciativas de cambio • Toma de decisiones más informadas, a nivel estratégico y operativo • Coadyuva a la gestión de un presupuesto por resultados • Fomenta el orden interno (gestión por procesos, establecimiento de indicadores de desempeño, identificación de controles, desarrollo de procedimientos, normatividad, etc.) • Progresivamente la administración podrá asumir procesos de autoevaluación de control • Brinda transparencia a la gestión, interna y externamente • Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad • Actualización de conocimientos de los profesionales en temas de: gestión por procesos, control interno, indicadores, riesgos, etc. 59
  • 60. VII. Roles 60 Alta Dirección Responsable de la efectividad del SCI Auditoría Interna Brinda evaluación independiente •Retroalimentación sobre la gestión de riesgos y controles •Monitorea el proceso de implementación del SCI y efectividad de la gestión de riesgos •Alinea los principales riesgos con el Plan Anual de Control Comité de Riesgos / Auditoría * Supervisa y ejecuta el control de calidad a las actividades del SCI Propietarios de los Riesgos Implementan y reportan las acciones * En caso exista alguno de ellos en la entidad
  • 62. Riesgo de competencia Competidores importantes o nuevos intrusos en el mercado puede tener ventajas competitivas sobre la Empresa y amenazar su habilidad para sobrevivir. Riesgo de sensibilidad Sobre comprometer los recursos y los flujos futuros esperados, afecta la capacidad de la organización para enfrentar cambios en el entorno. Riesgo de relaciones con accionistas Una caída en la confianza de los inversores destruye la habilidad de la Empresa para obtener capital eficientemente. Riesgo de disponibilidad de capital La Empresa no tiene un acceso eficiente al capital que necesita para financiar su crecimiento, llevar a cabo su estrategia y generar los resultados financieros futuros. Riesgo de desastres naturales Puede amenazar la habilidad de la organización de sostener sus operaciones, proveer los productos y servicios esenciales o recuperar sus costos operacionales. Riesgo político y de soberanía Acciones políticas adversas en un país, en la cual la Empresa ha invertido en forma importante o depende un volumen significativo del negocio, puede amenazar los recursos y los flujos de caja futuros de la Empresa. Riesgo legal En las leyes pueden amenazar la capacidad de la Empresa para llevar a cabo acciones importantes y poner en vigor acuerdos contractuales o implementar estrategias. Riesgo de regulación Cambios en las regulaciones, puede ocasionar un aumento en las presiones competitivas y afectar la habilidad de la Empresa para llevar a cabo en forma eficiente su negocio. Riesgo de industria Cambios en las oportunidades y en los obstáculos, así como en la capacidad de los competidores y en otras condiciones que pueden afectar la industria en que actúa la Empresa. Riesgos de mercados financieros Precios de los activos financieros. Tasa de un indicador base, tal como tasa de interés. Un índice, tal como el de mercado de valores u otro índice similar, puede afectar negativamente el valor de los activos financieros en la organización. Riesgos del Entorno
  • 63. Riesgo de operaciones Estos se derivan de que las operaciones sean ineficientes e ineficaces en satisfacer a los clientes y alcanzar los objetivos que tiene la Empresa. Riesgos de satisfacción al cliente Una empresa que no escuche a los clientes no va a entender o desarrollar los productos con las características o elementos de servicios para mantenerse competitivo. Riesgos de eficiencia Operaciones ineficientes amenazan la capacidad de la organización de producir servicios a un costo igual o menor que los costos incurridos por los competidores o por empresas a nivel mundial. Riesgos de capacidad productiva Una capacidad insuficiente o un exceso de capacidad amenaza la habilidad de la Empresa de generar márgenes adecuados en un mercado competitivo. Riesgos de diferencial con competencia La inhabilidad de actuar a un nivel o clase mundial en términos de calidad de costos, amenazan la demanda de los productos o servicios de las operaciones. Riesgo de oportunidad Un plazo excesivo entre el inicio y el término de un proceso de negocios, debido a actividades redundantes, innecesarias o irrelevantes amenazan la capacidad de la Empresa para producir servicios en forma oportuna Riesgos de precio en productos básicos La estrategia para comprar y las desviaciones de los productos básicos exponen a la Empresa a costos de producción excesivos o pérdidas por mantenerlos en sus inventarios. Riesgos de obsolescencia y faltantes Los riesgos de exceso, obsolescencia o pérdida de inventario da como resultado pérdidas importantes a la Empresa. Riesgo de incumplimiento El incumplimiento de los requerimientos del cliente de políticas prescritas por la organización, puede resultar en una menor calidad, altos costos de producción, ingresos perdidos, etc. Riesgos de interrupción del negocio Es originado por la disponibilidad de materia prima, información tecnológica, sistemas o mano de obra especializada, que amenaza la capacidad de la organización para continuar con las operaciones. Riesgo de fallo en el servicio Servicios defectuosos o que no funcionan, exponen a la organización las quejas del cliente, reclamos de garantía, reparaciones, devoluciones y pérdida de participación en el mercado y de reputación. Riesgo ambiental Los riesgos ambientales exponentes a las organizaciones a pasivos potencialmente enormes. Pueden surgir de actividades pasadas o presentes de edificios u otras estructuras y emisiones contaminantes de las operaciones. Riesgo de erosión en la marca comercial La erosión de marca comercial que no sean debidamente mantenida a través del tiempo, amenaza la demanda de los servicios de la organización. Riesgos del Negocio
  • 64. Riesgo de dirección Puede resultar en una falta de dirección, enfoque al cliente, motivación para lograr objetivos, credibilidad de la gerencia y confianza a través de la organización. Riesgo de autoridad Líneas de autoridad pueden causar que se hagan cosas que no deberían de hacerse o no hacer lo que es debido. Riesgo de límites Un fallo al establecer límites puede causar que se lleven a cabo actos no autorizados o desleales. Riesgo de incentivos de actuación Medidas de actuación que nos sean realistas o mal interpretadas puede causar una actuación de una manera inconsistente con los objetivos de la organización Riesgo de comunicaciones Los canales inefectivos de comunicación pueden resultar en mensajes que son inconsistentes. Riesgos de Dirección
  • 65. Riesgo de acceso La falla en mantener un acceso adecuado a los sistemas de información puede resultar en conocimientos no autorizados y uso indebido de información confidencial. Riesgo de integridad La falta de integridad en la gestión de la infraestructura de los sistemas de información puede resultar en acceso no autorizado a los datos. Riesgo de relevancia El riesgo de relevancia está asociado con no proporcionar los datos o información correcta al momento correcto para toma de decisiones. Riesgo de disponibilidad La falta de disponibilidad de información importante, en el momento en que es necesaria, puede afectar adversamente la continuidad de los procesos y operaciones críticas de la organización. Riesgo de energía La falta de fluido eléctrico puede provocar que los sistemas utilizados para la operación de la Empresa, no se encuentren disponibles impactando en forma directa la prestación del servicio. Riesgo en los enlaces de comunicación Una interrupción en los enlaces de comunicación, utilizados en los sistemas, impacta negativamente en el servicio prestado a los clientes. Riesgos Tecnológicos y de la Información
  • 66. Riesgos de Integridad Riesgo de fraude de la Administración Puede emitir información financiera distorsionada con el intento de engañar al público inversor y al auditor externo. La administración puede efectuar sobornos y otros actos ilegales para el beneficio de la Empresa Riesgo de fraude del empleado Los empleados, clientes o proveedores pueden perpetrar fraudes contra la Empresa para su ganancia personal. Riesgo de actos ilegales Actos ilegales expone a la Empresa a multas y sanciones y a pérdida de cliente, utilidades, reputación, etc. Riesgo de uso no autorizado El uso no autorizado de los activos físicos, financieros o de información expone a la Empresa a un desperdicio innecesario de recursos. Riesgo de reputación Puede perder clientes, empleados clave o su habilidad para competir, debido a la percepción de que no se está dando un trato justo.
  • 67. Riesgos Financieros Riesgo de liquidez La imposibilidad de tener efectivo disponible en una forma oportuna o de no convertir activos efectivo cuando sea necesario, puede incumplir con los pagos de sus obligaciones. Riesgo de rapidez en realizar transferencias El tiempo requerido para transferir fondos a través del sistema financiero o transferir, puede resultar en pérdidas en su valor. Riesgo de derivados Transacciones de derivados indebidamente estructuradas pueden impedir a la organización alcanzar sus objetivos. Riesgo de liquidación de operaciones Existe cuando una de las dos partes cumple con su obligación bajo el contrato, cuando aún no ha recibido el valor correspondiente de la contraparte. Riesgo de crédito Expone a la Empresa a costos de cobranza y pérdidas excesivas. Riesgo de reinversión Cambios en los precios o tasa de interés que ocurran antes de que los flujos de efectivo puedan ser reinvertidos y se obtienen rendimientos inferiores. Riesgo de garantía La pérdida parcial o total del valor de un activo dado en garantía, expone a la organización a una pérdida financiera Riesgo de incumplimiento de contraparte La falta de una contraparte en un contrato transferido a un intermediario que subsecuentemente incurre en falta, expone a la organización a pérdidas financieras.
  • 68. Riesgos de la Información para la Toma de Decisiones Riesgo de determinación de precios La falta de información relevante que soporte la determinación de precios, puede resultar en precios o tarifas que los clientes no quieran pagar o que no cubran los costos de desarrollo y otros costos. Riesgo de compromiso de contrato La Empresa puede no tener información que le permita evaluar los compromisos contractuales existentes de tal manera que las decisiones para tomar compromisos adicionales sean inadecuadas. Riesgo de mediación La inexistencia de medidas causa conclusiones erróneas Riesgo de alineación con la estrategia Consiste en que los objetivos y medidas de desempeño de los procesos de la empresa no estén alineados con los objetivos y estrategias globales. Riesgo de información precisa, completa y regulatoria La información incompleta puede causar decisiones equivocadas. Riesgo de Contingencia La falta de planes de contingencia o un inadecuado diseño de los mismos, puede provocar que la Empresa interrumpa sus operaciones regulares.
  • 69. Riesgos de la Información Financiera Riesgo de planificación y presupuesto La falta de información sobre planeación y presupuestos o que sea irreal, puede causar conclusiones y decisiones financieras inapropiadas. Riesgo de información errónea e incompleta Información financiera errónea e incompleta causa decisiones y conclusiones inapropiadas. Riesgo de información contable Sobre enfatizar el uso de información contable para manejar el negocio, resulta en alcanzar ciertos objetivos financieros a costa de no cumplir con los objetivos de satisfacción al cliente, calidad y eficiencia. Riesgo de impuestos Fallas en la obtención y evaluación de información relevante resulta en el incumplimiento de regulaciones impositivas. Riesgo de evaluación de la información financiera Se deriva del hecho de que información emitida a inversores o acreedores pueda tener errores u omisiones importantes que conduzcan a error en su interpretación. Riesgo de evaluación de inversiones La falta de información relevante y confiable que respalde las decisiones de inversión puede resultar en pobres inversiones, a corto plazo. Riesgo de informes a reguladores La emisión de información requerida por los reguladores que sea incompleta, errónea o tardía expone a la Empresa a multas, penas y otros Riesgo de fondos Información errónea e incompleta derivada de compensación y beneficios puede impedir que la empresa cumplir con sus obligaciones definidas.
  • 70. Riesgos de la Evaluación Estratégica Riesgo de evaluación del entorno Fallos en el seguimiento del entorno externo, puede causar que la Empresa conserve estrategias más allá del tiempo establecidas hasta ser obsoletas. Riesgo de diversificación del negocio La falta de información confiable y relevante puede impedir maximizar su actuación global a una organización diversificada. Riesgo de valor del negocio La falta de información relevante y confiable del valor del negocio, puede impedir que los dueños lleven a cabo un juicio informado sobre la empresa. Riesgo de medición de resultados La falta de confiabilidad de medidas de desempeño, puede afectar negativamente la habilidad de la empresa para alcanzar sus estrategias a largo plazo. Riesgo de la estructura organizacional No hay la información necesaria para juzgar la efectividad de la estructura organizacional de la empresa, afectando su capacidad de cambio y lograr sus objetivos a largo plazo. Riesgo de asignación de recursos Un proceso inadecuado de la distribución de recursos y de información que lo respalde, puede impedir que se establezca y sostenga ventajas competitivas. Riesgo de planificación estratégica Un proceso de planeación estratégico pesado y poco imaginativo puede resultar en información irrelevante. Riesgo de ciclo de vida La falta de información relevante y confiable que permita a la Administración conducir las actividades de sus líneas de productos y la evolución del ciclo de vida de sus industrias o productos, amenaza la capacidad de la organización de permanecer competitiva.