Modelo Integrado de

Administracin del riesgo empresarial

COSO II
COSO
Managua, Nicaragua
COSO Pgina No. 2
Introduccin a COSO
La nueva visin.
Da 1
COSO Pgina No. 3
Introduccin a COSO
Hace ms de una dcada, el Committee of Sponsoring
Organizations of the Treadway Commission (COSO) emiti un
documento denominado Control Interno Marco Integrado con
el objetivo de apoyar a negocios y a otras entidades evaluar y
fortalecer sus sistemas de controles interno.
Desde entonces ha sido incorporado como poltica, reglas y
regulaciones por miles de empresas
Estas empresas buscan como controlar mejor sus actividades
con miras a alcanzar los objetivos que se han establecido
En aos recientes se ha dado mayor importancia a la
administracin de riesgo, por lo que ha surgido la necesidad de
contar con un marco robusto para identificar, evaluar y
administrar el riesgo.
COSO Pgina No. 4
Introduccin a COSO
Durante el ao 2001, se inici el desarrollo de un nuevo modelo
que tomara en consideracin las nuevas necesidades.
Este periodo estuvo marcado por una serie de escndalos
(Enron, WorldCom, etc.) que hicieron an ms necesario contar
con un modelo que proporcionara principios, conceptos (un
lenguaje comn y claro) que proporcionaran direccin y gua a
los equipos de gerencia.
El COSO cree que con este reporte satisface el vaco que exista.
Este modelo integrado de administracin de riesgo expande el
concepto actual de control interno y proporciona un enfoque
ms extensivo y robusto acerca del tema de administracin del
riesgo corporativo.

COSO Pgina No. 5
Introduccin a COSO
Un aspecto importante de destacar es que siempre ser un reto
para los equipos gerenciales determinar cuanto riesgo est
preparada la entidad para aceptar y cuanto riesgo est
aceptando durante el proceso de creacin de valor.

COSO Pgina No. 6
Importancia de la
administracin de riesgos
La nueva visin.
COSO Pgina No. 7
Importancia de la administracin de riesgos
La premisa bsica de la administracin del riesgo corporativo es
que cada entidad (ya sea con o sin fines de lucro o de gobierno)
existe para agregar valor a sus inversores.
Todas las entidades afrontan incertidumbre y el resto para la
gerencia es determinar cuanta incertidumbre est la entidad
preparada para aceptar durante el proceso de creacin de valor.
La incertidumbre viene acompaada de riesgo y oportunidad,
lo que conlleva a potencial para agregar o destruir valor.
El marco de administracin de riesgo corporativo proporciona a
la gerencia con un modelo efectivo que le permitir administrar
la incertidumbre y los riesgos y oportunidades asociadas y por
lo tanto incrementar su capacidad para agregar valor.
COSO Pgina No. 8
Importancia de la administracin de riesgos
Qu se entiende por incertidumbre?
Las empresas operan en ambientes donde factores externos
(globalizacin, tecnologa, regulacin, competencia, etc.)
crean incertidumbre.
La incertidumbre emana de la falta de capacidad para
determinar con precisin eventos potenciales que ocurrirn
y los posibles resultados (probabilidad de ocurrencia,
magnitud del impacto).
La incertidumbre tambin se presenta y es creada por las
estrategias implementadas por las empresas. Por ejemplo
una empresa que decide expandir sus operaciones con una
nueva planta en otro pas.
Qu oportunidades y riesgos se presentan con esta
estrategia seleccionada?

COSO Pgina No. 9
Importancia de la administracin de riesgos
Qu significa agregar valor?
El valor se crea, preserva o destruye por las decisiones
gerenciales en todas y cada una de las actividades (desde la
formulacin de la estrategia hasta las actividades diarias).
Se crea valor cuando al invertir recursos (incluyendo capital,
gente tecnologa) se obtiene un beneficio mayor que los
recursos utilizados.
Las entidades preservan el valor cuando se enfocan en la
gente, procesos, sistemas y acciones para crear valor
sostenible en el tiempo. (p.e. calidad de productos,
satisfaccin al cliente).
Las entidades destruyen valor cuando actan con base en
informacin no adecuada acerca de riesgos y oportunidades
o por un diseo y ejecucin pobre de su estrategia.
COSO Pgina No. 10
Importancia de la administracin de riesgos
Cmo aplicara este concepto para Gobierno?
Cmo aplicara este concepto para ONG?



COSO Pgina No. 11
Importancia de la administracin de riesgos
Cmo se mide el valor?
Para identificar creacin de valor, se deben considerar
indicadores financieros y no financieros.
Algunos indicadores financieros son:
Retorno ajustado al riesgo (Costo de capital promedio
ponderado).
Retorno total de los inversionistas.
Para todos estos indicadores se asumen que se debe
cumplir con un costo de capital antes de crear riesgo.
Algunos indicadores no financieros son:
Porcentaje de la poblacin con acceso a servicios de salud
de calidad.
Porcentaje de la poblacin con acceso a la educacin.
COSO Pgina No. 12
Importancia de la administracin de riesgos
Beneficios de la Administracin del riesgo corporativo:
Alinea el apetito de riesgo con la estrategia
Asocia el crecimiento al riesgo y al retorno
Fortalece las decisiones de respuesta al riesgo
Minimiza las sorpresas y prdidas operativas
Identifica y administra riesgos a travs de la entidad
Proporciona respuestas integradas a mltiples riesgos
Identificar y explotar oportunidades
Raciona el capital

COSO Pgina No. 13
Importancia de la administracin de riesgos
Alinea el apetito de riesgo con la estrategia
El apetito de riesgo es el grado de riesgo, que una entidad o
empresa est dispuesta a aceptar durante la bsqueda de sus
objetivos.
La gerencia considera su apetito de riesgo inicialmente al
evaluar sus alternativas estratgicas alineadas con los
objetivos y al desarrollar los mecanismos para administrar
los riesgos asociados.
Por ejemplo, una compaa farmacutica tiene un apetito de
riesgo relativamente bajo con relacin al valor de su marca.
Con tal de proteger la marca, invierte sumas cuantiosas en la
etapa de investigacin y desarrollo de productos y en el
cumplimiento con los protocolos requeridos previo a su
lanzamiento. Todo lo anterior con el objetivo de contribuir
con la creacin de valor.


COSO Pgina No. 14
Importancia de la administracin de riesgos
Asocia el crecimiento al riesgo y al retorno.
Las entidades aceptan riesgos como parte del proceso de
creacin de valor y preservacin. Por lo anterior esperan un
retorno asociado con su riesgo.
La administracin del riesgo corporativo les permite
identificar y evaluar los riesgos, as como establecer niveles
de riesgo aceptables y alineados con los objetivos de
crecimiento y retorno.
Por ejemplo, la gerencia de una compaa de seguros integra
los planes de negocio y proyecciones de crecimiento y
retorno de las distintas unidades. Los riesgos asociados con
los objetivos de cada unidad son identificados y
considerados, las respuestas son seleccionadas, los planes de
negocio son modificados y se asigna capital a las distintas
unidades con base en los objetivos de la compaa.

COSO Pgina No. 15
Importancia de la administracin de riesgos
Fortalece las decisiones de respuesta al riesgo
La administracin del riesgo corporativo, proporciona el
rigor para identificar y seleccionar diferentes alternativas
para responder a los riesgos: evitar el riesgo, reducirlo,
compartirlo y aceptarlo.
Por ejemplo, la gerencia de una compaa que utilizar sus
propios vehculos reconoce un riesgo inherente en su
proceso de entrega (costos por daos al vehculo y a su
personal). Algunas alternativas seran reducir el riesgo a
travs de un proceso de reclutamiento de conductores
entrenados, evitar el riesgo a travs de outsourcing,
transferir el riesgo a travs de la compra de plizas de
seguro o bien, aceptar el riesgo.
La administracin del riesgo corporativo proporciona la
metodologa y tcnicas para tomar estas decisiones.

COSO Pgina No. 16
Importancia de la administracin de riesgos
Identifica y administra riesgos a travs de la entidad
La entidad enfrenta una serie de riesgos que afectan
diferentes componentes de la organizacin. La gerencia no
slo deber administrar el riesgo individual, pero entender
los impactos por interrelaciones.
Por ejemplo, un banco se enfrenta a una variedad de riesgos
en las actividades financieras, por lo que han desarrollado
un sistema de informacin que analiza las transacciones y la
informacin del mercado. Adems, proporciona una visin
general de los riesgos asociados con las actividades
financieras y permite evaluar a nivel de departamento,
cliente y/o producto el nivel de riesgo con base en los
niveles de apetito de riesgo previamente definido.


COSO Pgina No. 17
Importancia de la administracin de riesgos
Proporciona respuestas integradas a mltiples riesgos
Los procesos de negocios conllevan muchos riesgos
inherentes y la gerencia debe proporcionar soluciones
integradas para administrar estos riesgos.
Por ejemplo un distribuidor que identific riesgos asociados
con su inventario (exceso de algunos productos y falta de
otros lo que obligaba a llevar a cabo compras a precios ms
caros para hacer frente a la demandada).
Como estrategia diseo un sistema de administracin de
inventario justo a tiempo integrado con el sistema de
rdenes de sus proveedores a quienes tambin dio la
responsabilidad de mantener el inventario en los niveles
establecidos.


COSO Pgina No. 18
Importancia de la administracin de riesgos
Identificar y explotar oportunidades
Al considerar una serie de eventos potenciales, en vez de
slo los riesgos la administracin gana un entendimiento de
cmo ciertos eventos representan oportunidades.
Por ejemplo, una compaa de comida al evaluar los eventos
potenciales que podran afectar sus objetivos de crecimiento,
identific que sus consumidores principales eran cada vez
ms conscientes de la salud alimenticia. Como resultado
desarrollo productos para este nuevo segmento de mercado
mientras mantuvo el anterior.


COSO Pgina No. 19
Importancia de la administracin de riesgos
Raciona el capital
Ms y mejor informacin acerca del riesgo permite a la
gerencia evaluar de manera ms efectiva los requerimientos
de capital y la distribucin del mismo.
Por ejemplo una institucin financiera se enter de una
nueva regulacin que incrementara los requerimientos de
capital a menos que la gerencia calculara con mayor
exactitud los niveles de riesgo de crdito, operativo y los
requerimientos de capital.
La institucin evaluar el riesgo en trminos de los costos de
desarrollo de un sistema versus el costo del capital y tomo
una decisin (con base en informacin) para administrar el
riesgo y evitar mayores costos por requerimientos de capital.

COSO Pgina No. 20
Importancia de la administracin de riesgos
En resumen, el marco de administracin de riesgo asiste a las
entidades a llevar donde quieren llevar y evitar cadas y
sorpresas en el camino.
COSO Pgina No. 21
Introduccin al marco de
administracin de riesgos
La nueva visin.
COSO Pgina No. 22
Un objetivo crtico de este marco es asistir a la gerencia para
tratar mejor con riesgos inherentes que se presentan cuando se
pretende alcanzar ciertos objetivos.
Pero la administracin del riesgo corporativo tiene diferentes
significados para diferentes personas, por lo que es importante
integrar las diferentes concepciones en un marco comn.
Antes de definir marco de administracin de riesgos es importante
definir lo siguiente:
Riesgo: Evento con un impacto potencial negativo.
Riesgo: La posibilidad que un evento pueda ocurrir y afectar
adversamente el cumplimiento de los objetivos.
Oportunidad: Evento con un impacto potencial positivo.


Marco de administracin de riesgos
COSO Pgina No. 23
La definicin de la administracin del riesgo corporativo es la
siguiente:
Administracin del riesgo corporativo es un proceso, afectado por
la Junta Directiva, la gerencia y dems personal, aplicado en la
formulacin de la estrategia y a travs de toda la organizacin,
diseado para identificar eventos potenciales que puedan afectar la
entidad, y administrar el riesgo para que est dentro del rango de
tolerancia definido, para proporcionar seguridad razonable
relacionada con el cumplimiento de los objetivos de la entidad.


Marco de administracin de riesgos
COSO Pgina No. 24
Es un proceso
Afectado por personas
Es aplicado en la formulacin de la estrategia
Es aplicado a travs de toda la entidad
Est diseado para identificar eventos que puedan afectar a la entidad
y para administrar el riesgo dentro del rango de tolerancia
definido
Proporciona seguridad razonable a la gerencia de una entidad y a
su Junta Directiva
Se enfoca en el cumplimiento de los objetivos en una o ms
categoras separadas a nivel de unidad pero integradas a nivel
de institucin.

Marco de administracin de riesgos
COSO Pgina No. 25
La administracin del riesgo corporativo consiste de ocho
componentes interrelacionados.
Ellos se derivan de la manera en como la gerencia administra el
negocio, y son integrados con los procesos gerenciales
Los ocho componentes son:

Marco de administracin de riesgos
COSO Pgina No. 26
Marco de administracin de riesgos
COSO Pgina No. 27
Existe una relacin directa entre los objetivos (que es lo que una
entidad quiere alcanzar) y los componentes de administracin
de riesgo que representan lo que es necesario para alcanzarlos.
La relacin se presenta en la matriz tridimensional que vimos
anteriormente en forma de cubo:


Marco de administracin de riesgos
Categoria:
4 objetivos
Categoria: 8
componentes de
administracin
de riesgos
Categoria:
Entidad y sus
unidades
COSO Pgina No. 28
Los objetivos de la entidad pueden clasificarse en 4 categoras:

Estratgicos relacionado con metas de largo plazo, alineadas
con y dando soporte a la misin de la entidad.
Operativos relacionado a la efectividad y eficiencia del uso de
los recursos de la entidad.
Reportes relacionado con la confianza de los reportes de la
entidad.
Cumplimiento relacionado con el cumplimiento por parte de
la entidad con las leyes y regulaciones aplicables.




Marco de administracin de riesgos
COSO Pgina No. 29
Ambiente interno
La nueva visin.
COSO Pgina No. 30
El ambiente interno agrupa el tono de
la organizacin, influenciando la
conciencia hacia el riesgo de su
personal, y es el fundamento para el
resto de los componentes del marco de
administracin de riesgos,
proporcionando disciplina y estructura.

Ambiente interno
Factores del ambiente interno incluyen la filosofa de la entidad,
su tolerancia y cultura hacia el riesgo, supervisado por la Junta
Directiva; valores ticos y competencias de su gente; filosofa y
estilo operativo de la gerencia; la manera en cmo esta asigna
autoridad y responsabilidad y, cmo organiza y desarrolla a su
gente.
COSO Pgina No. 31
Filosofa de administracin del riesgo refleja los valores que
la entidad desea alcanzar desde una perspectiva de
administracin del riesgo empresarial e influye cmo los
componentes de administracin del riesgo son aplicados.
Tolerancia al riesgo Es el nivel de riesgo que la entidad est
dispuesta a aceptar durante el proceso de creacin de valor.
Cultura de riesgo Es el conjunto de actitudes, valores y
prcticas que son compartidas en el da a da y que caracterizan
como la entidad considera el riesgo.
Junta Directiva La independencia de la Junta Directiva de la
gerencia, su experiencia y autoridad de sus miembros, y su
minusiocidad juegan un papel importante.
Integridad y valores ticos La reputacin es valiosa por que lo
se debe sobrepasar el mero cumplimiento de las leyes. La
administracin de compaas exitosas han aceptado que el
compotamiento tico es un buen negocio.
Ambiente interno
COSO Pgina No. 32
Compromiso con la competencia Reflejan el conocimiento y
habilidades necesarios para llevar a cabo ciertas tareas.
Filosofa de la gerencia y estilo de operacin La filosofa de
operacin y el estilo de la gerencia afectan la manera en cmo
una entidad es administrada, incluyendo los tipos de riesgos
que son aceptados.
Estructura organizacional La estructura organizacional
proporciona un marco para planificar, ejecutar, controlar y
monitorear las actividades. Una estructura organizacional
relevante incluye la definicin de reas crticas de autoridad y
responsabilidad y establece lneas adecuadas de reportes.
Asignacin de autoridad y responsabilidad incluye el nivel al
cual los individuos y equipos estn autorizados y motivados
para utilizar la iniciativa para enfrentar situaciones y resolver
problemas as como limitar su autoridad.
Ambiente interno
COSO Pgina No. 33
Polticas y prcticas de recursos humanos Relaconado con
reclutamiento, orientacin, entrenamiento, evaluacin,
consejera, promocin, compensacin, tomar acciones
correctivas y enviar mensajes a los empleados acerca de cmo se
espera que vivan los valores ticos y de excelencia.



Ambiente interno
COSO Pgina No. 34
Ambiente interno
Preferencias de la
gerencia
Juicios
Estilo de la
gerencia
Calificado
Entrenado
Compensacin
Incentivos
Disciplina
Responsabilidad
Confiabilidad
Lineas de reporte
Centralizado vrs.
Descentralizado
Matriz / funcin /
geografia
Formal vrs.
Informal
Conservador vrs.
Agresivo
Alineado
Diferencias en el
ambiente
Polticas y
prcticas de
recursos
humanos
Asignacin de
autoridad y
responsabilidad
Estructura
organizacional
Filosofa de la
gerencia y estilo
administrativo
Preferencias de la
gerencia
Juicios
Estilo de la
gerencia
Calificado
Entrenado
Compensacin
Incentivos
Disciplina
Responsabilidad
Confiabilidad
Lineas de reporte
Centralizado vrs.
Descentralizado
Matriz / funcin /
geografia
Formal vrs.
Informal
Conservador vrs.
Agresivo
Alineado
Diferencias en el
ambiente
Polticas y
prcticas de
recursos
humanos
Asignacin de
autoridad y
responsabilidad
Estructura
organizacional
Filosofa de la
gerencia y estilo
administrativo
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Actividades de control Actividades de control
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Compromiso
con la
competencia
Valores
ticos e
integridad
Junta
Directiva
Cultura de
riesgo
Apetito de
riesgo
Filosofa de
administraci
n del riesgo
Conocimiento
Habilidades
Estandares de
comportamien
to
Ejemplo del
CEO
Incentivos
Independiente
Activo
Involucrado
Independiente
Activo
Involucrado
Valores
Cuantitativo
Cualitativo
Alineado con
la estrategia
Valores
Comunicacin
verbal y con
acciones
Ambiente interno
Compromiso
con la
competencia
Valores
ticos e
integridad
Junta
Directiva
Cultura de
riesgo
Apetito de
riesgo
Filosofa de
administraci
n del riesgo
Conocimiento
Habilidades
Estandares de
comportamien
to
Ejemplo del
CEO
Incentivos
Independiente
Activo
Involucrado
Independiente
Activo
Involucrado
Valores
Cuantitativo
Cualitativo
Alineado con
la estrategia
Valores
Comunicacin
verbal y con
acciones
Ambiente interno
COSO Pgina No. 35
Establecimiento de objetivos
La nueva visin.
COSO Pgina No. 36
El establecimiento de objetivos es una
condicin previa a la de identificacin
de eventos, evaluacin del riesgo y
respuesta al riesgo. Primero deben
existir objetivos antes de que la
gerencia pueda identificar riesgos para
tomar las acciones necesarias para
administrar estos riesgos.
Establecimiento de objetivos
Objetivos estratgicos Son metas de alto nivel, alineadas con
y soportadas por la visin/misin de la entidad. Los objetivos
estratgicos reflejan la opcin de la gerencia acerca de cmo
tratarn de agregar valor para los inversores.


COSO Pgina No. 37
Establecimiento de objetivos
Misin
Objetivos estratgicos
Estrategias
Objetivos relacionados - Operaciones
COSO Pgina No. 38
Objetivos relacionados Sub-objectivos establecidos a travs
de toda la organizacin para diferentes reas y actividades. Por
ejemplo: ventas, produccin, infraestructura.
Objetivos seleccionados Deben estar alineados con la visin y
misin de la organizacin. Estos objetivos no son dictados por la
Junta Directiva, sino que son el producto de un proceso de
seleccin y alineacin basado en marco de administracin del
riesgo.
Apetito al riesgo Expresa el balance adecuado entre riesgo,
crecimiento, retorno establecido por la gerencia y confirmado
por la Junta Directiva.
Tolerancia al riesgo Son los niveles aceptables de variacin
relativa al cumplimieto de los objetivos.
Establecimiento de objetivos
COSO Pgina No. 39
Establecimiento de objetivos
Definicin de objetivos
Variacin
aceptable
Unidad de
medicin de los
objetivos
Crecimiento,
riesgo y retorno
Distribucin de
recursos
Personas,
procesos e
infraestructura
Alineados y
soporte
Decisiones de la
gerencia
Operaciones
Reportes
Cumplimiento
Salvaguarda de
activos
Metas de alto
nivel
Soportan la visin
y la misin
Opciones
estratgicas
Tolerancia al
riesgo
Apetito de
riesgo
Objetivos
seleccionados
Objetivos
relacionados
Objetivos
estratgicos
Definicin de objetivos
Variacin
aceptable
Unidad de
medicin de los
objetivos
Crecimiento,
riesgo y retorno
Distribucin de
recursos
Personas,
procesos e
infraestructura
Alineados y
soporte
Decisiones de la
gerencia
Operaciones
Reportes
Cumplimiento
Salvaguarda de
activos
Metas de alto
nivel
Soportan la visin
y la misin
Opciones
estratgicas
Tolerancia al
riesgo
Apetito de
riesgo
Objetivos
seleccionados
Objetivos
relacionados
Objetivos
estratgicos
Identificacin de eventos Identificacin de eventos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Actividades de control Actividades de control
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Ambiente interno Ambiente interno
COSO Pgina No. 40
Identificacin de eventos
La nueva visin.
COSO Pgina No. 41
Evento Es un incidente u ocurrencia
que emana de fuentes externas o
internas que pueden afectar la
implementacin de la estrategia o el
cumplimiento de los objetivos. Los
eventos pueden tener impactos
positivos, negativos o ambos.
Identificacin de eventos
Comparte de la identificacin de eventos, la gerencia reconoce
que la incertidumbre existe, pero no sabe cuando un evento
puede ocurrir o si puede tener un impacto. Para evitar que no
se evalen posibles eventos de importancia, como parte de la
evaluacin del riesgo se sopesa la probabilidad de ocurrencia.
Sin embargo, an eventos potenciales con una posibilidad
remota de que se cumplan no deben ser ignorados si es que la
magnitud de su impacto podra ser significativa.
COSO Pgina No. 42
Factores que influyen en la estrategia y los objetivos Como
parte del marco de administracin de riesgos, el personal
reconoce la importancia de entender los factores internos y
externos y los tipos de eventos que pueden emanar de los
mismos.

Econmicos y de negocios
Medio ambiente
Poltica
Social
Tecnolgico
Identificacin de eventos
COSO Pgina No. 43
Metodologa y tcnicas para identificacin de eventos Las
tcnicas son muy variadas y de diferente grado de sofisticacin.
Algunas son especficas para ciertas industrias, sin embargo la
mayora son el resultado de un enfoque comm:

Inventario de eventos
Anlisis interno
Talleres y entrevistas
Indicadores de eventos
Informacin histrica
Anlisis de procesos



Identificacin de eventos
COSO Pgina No. 44
Interdependencia de los eventos Los eventos no ocurren de
manera aislada. Un evento puede originar en otro. Durante la
identificacin de eventos, la gerencia debe entender como se
interrelacionan.
Por ejemplo, la decisin de expandir el entrenamiento en el rea
de mercado puede incrementar la frecuencia y el volumen de las
rdenes de los clientes.
Identificacin de eventos
COSO Pgina No. 45
Categora de los eventos Es til agrupar los eventos
potenciales en diferentes categoras.
Horizontalmente a travs de la entidad
Verticalmente dentro de las unidades operativas.

Identificacin de eventos
Categora de eventos
Factores internos Factores externos
Infraestructura
Personal
Procesos
Tecnologa
Econmicos
De negocios
Tecnolgicos
Medio ambiente
Polticos
Sociales
COSO Pgina No. 46
Riesgos y oportunidades Los eventos pueden tener un
impacto negativo, positivo o ambos.
Riesgo es la posibilidad que un evento ocurra y afecte
adversamente el cumplimiento de los objetivos.
Los eventos que representan oportunidades son canalizados
para ser evaluados en el proceso estratgico (objetivos,
estrategias), para que se puedan formular las acciones
correspondientes para aprovechar las oportunidades.
Eventos con un impacto negativo potencial son considerados
por la administracin para propsitos de administracin del
riesgo y elaboracin de estrategias de respuesta.


Identificacin de eventos
COSO Pgina No. 47
Identificacin de eventos
Definicin de objetivos Definicin de objetivos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Actividades de control Actividades de control
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Ambiente interno Ambiente interno
Riesgos y
oportunida-
des
Categora de
los eventos
Interdepen-
dencia de
eventos
Metodologa
y tcnicas
Factores
influencian-
do las
estrategias y
los objetivos Eventos
Impacto
negativo:
riesgo
Impacto
positivo:
oportunidad
Agrupaciones
comnes
Interrelaciona-
dos
Continuo
Peridico
Pasado
Futuro
Herramientas
de soporte
Interno
Externo
Incidente
Impacto
positivo o
negativo
Identificacin de eventos
Riesgos y
oportunida-
des
Categora de
los eventos
Interdepen-
dencia de
eventos
Metodologa
y tcnicas
Factores
influencian-
do las
estrategias y
los objetivos Eventos
Impacto
negativo:
riesgo
Impacto
positivo:
oportunidad
Agrupaciones
comnes
Interrelaciona-
dos
Continuo
Peridico
Pasado
Futuro
Herramientas
de soporte
Interno
Externo
Incidente
Impacto
positivo o
negativo
Identificacin de eventos
COSO Pgina No. 48
Evaluacin del riesgo
La nueva visin.
COSO Pgina No. 49
A pesar de que algunos factores son
comunes a todas las compaas en una
industria, muchos son particulares para
la entidad, ya sea por sus objetivos y
acciones pasadas. En evaluacin del
riesgo, la gerencia considera la mezcla
de eventos futuros potenciales
relevante para la entidad y sus
actividades.
Evaluacin del riesgo
Esto conlleva a examinar factores - tales como el tamao de la
entidad, complejidad de sus operaciones y nivel de regulaciones
que afectan el perfil de riesgo de la entidad e influyen en la
metodologa que se utiliza para evaluar el riesgo.
COSO Pgina No. 50
La gerencia considera tanto los riesgo inherentes como
residuales durante el proceso de evaluacin de riesgo.
El riesgo inherente es el riesgo que podran afectar una entidad
tomando en consideracin una ausencia total de acciones por
parte de la gerencia que puedan alterar la probabilidad de
ocurrencia o la magnitud del impacto del riesgo.
El riesgo residual es el riesgo que resulta despus de considerar
la respuesta de la gerencia.
Muchos eventos son rutinarios y recurrentes, y estn
contemplados en los programas de la gerencia. Otros eventos
son inesperados, y normalmente tienen una baja probabilidad
de ocurrencia, pero pueden tener un impacto significativo.
Evaluacin del riesgo
COSO Pgina No. 51
Tcnicas cuantitativas y cualitativas - La incertidumbre de
eventos potenciales es evaluada desde dos perspectivas
probabilidad de ocurrencia y magnitud del impacto.
Las estimaciones de probabilidad de ocurrencia y magnitud del
impacto puede ser determinada utilizando datos histricos de
eventos anteriores.
Se deber considerar en la metodologa una combinacin de
tcnicas cuantitativas y cualitativas. Las tcnicas cuantitativas
tpicamente brindan mayor precisin y se utilizan para soportar
mejor los modelos cualitativos:
Benchmarking
Modelos probabilsticos
Modelos no probabilsticos


Evaluacin del riesgo
COSO Pgina No. 52
Correlacin de eventos - La gerencia puede evaluar como los
eventos se correlacionan, donde se combinan e interactan para
crear probabilidades o impactos diferentes.
Aunque el impacto de un solo evento sea bajo, la secuencia de
eventos relacionados puede tener un impacto mayor.
Se puede utilizar pruebas de estrs para evaluar el impacto de
eventos extremos y utilizar anlisis de escenario para evaluar
los efectos de eventos mltiples.
Monitorear las interrelaciones de la probabilidades de
ocurrencia y magnitud de impactos es una responsabilidad
clave de la gerencia.


Evaluacin del riesgo
COSO Pgina No. 53
Evaluacin del riesgo
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Respuesta al riesgo Respuesta al riesgo
Actividades de control Actividades de control
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Ambiente interno Ambiente interno
Consecuencia de
eventos
Categoras
Pruebas de estrs
Escenarios
Cualitativo
Cuantitativo
Base inherente y
residual
Esperadas, peor
escenario, distribucin
Ubicado en el tiempo
Unidad de medida
Data observable
Antes de las acciones
de la gerencia
Despus de las
acciones de la gerencia
Esperadas e
inesperadas
Correlacin
Metodologas y
tcnicas
cuantitativas y
cualitativas Ocurrencia e impacto
Riesgo inherente y
residual
Valoracin de riesgo
Consecuencia de
eventos
Categoras
Pruebas de estrs
Escenarios
Cualitativo
Cuantitativo
Base inherente y
residual
Esperadas, peor
escenario, distribucin
Ubicado en el tiempo
Unidad de medida
Data observable
Antes de las acciones
de la gerencia
Despus de las
acciones de la gerencia
Esperadas e
inesperadas
Correlacin
Metodologas y
tcnicas
cuantitativas y
cualitativas Ocurrencia e impacto
Riesgo inherente y
residual
Valoracin de riesgo
COSO Pgina No. 54
Respuesta al riesgo
La nueva visin.
COSO Pgina No. 55
Identificando la respuesta al riesgo
Evitarlo Accin tomada para salir de
las actividades que originan el riesgo.
Reducirlo Accin tomada para
reducir la probabilidad de ocurrencia,
magnitud del impacto o ambas.
Respuesta al riesgo
Compartirlo Accin tomada para reducir la probabilidad de
ocurrencia o impacto transfirindolo o de otra manera
compartindolo.
Aceptarlo No se toma ninguna accin.


COSO Pgina No. 56
Evaluando posibles respuestas al riesgo El riesgo inherente
se analiza y las respuestas son evaluadas en un intento de
alinear el riesgo residual con la tolerancia al riesgo de la
entidad.
Las respuestas al riesgo pueden cubrir diferentes riesgos.
Evaluando el efecto de las respuestas en la magnitud del
impacto y la probabilidad de ocurrencia La gerencia debe
considerar los efectos tanto de probabilidad de ocurrenci como
de magnitud de impacto y entender como una respuesta puede
afectar de distintas maneras a la organizacin.
Evaluar costo versos beneficio Los recursos son siempre
limitados, y la entidades deben considerar los costos
relacionados con los beneficios de las diferentes opciones de
respuestas a los riesgos.

Respuesta al riesgo
COSO Pgina No. 57
Respuestas seleccionadas - Una vez que los efectos de las
respuestas han sido evaluados, la gerencia decido como
administrar el riesgo, por lo que deber desarrollar un plan de
implementacin para ejecutar la respuesta y recalibrar el riesgo
sobre la base del residual.
Adicionalmente, se requieren procedimientos que permitan a la
gerencia una efectiva implementacin de las acciones. Estos
procedimientos representan actividades de control.
La gerencia reconoce que algn nivel de riesgo residual siempre
existir, no porque los recursos sean limitados, pero porque la
incertidumbre inherente en el futuro siempre existir en todas
las actividades.
Respuesta al riesgo
COSO Pgina No. 58
Visin del Portafolio La gerencia considera el riesgo desde
una perspectiva de entidad o portafolio. La gerencia puede
adoptar un enfoque en el cual el gerente responsable para cada
departamento, funcin o unidad desarrollar una evaluacin de
riesgo para esa unidad.
Con esta visin individual, la gerencia el riesgo general de la
entidad y determinar si las diferentes unidades estn dentro del
rango de tolerancia al riesgo de la entidad.
Igualmente se pueden determinar reas donde el apetito al
riesgo sea demasiado bajo, por lo que se tendr que motivar a
los empleados de la unidad para que acepten mayor riesgos en
reas crticas que cumplir con los objetivos de crecimiento y
retorno.
Respuesta al riesgo
COSO Pgina No. 59
Respuesta al riesgo
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Valoracin del riesgo Valoracin del riesgo
Actividades de control Actividades de control
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Ambiente interno Ambiente interno
Nivel de entidad
Unidad de negocio
Basa en riesgo
inherente y residual
Decisiones de la
gerencia
Impacto
Ocurrencia
Costo vrs. Beneficio
Respuestas
innovadoras
Evitar
Reducir
Compartir
Aceptar
Visin de portafolio
Seleccionar
respuestas
Evaluar posibles
respuestas al riesgo
Identificar
respuestas a riesgos
Respuesta al riesgo
Nivel de entidad
Unidad de negocio
Basa en riesgo
inherente y residual
Decisiones de la
gerencia
Impacto
Ocurrencia
Costo vrs. Beneficio
Respuestas
innovadoras
Evitar
Reducir
Compartir
Aceptar
Visin de portafolio
Seleccionar
respuestas
Evaluar posibles
respuestas al riesgo
Identificar
respuestas a riesgos
Respuesta al riesgo
COSO Pgina No. 60
Actividades de control
La nueva visin.
COSO Pgina No. 61
Actividades de control son polticas y
procedimientos, que son las acciones
que las personas deben implementar,
para asistir a la gerencia en el
aseguramiento de que las respuestas al
riesgo son llevadas a cabo.
Actividades de control
Las actividades de control son aplicadas con respecto a las
cuatro categoras de los objetivos estratgicos, operativos,
reportes y cumplimiento.
Aunque algunas actividades de control se relacionan
nicamente a un rea, usualmente abarcan otras reas.
Dependiendo de las circunstancias, un control particular puede
asistir a satisfacer los objetivos de la entidad en ms de una
categora.
COSO Pgina No. 62
Integracin con respuesta al riesgo La respuesta al riesgo
ayuda a enforcar la atencin en las actividades de control
necesarias para asegurarse de que las respuestas al riesgo son
llevadas a cabo de manera apropiada y oportuna.
Las actividades de control son parte del proceso por medio del
cual la organizacin lucha por alcanzar sus objetivos de negocio.
Las actividades de control no se llevan a cabo simplemente
porque sean lo apropiado por hacer, sino porque estas
actividades pueden servir como mecanismo para administrar el
logro de los objetivos.

Actividades de control
COSO Pgina No. 63
Tipos de actividades de control Existen distintos tipos de
descripciones de actividades de control, que pueden ser
catalogadas dependiendo de su objetivo como por ejemplo
asegurar la integridad y exactitud de la informacin procesada:
Actividad directa o funcional de la gerencia
Procesamiento de informacin
Controles fsicos
Indicadores de rendimiento
Polticas y procedimientos Las actividades de control
usualmente involucran dos elementos: el establecimiento de una
poltica acerca de lo que debe llevarse a cabo y los
procedimientos para que tome efecto la poltica.
Actividades de control
COSO Pgina No. 64
Controles Generales Incluyen controles relaciondos con
tecnologa. Estos controles se aplican a todos los sistemas
desde servidores hasta computadores personales.

Administracin de la tecnologa de informacin
Infraestructura tecnolgica de informacin
Administracin de la seguridad
Adquisicin, desarrollo y mantenimiento de software

Las mejoras a los sistemas de informacin ayudan a establecer
controles dentro de los procesos de una organizacin. Estas
iniciativas incluyen mejoramiento de los procesos,
administracin de la calidad e identificacin de defectos.
Actividades de control
COSO Pgina No. 65
Controles de aplicacin Estn diseados para asegurar la
exactitud, integridad, autorizacin y validez de la informacin
capturada y procesada.

Actividades de balanceo de controles
Verificacin de dgitos
Lista de datos predefinidos
Prueba de razonabilidad de datos
Pruebas lgicas
Actividades de control
COSO Pgina No. 66
Especficos de la entidad En vista de que la entidad tiene su
propio grupo de objetivos y enfoques de implementacin,
existirn diferencias en las respuestas al riesgo y las actividades
de control.
Aunque dos entidades tengan los mismos objetivos, tendrn
diferentes enfoques de administrar el riesgo.

Actividades de control
COSO Pgina No. 67
Actividades de control
Objetivos y
estrategias
especficas de la
entidad
Ambiente
operativo
Complejidad de
las operaciones
Integridad
Exactitud
Autorizacin
Validez
Administracin de
la tecnologa de
informacin
Infraestructura de
la tecnologa de
informacin
Administracin de
la seguridad
Desarrollo y
mantenimiento de
software
Polticas
Procedimientos
Preventivos
Detectores
Manuales
Automticos
Construidos
directamente en el
proceso gerencial
Interrelacionado
Especficos de
la entidad
Controles de
aplicacin
Controles
generales
Tipos de
actividades de
control
Integracin con
respuesta al
riesgo
Actividades de control
Objetivos y
estrategias
especficas de la
entidad
Ambiente
operativo
Complejidad de
las operaciones
Integridad
Exactitud
Autorizacin
Validez
Administracin de
la tecnologa de
informacin
Infraestructura de
la tecnologa de
informacin
Administracin de
la seguridad
Desarrollo y
mantenimiento de
software
Polticas
Procedimientos
Preventivos
Detectores
Manuales
Automticos
Construidos
directamente en el
proceso gerencial
Interrelacionado
Especficos de
la entidad
Controles de
aplicacin
Controles
generales
Tipos de
actividades de
control
Integracin con
respuesta al
riesgo
Actividades de control
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Informacin y comunicacin Informacin y comunicacin
Monitoreo Monitoreo
Ambiente interno Ambiente interno
COSO Pgina No. 68
Informacin y comunicacin
La nueva visin.
COSO Pgina No. 69
Toda entidad identifica y captura
informacin financiera y no financiera
- relacionada con eventos internos y
externos. Esta informacin es enviada
al personal en la firma y oportunidad
que les permita llevar a cabo sus
responsabilidades.

Informacin y comunicacin
Informacin La informacin es necesaria a todos los niveles
de la organizacin para identificar, evaluar y responder a
riesgos o de otra manera administrar la entidad para lograr los
objetivos.
La informacin financiera no es utilizada nicamente para
elaborar estados financieros, sino para tomar decisiones
operativas, monitorear el rendimiento y distribuir los recursos.
COSO Pgina No. 70
La informacin se obtiene de diferentes fuentes: internas y
externas, y de forma cuantitativa y cualitativa.
El resto para la gerencia es procesar y refirmar altos volmenes
de informacin para que sea til en la toma de decisiones. Eeste
reto se cumple estableciendo un sistema de informacin para
generar, capturar, procesar, analizar y reportar informacin que
sea relevante.
Los sistemas de informacin pueden ser formales o informarles.
Conversaciones con clientes, proveedores, reguladores y
personal proveen informacin necesaria para identificar riesgos
y oportunidades. Similarmente, atender a seminarios y
membresas profesionales proporciona informacin valiosa.


Informacin y comunicacin
COSO Pgina No. 71
Sistemas estratgicos e integrados En la medida en que las
empresas se han convertido en ms colaboradoras e integradas
con los clientes, socios y reguladores, la divisin entre la
arquitectura de los sistemas de informacin es cada vez ms
compatible. Como resultado, el procesamiento de datos y su
administracin comunmente se convierte en una
responsabilidad compartida. En esos casos, la arquitectura de
los sistemas de informacin de una organizacin deben ser lo
suficientemente flexible y efectivo para integrarse con los
nuevos clientes y socios de negocios.

Iniciativas estratgicas de soporte a sistemas
Integracin con operaciones
Informacin precisa y oportuna
Calidad de la informacin


Informacin y comunicacin
COSO Pgina No. 72
Comunicacin La comunicacin es inherente en los sistemas
de informacin. La comunicacin trata con expectativas,
responsabilidades de individuos, grupos y otros asuntos
importantes. Por lo anterior se deber considerar los siguiente:

Externo
Interno
Mtodos de transmisin





Informacin y comunicacin
COSO Pgina No. 73
Informacin y comunicacin
Actividades de control Actividades de control
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Monitoreo Monitoreo
Ambiente interno Ambiente interno
Comunicacin Sistemas estratgicos e
integrados
Informacin
Informacin y comunicacin
Interna
Externa
A travs de toda la entidad
Expectativas y responsabilidades
Marco
Mtodos de transmisin
Estratgico
Operativo
Pasado y corriente
Nivel de detalle
Oportunidad
Calidad
Interno
Externo
Manual
Computarizado
Formal
Informal
Arquitectura de los sistemas de
informacin
Comunicacin Sistemas estratgicos e
integrados
Informacin
Informacin y comunicacin
Interna
Externa
A travs de toda la entidad
Expectativas y responsabilidades
Marco
Mtodos de transmisin
Estratgico
Operativo
Pasado y corriente
Nivel de detalle
Oportunidad
Calidad
Interno
Externo
Manual
Computarizado
Formal
Informal
Arquitectura de los sistemas de
informacin
COSO Pgina No. 74
Monitoreo
La nueva visin.
COSO Pgina No. 75
Monitoreo
Actividades de control Actividades de control
Definicin de objetivos Definicin de objetivos
Identificacin de eventos Identificacin de eventos
Valoracin de riesgo Valoracin de riesgo
Respuesta al riesgo Respuesta al riesgo
Ambiente interno Ambiente interno
Informacin y comunicacin Informacin y comunicacin
Reportando las deficiencias Evaluaciones separadas Continua
Monitoreo
Continuo
Terceros externos
Protocolos
Canales alternativos
Alcance
Frecuencia
Autoevaluacin
Auditores internos
Extensivo de la documentacin
En tiempo real
Operaciones del da a da
Reportando las deficiencias Evaluaciones separadas Continua
Monitoreo
Continuo
Terceros externos
Protocolos
Canales alternativos
Alcance
Frecuencia
Autoevaluacin
Auditores internos
Extensivo de la documentacin
En tiempo real
Operaciones del da a da
COSO Pgina No. 76
Limitaciones del marco de
administracin de riesgos
La nueva visin.
COSO Pgina No. 77
Primero, el riesgo se refiere al futuro, lo cual es inherente e
incierto.
Segundo, la administracin del riesgo corporativo an los ms
efectivos operan a diferentes niveles con respecto a diferentes
objetivos. Para objetivos estratgicos y de operaciones, la
administracin del riesgo corporativo puede ayudar a la
gerencia y a la junta directiva en su fucnin de supervisin de
manera oportuna, slo en lo que abarca al cumplimiento de los
objetivos. Pero no puede proporcionar seguridad razonable que
los objetivos sern alcanzados.
Tercero, la administracin del riesgo corporativo, no puede
proporcionar seguridad absoluta con respecto a ninguno de los
objetivos de las categoras.




Limitaciones
COSO Pgina No. 78
Roles y responsabilidades
La nueva visin.
COSO Pgina No. 79
Cada persona tiene alguna responsabilidad dentro del marco de
administracin de riesgo. El CEO es el principal responsable y debe
asumir dicha responsabilidad.
Otros gerentes deben dar soporte a la filosofa de riesgo, promover el
cumplimiento con el apetito de riesgo y administrar la efectividad de
las funciones de todos los componentes del marco de administracin
de riesgo dentro de sus rea de responsabilidad consistente con la
cultura de riesgo.
Otro personal es responsable de la ejecucin de acuerdo con las
polticas y protocolos establecidos por el marco de administracin de
riesgo.
La Junta Directiva proporciona una visin (supervisin) importante.
Un nmero de terceros externos proporcionan informacin valiosa que
afecta el marco de administracin del riesgo. Sin embargo, estos
terceros externos no son responsables por la efectividad del marco de
administracin de riesgos de la entidad.
Roles y responsabilidades
COSO Pgina No. 80
Conclusin
La nueva visin.