RSG M01 Introduccion 1N3 COSO III

Introduccin a la gestin
de los riesgos.
Informe COSO II.
Por Isabel Casares San Jos-Mart
EALDE Business School
Introduccin a la gestin de riesgos
Introduccin a la gestin de los riesgos

ERM como base del gobierno corporativo
Todos en la empresa tienen responsabilidad en ERM: el Comit Ejecutivo, la gerencia de riesgos,
los risk officers, los auditores, el compliance officer y el personal. Todos estn involucrados, de tal
forma que el plan de formacin, de involucramiento y de distribucin de roles tiene que ser
completo. Debemos modelar, medir y cubrir el riesgo.
Definicin de gerente de riesgos: es alguien que trabaja con otros directivos para establecer y
mantener una efectiva gerencia de riesgos en sus reas de responsabilidad. Tiene responsabilidad
de monitoreo, asiste, releva informacin, es miembro del Comit de Riesgos, pero bsicamente
trabaja con los dems porque dijimos que los involucrados en esto son todas las personas de la
compaa, desde el primero al ltimo, y es el nexo clave entre la lnea la lnea es la que est en
el da a da y los evaluadores como la SEC, el Banco de Espaa, la OCC, el evaluador de
riesgos, el evaluador de mercado. Esta persona, el risk officer, es el nexo clave. Fjense que desde
el punto de vista de Auditora, sta es la persona que tiene que garantizar el verde de los reportes.
Las responsabilidades del gerente de riesgos son:
1)
Establecer las polticas y roles para implantar ERM.
2)
Constituir la autoridad para ERM.
3)
Promocionar la competencia en ERM a travs de toda la organizacin.
4)
Integrar ERM con el plan estratgico de la empresa que debe incluir la formacin y el
presupuesto; es decir, no puedo analizar un riesgo que no est integrado con el presupuesto
de ingresos y gastos.
5)
Establecer un lenguaje comn de ERM, el cual incluye mediciones claras y medibles.
6)
Tiene que desarrollar planes de accin para corregir lo que sea corregible.
7)
Tiene que hacer reportes de riesgos.
8)
Debe reportar al Comit de Riesgos.
Uno de los mayores headhunters de esta especialidad est en el Reino Unido: Barclay Simpson,
cuya direccin es www.barclaysimpson.co.uk. Hay muchas bsquedas de Risk Managers.
Pgina 1
Copyright 2014. Isabel Casares San Jos-Mart. Todos los derechos reservados. De uso exclusivo para los alumnos de
EALDE. Prohibida la reproduccin total o parcial del documento y su distribucin por cualquier medio impreso o electrnico
sin la autorizacin escrita.
Herramientas de evaluacin:
El VAR (Value at Risk): en realidad esto est puesto para activos, tasas, retornos, pero puede
ser para cualquier riesgo financiero, no necesariamente para un banco. Puede ser la parte
financiera de cualquier empresa que mueve valores. Es la peor prdida esperada en un
intervalo de tiempo bajo condiciones de mercado normales.
El RAC o capital ajustado por riesgo: aqu vamos a ver muchos conceptos de Basilea, Basilea
es un Comit para Bancos que dicta normas de gerencia de riesgo, entre otras,
fundamentalmente riesgo de crdito y riesgo operacional, y donde bsicamente tenemos que
mostrar capitales de acuerdo con exigencias de exposicin al riesgo.
Los stress tests: es llevar a valores extremos algunas medidas para ver qu riesgo mximo
puedo tener. Puede que llevndolo al extremo no tenga nada que hacer porque el valor
extremo es pequeo.
Sensibilidad: es decir, vari algo? Vara lo dems? O se queda estable?. Prdidas en

diversos casos supuestos y reales. Lo que hay que hacer aqu es cargar una base de prdidas
y de las causas de las prdidas. Yo puedo presuponer cosas y ver qu prdida tendra en
caso de. Esto tambin se pide mucho para Bancos: las prdidas y el porqu.
Medidas de concentracin: si el riesgo est concentrado, est disperso, dnde est.
Medidas de correlacin: aqu se ponen en juego frmulas matemticas, que tal vez no son tan
importantes como el sentido comn.
Revisiones de procesos y walkthrough, que es caminar a travs de. Revisar un proceso

desde que nace hasta que muere y ver dnde estn los riesgos.
Otras mediciones:
Matrices de riesgo.
Los perfiles de riesgo o scorecards, es decir, tratar de hacer cuantitativo algo que en el origen
fue cualitativo y dibujar un mapa de riesgos.
Indicadores clave de performance, de riesgo, u otros.
Los lmites; por ejemplo, no considero blanqueo de dinero hasta una cantidad.
Todos los Sistemas de Informacin Gerencial (MIS), que son una herramienta para RM.
Pgina 2
La frecuencia, la severidad, las probabilidades. Cotejar los riesgos con el mercado (mark to
market) o cotejarlos con un modelo (mark to model); tengo dos formas de hacerlo, que
pueden ser mixtas: tengo un modelo y quiero que mi riesgo se ajuste al modelo y lo que est
fuera del modelo es el desvo; otra forma es contra el mercado: consigo datos del mercado,
puede que no sea lo ptimo pero el mercado lo tolera y bueno, estoy en el mercado.
La calidad de datos: tiene que haber un quality assurance de sistemas; lo que sale de
sistemas tiene que estar revisado, no puede salir as no ms.
Los gaps de control interno: planeamos esto pero hicimos otra cosa.
Medidas de motivacin de RRHH y grado de pertenencia a la empresa, Qu tanto motiva la

empresa a su gente?
Financieros: coberturas con otras monedas, derivados y swaps. Los seguros y las garantas.
Basilea II para Bancos: asegurar que la estructura de la gerencia de riesgos est sujeta a
auditora interna operacionalmente independiente coincide con lo que dice el Instituto en cuanto
a las incumbencias entre ERM y Auditora. Tambin hay que revisar la estrategia, aprobar la
estructura, desarrollar las polticas, los procesos y los procedimientos; identificar el grado de
exposicin a las prdidas. Basilea II, asimismo, propone cargos de capital de acuerdo con pases,
exposiciones al riesgo y dems.
Bsicamente, en virtud de Basilea II se supervisa el riesgo de crdito y el riesgo operativo; lo que
ocurre es que el operativo ya incluye a otros tantos. Esto ya es muy especfico pero hay que medir
probabilidad de incumplimiento, prdida en caso de incumplimiento, exposicin al riesgo,
vencimiento... Con lo cual hay indicadores; por ejemplo, si alguien no me paga ni siquiera la
primera cuota del crdito, eso ya constituye un indicador de fraude. Esto deriva en provisiones y
en esquemas contables. Los mtodos son:
Para riesgo de crditos (mtodo estndar, de IRB Bsico e IRB avanzado).
Para riesgo operativo (mtodo de indicador bsico, mtodo estndar, y mtodos de medicin
avanzada AMA).
Si no tenemos poltica de riesgos ni ERM, entonces no es posible hacer una auditora basada en
riesgos objetivamente. Es decir, tengo mis matrices, me muevo a travs de la empresa, pero no s
si tengo todo el soporte y la forma de consenso adecuada como para decir: Voy a medir el riesgo
que realmente la empresa quiere. No es posible hacer una auditora completa; es decir, yo hago
lo que creo que mi plan me dice que es completo pero tal vez me olvido de cosas que no estn
Pgina 3
medidas ni evaluadas. No hay cobertura de riesgos independiente da a da; es decir, Auditora lo

hace peridicamente y no en el da a da, porque el da a da lo hace la lnea de negocio. No es
posible maximizar el retorno de control self-assessment o la cobertura de assurance porque no s
adnde dirigir mis cuestionarios, no s a quin pedirle documentacin, no s a quin preguntarle el
s/no. Pueden no detectarse necesidades de reingeniera. Puede haber riesgos no visibles, ya que
se acta por inercia. Se incrementa el riesgo de malas sorpresas. Tambin se incrementa la
dependencia de los gerentes estrella sobre los que ya hablamos: No, el gerente conoce esto
mejor que nadie, pero ocupan en el fraude de cuello blanco las primeras estadsticas. Y,
obviamente, sin ERM se dificulta notablemente la gerencia de fraude (FRM).
El Comit de Riesgos debe estar en el organigrama de la empresa y es justamente un comit
similar al de Auditora pero que aprueba los productos, los procesos, los sistemas, los riesgos; por
ejemplo, si sale algo nuevo en la empresa, el Comit tiene que aprobarlo o tiene que validar lo que
existe. Provee liderazgo para las prcticas de gerencia de riesgos. Aprueba las polticas de riesgo.
Promociona la comunicacin. Evala la efectividad y asiste a toda esta gente: directores, Auditora,
compliance... Por qu asiste a todo esto? Porque es necesario que la empresa tenga claro que
ERM, como dijimos, parte de la Alta Direccin, es parte del corporate governance. Por lo tanto,
tiene que haber un Comit de Riesgos. En el Banco lo tenemos; todos los bancos
estadounidenses lo tienen y funciona al mximo nivel. Y puede haber subcomits: ALCO, que es
Assets and Liabilities Committee para negocios de tesorera, de crditos, operacional, etc.
El desafo de persuadir al Comit Ejecutivo de implementar ERM: Servir para evitar ser la
futura Enron, para permanecer en el tiempo, para competir, para atraer inversiones; ya vieron el
comentario del Instituto en el Reino Unido: aquel que cotice recibe mejor paga por sus acciones.
Para reducir riesgos, para dar respuesta a la SarbOx, para cotizar en el mercado de valores, para
resistir la exposicin pblica de los medios y para seguir los estndares pioneros. Razones hay, el
problema es que hay que convencer al Comit con esta lista de motivos, que podran ser ms.
Hay que embeber ERM en la organizacin. Trabaja toda la empresa, el gerente de riesgos debe
ser el facilitador, es decir, quien est en medio de ERM. Es necesario que haya formacin. El
proceso puede requerir dos aos o ms desde el comienzo del proceso, de acuerdo con el tamao
y los recursos.
Pero hablamos de prevenir riesgos e imaginmonos el que se nos ocurra: las prdidas, los
fraudes, las incobrabilidades. Para una empresa que tiene toda una visin de futuro, ERM
obviamente es una inversin.
Pgina 4
Informe COSO II - Resumen Ejecutivo

La premisa subyacente en la gestin de riesgos corporativos es que las entidades existen con el
fin ltimo de generar valor para sus grupos de inters. Todas se enfrentan a la ausencia de certeza
y el reto para su direccin es determinar cunta incertidumbre se puede aceptar mientras se
esfuerzan en incrementar el valor para sus grupos de inters.
La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el
valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre
y sus riesgos y oportunidades asociados, mejorando as la capacidad de generar valor.
Se maximiza el valor cuando la direccin establece una estrategia y objetivos para encontrar un
equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, adems
de desplegar recursos eficaces y eficientemente a fin de lograr los objetivos de la entidad.
La gestin de riesgos corporativos incluye las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia: En su evaluacin de alternativas estratgicas, la

direccin considera el riesgo aceptado por la entidad, estableciendo los objetivos
correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos: La gestin de riesgos corporativos

proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de
respuesta a ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y prdidas operativas: Las entidades consiguen mejorar su capacidad
para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los
costes o prdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a
mltiples riesgos que afectan a las distintas partes de la organizacin y la gestin de riesgos
corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de
dichos riesgos.
Aprovechar las oportunidades: Mediante la consideracin de una amplia gama de potenciales

eventos, la direccin est en posicin de identificar y aprovechar las oportunidades de modo
proactivo.
Mejorar la dotacin de capital: La obtencin de informacin slida sobre el riesgo permite a la

direccin evaluar eficazmente las necesidades globales de capital y mejorar su asignacin.
Pgina 5
Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la direccin a

alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.
La gestin de riesgos corporativos permite asegurar una informacin eficaz y el cumplimiento de
leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus
consecuencias derivadas. En suma, la gestin de riesgos corporativos ayuda a una entidad a
llegar al destino deseado, evitando baches y sorpresas por el camino.
Eventos Riesgos y Oportunidades
Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen
un impacto negativo representan riesgos que pueden impedir la creacin de valor o erosionar el
valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o
representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que
afecte positivamente al logro de los objetivos, ayudando a la creacin de valor o a su
conservacin. La direccin canaliza las oportunidades que surgen, para que reviertan en la
estrategia y el proceso de definicin de objetivos, y formula planes que permitan aprovecharlas.
Definicin de la Gestin de Riesgos Corporativos
La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la
creacin de valor o su preservacin. Se define de la siguiente manera: La gestin de riesgos
corporativos es un proceso efectuado por el consejo de administracin de una entidad, su
direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y
diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los
objetivos.
Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos:
Es un proceso continuo que fluye por toda la entidad.
Es realizado por su personal en todos los niveles de la organizacin.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del
riesgo a nivel conjunto de la entidad.
Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la

entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.
Pgina 6

Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la

direccin de una entidad.
Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque

susceptibles de solaparse.
La definicin es amplia en sus fines y recoge los conceptos claves de la gestin de riesgos por
parte de empresas y otras organizaciones, proporcionando una base para su aplicacin en todas
las organizaciones, industrias y sectores. Se centra directamente en la consecucin de los
objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia
de la gestin de riesgos corporativos.
Consecucin de Objetivos
Dentro del contexto de misin o visin establecida en una entidad, su direccin establece los
objetivos estratgicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en
toda la entidad. El presente Marco de gestin de riesgos corporativos est orientado a alcanzar los
objetivos de la entidad, que se pueden clasificar en cuatro categoras:
Estrategia: Objetivos a alto nivel, alineados con la misin de la entidad y dndole apoyo
Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos
Informacin: Objetivos de fiabilidad de la informacin suministrada
Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables
Esta clasificacin de los objetivos de una entidad permite centrarse en aspectos diferenciados de
la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables un objetivo
individual puede incidir en ms de una categora- se dirigen a necesidades diferentes de la entidad
y pueden ser de responsabilidad directa de diferentes ejecutivos. Tambin permiten establecer
diferencias entre lo que cabe esperar de cada una de ellas. Otra categora utilizada por algunas
entidades es la salvaguarda de activos.
Dado que los objetivos relacionados con la fiabilidad de la informacin y el cumplimiento de leyes y
normas estn integrados en el control de la entidad, puede esperarse que la gestin de riesgos
corporativos facilite una seguridad razonable de su consecucin. El logro de los objetivos
estratgicos y operativos, sin embargo, est sujeto a acontecimientos externos no siempre bajo
control de la entidad; por tanto, respecto a ellos, la gestin de riesgos corporativos puede
Pgina 7
proporcionar una seguridad razonable de que la direccin, y el consejo de administracin en su

papel de supervisin, estn siendo informados oportunamente del progreso de la entidad hacia su
consecucin.
Componentes de la Gestin de Riesgos Corporativos
La gestin de riesgos corporativos consta de ocho componentes relacionados entre s, que se
derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el
proceso de gestin.
Elementos clave de la gestin de riesgos corporativos

Ambiente interno
Filosofa de la gestin de riesgos Cultura de riesgo Consejo de administracin/Direccin
Integridad y valores ticos Compromiso de competencia Estructura organizativa
Asignacin de autoridad y responsabilidad Polticas y prcticas en materia de recursos
humanos.
Establecimiento de objetivos
Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Riesgo aceptado
Tolerancia al riesgo.
Identificacin de acontecimientos
Acontecimientos Factores de influencia estratgica y de objetivos Metodologas y tcnicas
Acontecimientos interdependendientes Categoras de acontecimientos Riesgos y
oportunidades.
Evaluacin de riesgos
Riesgo inherente y residual Probabilidad e impacto Fuentes de datos Tcnicas de
evaluacin Correlacin entre acontecimientos.
Respuesta a los riesgos
Evaluacin de posibles respuestas Seleccin de respuestas Perspectiva de cartera.
Actividades de control
Integracin de la respuesta al riesgo Tipos de actividades de control Polticas y
procedimientos Controles de los sistemas de informacin Controles especficos.
Informacin y comunicacin
Informacin
Comunicacin
Supervisin
Actividades permanentes de supervisin Evaluaciones independientes Comunicacin de
deficiencias.
Pgina 8
A continuacin, se describen estos componentes:
Ambiente interno: Abarca el talante de una organizacin y establece la base de cmo el

personal de la entidad percibe y trata los riesgos, incluyendo la filosofa para su gestin, el
riesgo aceptado, la integridad y valores ticos y el entorno en que se acta.
Entorno interno de la compaa: cul es la filosofa de la gerencia de riesgos, si se le da
importancia o no, qu cultura de riesgos tiene, qu dice el Comit Ejecutivo, qu integridad y
qu valores ticos hay, qu compromiso existe con la competencia, cul es la filosofa de la
gerencia de riesgos y el estilo operativo hay un estilo operativo en cada pas, en cada
empresa, qu apetito de riesgos tiene, cul es la estructura organizacional, cmo es la
asignacin de autoridad y responsabilidad, cules son las polticas y prcticas de recursos
humanos. Primero hay que ver el entorno interno antes de establecer la poltica.
Establecimiento de objetivos: Los objetivos deben existir antes de que la direccin pueda
identificar potenciales eventos que afecten a su consecucin. La gestin de riesgos
corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los
objetivos seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de
ser consecuentes con el riesgo aceptado.
Primero, los objetivos estratgicos, los riesgos relacionados con la estrategia. Los objetivos
relacionados, es decir, no hay ningn riesgo ni intencin de control que estn aislados en la
compaa; todo es una sinergia de cosas y una cadena. Tenemos que seleccionar qu ver a
travs del apetito y la tolerancia de riesgos: evitar, reducir, transferir, asumir.
Identificacin de eventos: Los acontecimientos internos y externos que afectan a los objetivos
de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas
ltimas revierten hacia la estrategia de la direccin o los procesos para fijar objetivos.
Cules son los eventos. Cules son los factores que influyen sobre la estrategia: los
econmicos, los naturales, los polticos. Aqu la informacin es bsica. No podemos estar
dentro de una oficina y hacer esto en un laboratorio; hace falta comunicacin con todo el
mundo. Cules son las metodologas y tcnicas. Cmo es la interdependencia de los eventos,
sobre lo que hablbamos recin. Cules son las categoras de eventos; priorizacin. Cules
son los riesgos y las oportunidades.
Pgina 9
Evaluacin de riesgos: Los riesgos se analizan considerando su probabilidad e impacto como

base para determinar cmo deben ser gestionados y se evalan desde una doble perspectiva,
inherente y residual.
Se trata de analizar el riesgo en profundidad y no de revisarlo una o dos veces al ao o

cuatrimestralmente, sino la evaluacin de riesgo continua. Los riesgos inherentes y
residuales. La probabilidad de que ocurran o no, la apariencia pueden estar disfrazados o
no y otra vez el tema de la visibilidad, que es el riesgo oculto.
Respuesta al riesgo: La direccin selecciona las posibles respuestas - evitar, aceptar, reducir o
compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo
aceptado y las tolerancias al riesgo de la entidad.
Hay que identificarlas, evaluar las diferentes respuestas posibles, seleccionar las respuestas y
visin de portafolio. Seguramente hay muchas respuestas de riesgo y hay que consensuarlas,
verlas, aceptarlas y, despus, modelizarlas de acuerdo con lo que se haya consensuado en la
respuesta. Hay que justificar las decisiones tomadas.
Actividades de control: Las polticas y procedimientos se establecen e implantan para ayudar a

asegurar que las respuestas a los riesgos se llevan a cabo eficazmente.
Integracin con la respuesta, de acuerdo con lo que hayamos definido; tipos de actividades de
control y temas que son ya sabidos.
Informacin y comunicacin: La informacin relevante se identifica, capta y comunica en forma

y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicacin
eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la
entidad.
Mucha informacin relevante para el proceso de la toma de decisiones y la comunicacin, que
es para confirmar objetivos, orientar esfuerzos y generar sinergias, y para cambiar un
comportamiento. Es decir, si yo les comunico algo, es porque pretendo y espero que acten de
la forma comunicada. Y, otra vez, la estrategia y la integracin.
Supervisin: La totalidad de la gestin de riesgos corporativos se supervisa, realizando

modificaciones oportunas cuando se necesiten. Esta supervisin se lleva a cabo mediante
actividades permanentes de la direccin, evaluaciones independientes o ambas actuaciones a
la vez.
Pgina 10
Evaluaciones separadas, evaluaciones dinmicas, quin evala. ERM es un proceso de

evaluacin en s mismo, es decir, todo el proceso, que es continuo y que tiene los pasos que
nombramos y que se amplan cada da.
La gestin de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada
componente afecta slo al siguiente, sino un proceso multidireccional e iterativo en que casi
cualquier componente puede influir en otro.
Relacin entre objetivos y componentes
Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la
gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin
se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimiento estn
representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las
unidades de la entidad, por la tercera dimensin del cubo. Este grfico refleja la capacidad de
centrarse sobre la totalidad de la gestin de riesgos corporativos de una entidad o bien por
categora de objetivos, componente, unidad o cualquier subconjunto deseado.
Eficacia
La afirmacin de que la gestin de riesgos corporativos de una entidad es eficaz es un juicio
resultante de la evaluacin de si los ocho componentes estn presentes y funcionan de modo
eficaz. As, estos componentes tambin son criterios para estimar la eficacia de dicha gestin.
Para que estn presentes y funcionen de forma adecuada, no puede existir ninguna debilidad
material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad.
Cuando se determine que la gestin de riesgos es eficaz en cada una de las cuatro categoras de
objetivos, respectivamente, el consejo de administracin y la direccin tendrn la seguridad
razonable de que conocen el grado de consecucin de los objetivos estratgicos y operativos de la
entidad, que su informacin es fiable y que se cumplen las leyes y la normas aplicables.
Los ocho componentes no funcionan de modo idntico en todas las entidades. Su aplicacin en
las pequeas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin
embargo, estas entidades podran poseer una gestin eficaz de riesgos corporativos, siempre que
cada componente est presente y funcione adecuadamente.
Pgina 11
Limitaciones
Aunque la gestin de riesgos corporativos proporciona ventajas importantes, tambin presenta
limitaciones. Adems de los factores comentados anteriormente, las limitaciones se derivan de
hechos como que el juicio humano puede ser errneo durante la toma de decisiones, que las
decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta
los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse
los controles mediante connivencia de dos o ms personas y que la direccin puede hacer caso
omiso a las decisiones relacionadas con la gestin de riesgos corporativos. Estas limitaciones
impiden que el consejo o la direccin tengan seguridad absoluta de la consecucin de los objetivos
de la entidad.
Inclusin del Control Interno
El control interno constituye una parte integral de la gestin de riesgos corporativos. Este Marco lo
incluye, constituyendo una conceptualizacin y una herramienta ms slidas para la direccin. El
control interno se define y describe en el documento Control Interno Marco integrado. Dado que
ste ha perdurado a lo largo del tiempo y es la base para las reglas, normas y leyes existentes, se
mantiene vigente para definir y enmarcar el control interno. Aunque el presente documento slo
recoge partes de Control Interno Marco integrado, su estructura entera se incorpora en l a travs
de referencias.
Roles y Responsabilidades
Todas las personas que integran una entidad tienen alguna responsabilidad en la gestin de
riesgos corporativos. El consejero delegado es su responsable ltimo y debera asumir su
titularidad. Otros directivos apoyan la filosofa de gestin de riesgos de la entidad, promueven el
cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus reas de responsabilidad
en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno
u otros, desempean normalmente responsabilidades claves de apoyo. El restante personal de la
entidad es responsable de ejecutar la gestin de riesgos corporativos de acuerdo con las
directrices y protocolos establecidos.
El consejo de administracin desarrolla una importante supervisin de la gestin de riesgos
corporativos, es consciente del riesgo aceptado por la entidad y est de acuerdo con l. Algunos
terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas
financieros, proporcionan a menudo informacin til para el desarrollo de la gestin de riesgos
corporativos, aunque no son responsables de su eficacia en la entidad ni forman parte de ella.
Pgina 12
Estructura del informe COSO II

El informe COSO II se divide en dos partes:
La primera contiene el marco y un resumen ejecutivo. El marco define la gestin de riesgos

corporativos y describe principios y conceptos, proporcionando orientacin a todos los niveles
de direccin en empresas y otras organizaciones para ser usada en la evaluacin y mejora de
la eficacia de dicha gestin. El resumen ejecutivo es una perspectiva de alto nivel dirigida a
los consejeros delegados, otros altos directivos, consejeros y reguladores.
La segunda parte del documento corresponde a las tcnicas de aplicacin y proporciona

ejemplos de tcnicas tiles para aplicar los componentes del Marco.
Las acciones sugeridas que podran adoptarse como resultado de este documento dependen de la
posicin y papel de las partes implicadas:
Partes
Acciones sugeridas
implicadas
Consejo de
El consejo debera comentar con la alta direccin el estado de la gestin de
Administracin
riesgos corporativos de la entidad y aportar su supervisin segn se necesite.

Asimismo, debera asegurarse de que es informado de los riesgos ms
significativos, de las acciones que la direccin est realizando y cmo sta
asegura una gestin eficaz de riesgos.
Alta direccin
Este documento sugiere que el consejero delegado evale las capacidades de

gestin de riesgos corporativos de la organizacin. Por ejemplo, reuniendo a los
responsables de unidad de negocio y al personal clave del staff para comentar
una evaluacin inicial de las capacidades y eficacia de la gestin de riesgos
corporativos. Sea cual sea su forma, esta evaluacin inicial debera determinar si
existe la necesidad de otra evaluacin ms profunda y amplia y, en caso
afirmativo, cmo proceder a realizarla.
Otro personal
Los directivos y dems personal deberan considerar cmo estn desempeando
de la entidad
sus responsabilidades y comentar sus ideas con responsables superiores para

reforzar la gestin de riesgos corporativos. Los auditores internos deberan
considerar el alcance de su enfoque sobre dicha gestin.
Pgina 13
Partes
Acciones sugeridas
implicadas
Reguladores
Este Marco puede fomentar una visin compartida de la gestin de riesgos

corporativos, incluyendo lo que se puede hacer y sus limitaciones. Los
reguladores pueden referirse a este Marco al establecer sus expectativas, bien
mediante normas o guas o en la realizacin de inspecciones en las entidades
bajo su supervisin.
Organizaciones
Las entidades encargadas de establecer normas y otras organizaciones que
profesionales
proporcionan orientacin sobre gestin financiera, auditora y temas afines,

deberan considerar sus normas y guas a la luz de este Marco. A medida que se
eliminen divergencias de conceptos y terminologa, todas las partes se
beneficiarn de ello.
Educadores
Este Marco puede ser tema de investigacin y anlisis universitario, para ver
dnde se pueden realizar futuras mejoras. En la idea de que este documento sea
aceptado como base compartida de comprensin, sus conceptos y trminos
deberan encontrar una forma de integrarse en los programas de estudios
universitarios.
Establecidos estos cimientos para una comprensin mutua, todas las partes podrn hablar un lenguaje
comn y se comunicarn ms eficazmente. Los directivos estarn en posicin de evaluar el proceso de
gestin de riesgos corporativos de su entidad respecto a una norma y podrn potenciar el proceso de
consecucin de los objetivos establecidos. La investigacin futura puede apoyarse en esta base slida,
mientras que los legisladores y reguladores podrn incrementar su comprensin de la gestin de
riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes interesadas utilizan este
Marco comn para dicha gestin, se podrn obtener las ventajas comentadas.
Con pequeas modificaciones al concepto general de COSO, al control interno se define como:
Un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una
entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la
consecucin de objetivos dentro de las siguientes categoras:
Honestidad y responsabilidad.
Eficacia y eficiencia en las operaciones.
Fiabilidad de la informacin.
Pgina 14
Salvaguarda de los recursos.
Cumplimiento de las leyes y normas.
A continuacin algunas reflexiones para facilitar la comprensin de la definicin:

1. El Control Interno como un proceso: El control interno es un proceso aplicado en la ejecucin
de las operaciones de toda la organizacin, es una herramienta y un medio utilizado para apoyar
la consecucin de los objetivos institucionales.
2. El Control interno ejecutado por personas: El control interno es ejecutado por personas. La
principal responsabilidad del diseo y aplicacin del control interno asumen las mximas
autoridades. Su ejemplo impulsar el ambiente de control en todos los empleados que laboran en
las organizaciones. Los auditores internos, como parte de la organizacin, son responsables de
evaluar la calidad y cabal aplicacin de los controles internos establecidos que incluye la gestin
de los riesgos corporativos.
3. Aportar un grado de seguridad razonable: El control interno aporta seguridad razonable a la
direccin superior de la organizacin, respecto del cumplimiento de los objetivos y la existencia de
errores o irregularidades en las operaciones. No aporta seguridad total o absoluta.
4. Promover la honestidad y la responsabilidad: El control interno diseado y aplicado
adecuadamente es el mejor antdoto contra las irregularidades, el fraude y la corrupcin en sus
diferentes manifestaciones, porque establece la obligacin de asumir conducta tica en todos los
niveles de organizacin, como base para su funcionamiento. Adems, la responsabilidad se
entiende como la obligacin de los funcionarios pblicos o privados de: responder, reportar,
explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por los
deberes y funciones asignados y aceptados.
5. Facilitar la consecucin de los objetivos de la organizacin: El control interno facilita la
consecucin de los objetivos de la organizacin, con eficiencia, economa, tica, transparencia,
proteccin de los recursos, fiabilidad de la informacin y, cumplimiento de las leyes y otras
normativas. Para alcanzar sus objetivos estratgicos, la entidad establece estrategias y objetivos
conexos que desea alcanzar, que fluyen en cascada hacia gerencias, departamentos, unidades
operativas y procesos.
6. Aplicado en toda la organizacin: El control interno, debe ser adoptado de manera integral
por toda la entidad. Esto requiere que quienes dirijan la organizacin en todos los niveles, tengan
la autoridad necesaria para asumir sus responsabilidades de alcanzar los objetivos.
Pgina 15
Componentes del control de los Recursos y los Riesgos

Estructura del Informe COSO II y sus componentes, agrupados en el siguiente orden:
1. Ambiente Interno de Control.
2. Establecimiento de Objetivos.
3. Identificacin de Eventos.
4. Evaluacin de Riesgos.
5. Respuesta a los Riesgos.
6. Actividades de Control.
7. Informacin y Comunicacin.
8. Supervisin.
Pgina 16
Todos los componentes tienen como base el ambiente interno de control y, dentro de ste, la
integridad y los valores ticos. Por su importancia, este elemento se presenta en la parte ms
amplia de la pirmide, sobre la que se soportan todos los dems elementos. Se lograr eficiencia y
eficacia si los ocho componentes funcionan de manera integrada en toda la organizacin, bajo el
liderazgo del consejo de administracin o de la mxima autoridad, como principal responsable de
su diseo, aplicacin y actualizacin, en las instituciones pblicas y privadas.
Por sus caractersticas, el componente informacin y comunicacin, permite una amplia relacin
entre la base y la cima de la pirmide, constituyndose en el elemento integrador del sistema. Los
supervisores de todos los niveles de la organizacin, principalmente los ms altos, estn en
condiciones de adoptar las decisiones, sobre la base de los resultados de las actividades de
control establecidos para disminuir los riesgos en todas sus categoras.
1. Ambiente interno
Vamos a desarrollar los siguientes contenidos:
Filosofa de la gestin de riesgos.
Integridad y valores ticos.
Enfoques organizativos para la asignacin de responsabilidades en la gerencia de riesgos de

la empresa.
El ambiente de control refleja el espritu tico vigente en una entidad respecto del
comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la
importancia que le asignan al control interno.
Sirve de base de los otros componentes, ya que es dentro del ambiente reinante que se evalan
los riesgos y se definen las actividades de control tendientes a neutralizarlos.
Simultneamente se capta la informacin relevante y se realizan las comunicaciones pertinentes,
dentro de un proceso supervisado y corregido de acuerdo con las circunstancias.
El modelo refleja el dinamismo propio de los sistemas de control interno. As, la evaluacin de
riesgos no slo influye en las actividades de control, sino que puede tambin poner de relieve la
conveniencia de reconsiderar el manejo de la informacin y la comunicacin.
Pgina 17
No se trata de un proceso en serie, en el que un componente incide exclusivamente sobre el

siguiente, sino que es interactivo multidireccional en tanto cualquier componente puede influir, y de
hecho lo hace, en cualquier otro.
Existe tambin una relacin directa entre los objetivos (Eficiencia de las operaciones, confiabilidad
de la informacin y cumplimiento de leyes y reglamentos) y los otros componentes, la que se
manifiesta permanentemente en el campo de la gestin: las unidades operativas y cada agente de
la organizacin conforman secuencialmente un esquema orientado a los resultados que se
buscan, y la matriz constituida por ese esquema es a su vez cruzada por los componentes.
El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una
entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en
que los principios de este ltimo imperan sobre las conductas y los procedimientos
organizacionales.
Es, fundamentalmente, consecuencia de la actitud asumida por la alta direccin, la gerencia, y por
carcter reflejo, los dems agentes con relacin a la importancia del control interno y su incidencia
sobre las actividades y resultados.
Fija el tono de la organizacin y, sobre todo, provee disciplina a travs de la influencia que ejerce
sobre el comportamiento del personal en su conjunto.
Constituye el andamiaje para el desarrollo de las acciones y de all deviene su trascendencia, pues
como conjuncin de medios, operadores y reglas previamente definidas, traduce la influencia
colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de polticas y
procedimientos efectivos en una organizacin.
Los principales factores del ambiente de control son:
La filosofa y estilo de la direccin y la gerencia.
La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.
La integridad, los valores ticos, la competencia profesional y el compromiso de todos los

componentes de la organizacin, as como su adhesin a las polticas y objetivos establecidos.
Las formas de asignacin de responsabilidades y de administracin y desarrollo del personal.
El grado de documentacin de polticas y decisiones, y de formulacin de programas que

contengan metas, objetivos e indicadores de rendimiento.
Pgina 18

En las organizaciones que lo justifiquen, la existencia de consejos de administracin y comits de

auditoras con suficiente grado de independencia y calificacin profesional.
El ambiente de control reinante ser tan bueno, regular o malo como lo sean los factores que lo
determinan. El mayor o menor grado de desarrollo y excelencia de stos har, en ese mismo
orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la
organizacin.
Tiene como propsito establecer pronunciamientos relativos a los valores ticos y de conducta que
se espera de todos los miembros de la Organizacin durante el desempeo de sus actividades, ya
que la efectividad del control interno depende de la integridad y valores de la gente que lo disea y
lo establece.
Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores ticos
y de conducta. La participacin de la alta administracin es clave en este asunto, ya que su
presencia dominante fija el tono necesario a travs de su empleo. La gente imita a sus lderes.
Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los
valores ticos como pueden ser: controles dbiles o requeridos; debilidad de la funcin de
auditora; inexistencia o inadecuadas sanciones para quienes actan inapropiadamente.
NORMAS DE AMBIENTE DE CONTROL
1. Integridad y valores ticos
La autoridad superior del organismo debe procurar suscitar, difundir, internalizar y vigilar la
observancia de valores ticos aceptados, que constituyan un slido fundamento moral para su
conduccin y operacin.
Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad y
compromiso personal.
Los valores ticos son esenciales para el Ambiente de Control. El sistema de Control Interno se
sustenta en los valores ticos, que definen la conducta de quienes lo operan. Estos valores ticos
pertenecen a una dimensin moral y, por lo tanto, van ms all del mero cumplimiento de las
Leyes, Decretos, Reglamentos y otras disposiciones normativas.
El comportamiento y la integridad moral encuentran su red de sustentacin y su caldo de cultivo en
Pgina 19
la cultura del organismo. Esta determina, en gran medida, cmo se hacen las cosas, que normas y
reglas se observan. Si se tergiversan o se eluden. En la creacin de una cultura apropiada a estos
fines juega un papel principal la Direccin Superior del organismo, la que con su ejemplo
contribuir a construir o destruir diariamente este requisito de control interno.
2. Competencia profesional
La competencia del personal se refiere a los conocimientos y habilidades que debe poseer el
personal para cumplir adecuadamente con sus tareas
Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les
permita comprender la importancia del desarrollo, implantacin y mantenimiento de controles
internos apropiados.
Tanto directivos como empleados deben contar con un nivel de competencia profesional ajustado
a sus responsabilidades.-comprender suficientemente la importancia, objetivos y procedimientos
del control interno.
La Direccin debe especificar el nivel de competencia requerido para las distintas tareas y
traducirlo en requerimientos de conocimientos y habilidades.
Los mtodos de contratacin de personal deben asegurar que el candidato posea el nivel de
preparacin y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el
personal debe recibir la orientacin, capacitacin y adiestramiento necesarios en forma prctica y
metdica.
El Sistema de Control Interno operar ms eficazmente en la medida que exista personal
competente que comprenda los principios del mismo.
3. Atmosfera de confianza mutua
Debe fomentarse una atmsfera de mutua confianza para respaldar el flujo de informacin entre la
gente y su desempeo eficaz hacia el logro de los objetivos de la organizacin.
Para el control resulta esencial un nivel de confianza mutua entre la gente que respalda el flujo de
informacin que la gente necesita para tomar decisiones y entrar en accin. Respalda, adems, la
cooperacin y la delegacin que se requieren para un desempeo eficaz tendiente al logro de los
objetivos de la organizacin. La confianza est basada en la seguridad respecto de la integridad y
Pgina 20
competencia de la otra persona o grupo.

La comunicacin abierta crea y depende de la confianza dentro de la organizacin. Un alto nivel
de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de
conocimiento de ms de una persona. El compartir tal informacin fortalece el control reduciendo
la dependencia de la presencia, el juicio y la capacidad de una nica persona.
4. Filosofa y estilo de la direccin
La Direccin Superior debe transmitir a todos los niveles de la organizacin, de manera explcita,
contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los
valores ticos.
La Direccin Superior y las Gerencias deben hacer comprender, a todo el personal, que las
responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un
rol importante dentro del Sistema de Control y que cada rol est relacionado con los dems.
La filosofa y el estilo de la Direccin influencian y traducen la manera en la que el organismo es
conducido. Son ejemplos: la transparencia de la gestin, la postura ante las innovaciones y el
aprendizaje, la forma de resolver los problemas y medir los desempeos y resultados.
La actitud de inters de la Direccin, por un control interno efectivo, debe penetrar la organizacin.
Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y actitudes
concretas.
Este ejemplo de la Direccin hacia el control interno suscita, indefectiblemente, en todo el personal
una actitud positiva hacia ste.
De esta forma los empleados se desempearn en un ambiente que les facilite tanto la
comprensin y respeto por el control interno, como la motivacin para la sugerencia de medidas
que fomenten su perfeccionamiento.
5. Misin, objetivos y polticas
La Misin, los Objetivos y las Polticas de cada organismo deben estar relacionados y ser
consistentes entre s, debiendo estar explicitados en documentos oficiales.
Dichos documentos debern ser adecuadamente difundidos a la comunidad y a todos los niveles
organizacionales. En el primer caso, como antecede para la posterior rendicin de cuenta. En el
Pgina 21
segundo, como medio de conseguir el encolumnamiento de las acciones organizacionales en la

persecucin de aqullos.
Una organizacin qu desconoce que es, hacia donde va, y que medios utilizar en el camino,
marcha a la deriva y con pocas posibilidades de xito. En esta condicin el control interno
carecera de sus ms importantes fundamentos y tan slo se limitara a la verificacin del
cumplimiento de ciertos aspectos formales.
La Misin tiene vocacin de permanencia e indica:
Qu somos?
Para qu estamos?
Qu necesidades servimos?
Y generalmente est fijada en las Leyes, Decretos, Cartas Orgnicas o Estatutos.
Los objetivos se ajustan a la realidad cambiante e indican:
Hacia dnde se va?
Cul es nuestro propsito?
Y son definidos peridicamente en los planes de accin y presupuestos.
Las Polticas en general, tambin tienen permanencia, an cuando pueden modificarse o
sustituirse al cambiar los objetivos, delimitan la accin y definen:
Cules son los medios preferidos?
Qu valoramos?
Qu restricciones les imponemos?
6. Organigrama
Todo organismo debe desarrollar una estructura organizativa qu atienda el cumplimiento de la
misin y objetivos, la que deber ser formalizada en un Organigrama.
La estructura organizativa, formalizada en un organigrama, constituye el marco formal de
Pgina 22
autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los

objetivos del organismo, son planeadas, efectuadas y controladas.
Lo importante es que su diseo se ajuste a sus necesidades, esto es que proporcione el marco
organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos
fijados. Lo apropiado de la estructura organizativa podr depender, por ejemplo, del tamao del
organismo. Estructuras altamente formales que se ajustan a las necesidades de un organismo de
gran tamao, pueden ser desaconsejables en un organismo pequeo.
7. Asignacin de autoridad y responsabilidad
Todo organismo debe complementar su Organigrama, con un Manual de Organizacin, en el cual
se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes
relaciones jerrquicas y funcionales para cada uno de estos.
El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen
claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y
solucionar los problemas, actuando siempre dentro de los lmites de su autoridad.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las
decisiones queden en manos de quienes estn ms cerca de la operacin. Un aspecto crtico de
esta corriente es el lmite de la delegacin: hay que delegar tanto cuanto sea necesario pero
solamente para mejorar la probabilidad de alcanzar los objetivos.
Toda delegacin conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el
trabajo de sus subordinados y que ambos cumplan con la debida rendicin de cuentas de sus
responsabilidades y tareas.
Tambin requiere que todo el personal conozca y responda a los objetivos de la organizacin. Es
esencial que cada integrante de la organizacin conozca cmo su accin se interrelaciona y
contribuye a alcanzar los objetivos generales.
Para que sea eficaz un aumento en la delegacin de autoridad se requiere un elevado nivel de
competencia en los delegatarios, as como un alto grado de responsabilidad personal. Adems, se
deben aplicar procesos efectivos de supervisin de la accin y los resultados por parte de la
Direccin.
Pgina 23
8. Polticas y prcticas en personal

La conduccin y tratamiento del personal del organismo debe ser justa y equitativa, comunicando
claramente los niveles esperados en materia de integridad, comportamiento tico y competencia.
Los procedimientos de contratacin, induccin, capacitacin y adiestramiento, calificacin,
promocin y disciplina, deben corresponderse con los propsitos enunciados en la poltica.
El personal es el activo ms valioso que posee cualquier organismo. Por ende, debe ser tratado y
conducido de forma tal que se consigna su ms elevado rendimiento. Debe procurarse su
satisfaccin personal en el trabajo que realiza, propendiendo a que en este se consolide como
persona, y se enriquezca humana y tcnicamente. La Direccin asume su responsabilidad en tal
sentido, en diferentes momentos:
Seleccin: al establecer requisitos adecuados de conocimiento, experiencia e integridad para las
incorporaciones.
Induccin: al preocuparse para que los nuevos empleados sean metdicamente familiarizado con
las costumbres y procedimientos del organismo.
Capacitacin: al insistir en que sean capacitados convenientemente para el correcto desempeo
de sus responsabilidades.
Rotacin y promocin: al procurar que funcione una movilidad organizacional que signifique el
reconocimiento y promocin de los ms capaces e innovadores.
Sancin: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con
rigurosidad que no se tolerarn desvos del camino trazado.
9. Comit de control
En cada organismo deber constituirse un Comit de Control integrado, al menos, por un
funcionario del mximo nivel y el auditor interno titular. Su objetivo general es la vigilancia del
adecuado funcionamiento del Sistema de Control Interno y el mejoramiento continuo del mismo.
La existencia de un Comit con tal objetivo refuerza el Sistema de Control Interno y contribuye
positivamente al Ambiente de Control.
Para su efectivo desempeo debe integrarse adecuadamente, esto es, con miembros que generen
Pgina 24
respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y

experiencia que les permita apoyar a la Direccin del organismo mediante su gua y supervisin.
El Consejo de Administracin y/o comit de auditora son los rganos fijan los criterios que
perfilan el ambiente de control y es determinante que sus miembros cuente con la experiencia,
dedicacin e involucramiento necesario para tomar las acciones adecuadas e interacten con los
Auditores Internos y Externos.
En la Filosofa Administrativa y Estilo de Operacin, los actores ms relevantes son las
actitudes mostradas hacia la informacin financiera, el procesamiento de la informacin y
principios y criterios contables, entre otros.
Otros elementos que influyen en el ambiente de control se refieren a aspectos relacionados con:
Estructura Organizativa, Delegacin de Autoridad y Responsabilidad y Polticas de Recursos
Humanos.
El ambiente de control tiene gran influencia en la forma como se desarrollan las operaciones, se
establecen los objetivos y se estiman los riesgos. Tiene que ver igualmente en el comportamiento
de los sistemas de informacin y con la supervisin en general. A su vez es influenciado por la
historia de la Entidad y su nivel de cultura administrativa.
2. Establecimiento de objetivos
Vamos a desarrollar los siguientes temas:
Objetivos estratgicos, relacionados y seleccionados.
Nivel de riesgo aceptado.
Tolerancia al riesgo.
Los objetivos deben establecerse antes de que la direccin pueda identificar potenciales eventos
que afecten a su consecucin. El consejo de administracin debe asegurarse que la direccin ha
establecido un proceso para fijar objetivos y que los objetivos seleccionados estn en lnea con la
misin/visin de la entidad, adems de ser consecuentes con el riesgo aceptado.
A partir de los objetivos se facilita la gestin de los riesgos empresariales mediante la identificacin
de los eventos externos e internos; la evaluacin de los riesgos; la respuesta a los riesgos; y, el
diseo de actividades de control.
Pgina 25
Los siguientes factores integran este componente:

1. Objetivos Estratgicos.
2. Objetivos Especficos.
3. Relacin entre Objetivos y Componentes.
4. Consecucin de Objetivos.
5. Riesgo Aceptado y Niveles de Tolerancia.
1. Objetivos Estratgicos
La misin de una entidad establece en amplios trminos su razn de ser y lo que se aspira
alcanzar. En el sector pblico y en organizaciones sin fines de lucro, la finalidad o la misin
generalmente constan en la norma de su creacin. Sea cual sea el trmino empleado, como
misin, o finalidad, es importante que la direccin con la supervisin del consejo de
administracin establezca expresamente la razn de ser de la entidad en trminos generales. A
partir de esto, la direccin fija los objetivos estratgicos, formula las estrategias y establece los
correspondientes objetivos operativos, de informacin y de cumplimiento para la organizacin.
Pgina 26
Aunque la misin de una entidad y sus objetivos estratgicos sean generalmente estables, su
estrategia y muchos objetivos relacionados con ella son ms dinmicos y se adecuan a las
cambiantes condiciones internas y externas.
Los objetivos estratgicos son de alto nivel, estn alineados con la misin de la entidad y le dan su
apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la entidad crear valor
para sus grupos de inters.
En la actualidad, la elaboracin de planes estratgicos es muy utilizado por las organizaciones
para establecer la misin, visin, objetivos, estrategias, valores y otros elementos.
Tambin se utilizan herramientas administrativas como el marco lgico para elaborar proyectos
con indicadores de gestin, los medios de verificacin objetiva y los supuestos establecidos.
Cualquiera sea la metodologa utilizada, es indispensable que la direccin establezca los objetivos
estratgicos respecto de los que asume la responsabilidad de gestionar su cumplimiento evitando
los riesgos correspondientes.
Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la
calidad de los elementos de este componente, se deben considerar como mnimo los siguientes
puntos:
Existencia formal de la misin o finalidad aprobada por el consejo de administracin.
Hasta qu punto los objetivos de los organismos e instituciones expresan clara y

completamente lo que la entidad desea conseguir y la forma en que prev conseguir teniendo
en cuenta sus particularidades.
Grado de vinculacin de los diferentes niveles de la organizacin en el establecimiento de

objetivos estratgicos y de las estrategias.
La eficacia con que los objetivos de los organismos e instituciones se comunican a sus
miembros.
Establecimiento de la viabilidad de cumplimiento de los objetivos.
Fijacin de tiempos, responsables, indicadores de rendimiento, supuestos o eventualidades,

recursos, informes o reportes.
Pgina 27
2. Objetivos Especficos
Al enfocar primero los objetivos estratgicos y la estrategia, una entidad est en posicin de
establecer objetivos de menor jerarqua vinculados con las operaciones y actividades, cuya
consecucin crear y conservar valor para las partes relacionadas. Los objetivos estratgicos de
la empresa estn vinculados y se integran con otros objetivos ms especficos, que repercuten en
cascada en la organizacin hasta llegar a las diversas actividades.
Al fijar los objetivos para los distintos niveles y actividades de la entidad, la organizacin puede
identificar factores crticos de xito. Estos factores crticos de xito afectan a la entidad, a cada
unidad, funcin o departamento y a sus integrantes. Estos factores crticos de xito se representan
en indicadores de gestin o estndares para medir el rendimiento.
Los objetivos deben ser fcilmente entendibles y medibles. Deben fijar como mnimo:
tiempo/perodo, responsables, recursos, productos, factores crticos de xito, formas de medicin,
informes, impactos, entre otros. La gestin de riesgos corporativos exige que el personal en todos
los niveles alcance suficiente entendimiento de los objetivos de la entidad. Todas las personas, en
los diferentes niveles de la organizacin, deben tener una comprensin mutua de lo que se ha de
lograr y de los medios para medir lo que se consiga.
Segn el estudio COSO II, a pesar de existir diversidad de objetivos entre entidades, se pueden
establecer algunas categoras amplias como las siguientes:
Objetivos operativos: Representan la eficacia y eficiencia de las operaciones de la entidad,

incluyendo los objetivos de rendimiento y rentabilidad y de salvaguardia de recursos frente a
prdidas o usos indebidos. Los objetivos operativos deben reflejar los entornos empresarial o
institucional, sectorial y econmico en los que acta la entidad.
Objetivos de informacin: Relativos a la fiabilidad de la informacin. Incluyen informacin

interna y externa, tanto financiera como no financiera. La informacin tambin est relacionada
con los documentos preparados para su difusin externa, como es el caso de los estados
financieros y sus notas de detalle, los comentarios y anlisis de la direccin y los informes
presentados a entidades reguladoras.
Objetivos de cumplimiento: Se refieren al cumplimiento de leyes y normas. Ciertos objetivos

dependen del tipo de actividad de la entidad. El historial de cumplimientos de una entidad
puede afectar de modo significativo positiva o negativamente - a su reputacin en la
comunidad y su entorno. Resulta til desagregar estas categoras de objetivos, para facilitar la
comunicacin interna y externa sobre temas ms especficos.
Pgina 28

puntos:
Conexin de los objetivos especficos con los objetivos y planes estratgicos de la entidad.
Coherencia entre los objetivos especficos para facilitar la coordinacin y evitar duplicacin de
esfuerzos y uso de recursos.
Relacin de los procesos con los objetivos.
Cantidad y calidad de los recursos en relacin con los objetivos.
Identificacin de factores crticos de xito, indicadores de gestin, medios de verificacin

objetiva, impactos.
Participacin en la determinacin de objetivos de los empleados que ocupan puestos de

responsabilidad a todos los niveles, y grado de compromiso con la consecucin de los
mismos.
Mtodos utilizados para informar los objetivos a los miembros de la organizacin.
3. Relacin entre objetivos y componentes

Se destaca que el logro de los objetivos estratgicos y operativos, pueden estar sujeto a
acontecimientos externos no siempre bajo control de la organizacin, lo que obliga a establecer
mecanismos para que la direccin y el consejo de administracin en su papel de supervisin,
estn siendo informados oportunamente sobre estos eventos.
Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes, que
facilitan su logro. La relacin se representa en la siguiente matriz tridimensional, en forma de cubo.
Las cuatro categoras de objetivos son:
Estratgico o de estrategia.
Operaciones.
Informacin.
Cumplimiento.
Pgina 29
Los componentes deben ser considerados de manera integral en toda la organizacin para
alcanzar los objetivos.
Este grfico refleja la capacidad de centrarse sobre la totalidad de una entidad o bien por
categora de objetivos, componente, unidad o cualquier subconjunto deseado, sin perder de vista
la totalidad de la organizacin.

puntos:
La visin integral que tenga la entidad sobre los objetivos estratgicos, de operacin, de
informacin y de cumplimiento con los componentes, en todos los niveles de la organizacin.
Compromiso de la alta direccin y de todos los niveles de la organizacin para alcanzar los
objetivos cumpliendo los controles y la gestin de los riesgos.
Pgina 30
Grado de conocimiento de todos los niveles de la organizacin de los elementos establecidos

y de los objetivos que se espera alcanzar.
Relacin de los objetivos y componentes con la estructura orgnica de la entidad.
4. Consecucin de Objetivos
El Consejo de Administracin y todos los niveles de la organizacin, asumen la responsabilidad de
alcanzar los objetivos con eficiencia y honestidad. Proporciona una seguridad razonable de que la
direccin y el consejo, en su papel de supervisin, estn informados oportunamente del progreso
de la entidad en su camino hacia el logro de dichos objetivos. En su orden, quienes dirigen las
unidades operativas o productivas as como de apoyo, deben estar seguros de que se estn
cumpliendo las polticas, las tcnicas y los procesos establecidos con eficiencia, tica y diligencia
para alcanzar los objetivos especficos. Actuando as, todos los miembros de la organizacin
apuntan hacia el cumplimiento de los objetivos dentro de sus especficas competencias. La
supervisin oportuna y proactiva crea las condiciones necesarias para que se produzca
informacin confiable como resultado de cada uno de los procesos.
En todos los niveles de la organizacin debe existir el compromiso de cumplir con las normas
establecidas. Para asegurarse de su cumplimiento, nuevamente la supervisin oportuna y de
calidad, es de importancia.
A diferencia de los objetivos estratgicos y de operacin que estn expuestos a eventos externos,
los de informacin y cumplimiento tienen un entorno altamente interno. Por esa razn dependen
del compromiso del consejo de administracin y de todos los miembros de la organizacin para
que se cumplan los objetivos de esta categora.
Por la misma razn anotada, los objetivos estratgicos y de operacin requieren atencin de los
acontecimientos externos para actuar con oportunidad frente a los eventos que puedan afectar su
cumplimiento. Se destaca que el logro de este tipo de objetivos es ms complejo porque la gestin
de sus riesgos no depende de la actitud de los miembros de la organizacin sino de una serie de
factores sobre los que no se tiene control, razn por la que es necesario una amplia vinculacin de
la alta direccin para poder tener acceso a la informacin en forma oportuna y permanente.
puntos:
Pgina 31
La calidad de la informacin sobre eventos externos relacionados con los objetivos,

principalmente los estratgicos y de operacin.
Disposicin de la alta direccin para conocer y analizar los informes de cumplimiento de

objetivos.
Calidad de la supervisin en todos los niveles.
Incorporacin de controles en los procesos que aseguren el cumplimiento de las normas

establecidas.
Conocimiento y actualizacin de las polticas, normas y procedimiento por parte de los todos
los miembros de la organizacin.
Idoneidad de los indicadores de rendimiento.
Informes de cumplimiento de indicadores y estndares.
Apoyo de la alta direccin a los informes de auditores internos, principalmente en lo relativo a

deficiencias y recomendaciones.
5. Riesgo aceptado y niveles de tolerancia

Segn COSO II, El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad
est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgo de la
entidad e impacta a su vez en su cultura. Es conveniente destacar que el riesgo aceptado puede
ser establecido de manera altamente subjetiva o con un mayor grado de precisin, dependiendo
del grado de tecnologa que se utilice. En todo caso, siempre depender del criterio y del estilo de
gestin de la direccin.
El riesgo aceptado se debe tener en cuenta al fijar la estrategia, pues el rendimiento deseado de la
estrategia deber estar alineado con el riesgo aceptado de la entidad.
Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando categoras
como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de
crecimiento y rendimiento y los equilibre con los riesgos.
El riesgo aceptado conocido tambin como apetencia de riesgo, establecido por la direccin bajo
control del consejo de administracin, es una orientacin para establecer los objetivos. Algunas
entidades, como las organizaciones sin fines de lucro, expresan su riesgo aceptado como el nivel
Pgina 32
de riesgo que aceptaran a cambio de crear valor para sus grupos de inters.
Existe una relacin entre el riesgo aceptado de una entidad y su estrategia. Si la estrategia no est
alineada con el riesgo aceptado por la entidad, se revisa la estrategia, lo que puede ocurrir cuando
la direccin formula inicialmente una estrategia que exceda el nivel de riesgo aceptado.
La direccin busca alinear la organizacin, el personal, los procesos y la infraestructura para
facilitar la implantacin de la estrategia con xito y capacitar a la entidad a mantenerse dentro de
los lmites de su riesgo aceptado.
Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la consecucin de
objetivos.
Las medidas de rendimiento ayudan a asegurar que los resultados reales se ajusten a los niveles
establecidos de tolerancia al riesgo. Por ejemplo, una empresa fija un objetivo del 98% de
puntualidad para sus entregas, con un riesgo aceptable de error entre el 1% y el 3%; y espera que
el personal responda a todos los reclamos de los clientes en un plazo de 24 horas, pero acepta
que hasta un 25% de ellos se atiendan entre 24 y 26 horas.
Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad
de los elementos de este componente, se deben considerar como mnimo los siguientes puntos:
Estilo de la direccin para la fijacin del riesgo aceptado para de los objetivos establecidos.
Inters de la alta direccin para apoyar la necesidad de determinar el nivel de riesgo aceptable
y su tolerancia.
Grado de comprensin de lo que implica la responsabilidad de aceptar niveles de riesgo y su

correspondiente tolerancia.
Evidencia de las acciones realizadas por la organizacin para determinar los niveles de
aceptacin de riesgo y su tolerancia relacionada.
Supervisin y evaluaciones internas para medir la razonabilidad de los niveles de riesgo

aceptado as como su tolerancia, con base en los resultados obtenidos.
Calidad de los sistemas de informacin para medir la forma en que se alcanzan los estndares
y su relacin con el cumplimiento de los objetivos institucionales.
Pgina 33

Atencin de los niveles directivos a los cambios ocurridos entre el riesgo aceptado y los
resultados.
Pgina 34

RSG M01 Introduccion 1N3 COSO III

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

RSG M01 Introduccion 1N3 COSO III

Diunggah oleh

Hak Cipta:

Format Tersedia

Introduccin a la gestin

Introduccin a la gestin de riesgos

Introduccin a la gestin de los riesgos

Establecer las polticas y roles para implantar ERM.

Constituir la autoridad para ERM.

Promocionar la competencia en ERM a travs de toda la organizacin.

Establecer un lenguaje comn de ERM, el cual incluye mediciones claras y medibles.

Tiene que hacer reportes de riesgos.

Debe reportar al Comit de Riesgos.

Introduccin a la gestin de riesgos

Sensibilidad: es decir, vari algo? Vara lo dems? O se queda estable?. Prdidas en

Medidas de concentracin: si el riesgo est concentrado, est disperso, dnde est.

Revisiones de procesos y walkthrough, que es caminar a travs de. Revisar un proceso

Indicadores clave de performance, de riesgo, u otros.

Introduccin a la gestin de riesgos

Medidas de motivacin de RRHH y grado de pertenencia a la empresa, Qu tanto motiva la

Para riesgo de crditos (mtodo estndar, de IRB Bsico e IRB avanzado).

Introduccin a la gestin de riesgos

medidas ni evaluadas. No hay cobertura de riesgos independiente da a da; es decir, Auditora lo

Introduccin a la gestin de riesgos

Informe COSO II - Resumen Ejecutivo

Alinear el riesgo aceptado y la estrategia: En su evaluacin de alternativas estratgicas, la

Mejorar las decisiones de respuesta a los riesgos: La gestin de riesgos corporativos

Aprovechar las oportunidades: Mediante la consideracin de una amplia gama de potenciales

Mejorar la dotacin de capital: La obtencin de informacin slida sobre el riesgo permite a la

Introduccin a la gestin de riesgos

Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la direccin a

Es un proceso continuo que fluye por toda la entidad.

Es realizado por su personal en todos los niveles de la organizacin.

Se aplica en el establecimiento de la estrategia.

Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la

EALDE Business School

Introduccin a la gestin de riesgos

Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la

Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque

Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos

Informacin: Objetivos de fiabilidad de la informacin suministrada

Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables

Introduccin a la gestin de riesgos

proporcionar una seguridad razonable de que la direccin, y el consejo de administracin en su

Elementos clave de la gestin de riesgos corporativos

Introduccin a la gestin de riesgos

A continuacin, se describen estos componentes:

Ambiente interno: Abarca el talante de una organizacin y establece la base de cmo el

Introduccin a la gestin de riesgos

Evaluacin de riesgos: Los riesgos se analizan considerando su probabilidad e impacto como

Se trata de analizar el riesgo en profundidad y no de revisarlo una o dos veces al ao o

Actividades de control: Las polticas y procedimientos se establecen e implantan para ayudar a

Informacin y comunicacin: La informacin relevante se identifica, capta y comunica en forma

Supervisin: La totalidad de la gestin de riesgos corporativos se supervisa, realizando

Introduccin a la gestin de riesgos

Evaluaciones separadas, evaluaciones dinmicas, quin evala. ERM es un proceso de

Introduccin a la gestin de riesgos

Introduccin a la gestin de riesgos

Estructura del informe COSO II

La primera contiene el marco y un resumen ejecutivo. El marco define la gestin de riesgos

La segunda parte del documento corresponde a las tcnicas de aplicacin y proporciona

El consejo debera comentar con la alta direccin el estado de la gestin de

riesgos corporativos de la entidad y aportar su supervisin segn se necesite.

Este documento sugiere que el consejero delegado evale las capacidades de

Los directivos y dems personal deberan considerar cmo estn desempeando

sus responsabilidades y comentar sus ideas con responsables superiores para

Introduccin a la gestin de riesgos

Este Marco puede fomentar una visin compartida de la gestin de riesgos