PUBLICOS DE LIMA
IDENTIFICACIN, EVALUACIN Y
TRATAMIENTO DE RIESGOS Bajo el Modelo
COSO ERM (Enterprise Risk Management)
Expositor: Mag. CPC. Mario Vergara Silva
2
RIESGO EN LA ANTIGUEDAD LOGO
4
LOGO
DEFINICION DE RIESGO
5
RIESGO EMPRESARIAL Y SUS
ORIGENES
6
EL RIESGO Y EL SECTOR ASEGURADOR
7
EL RIESGO Y LOS INSTRUMENTOS
FINANCIEROS
En las ltimas dcadas se han desarrollado INSTRUMENTOS
FINANCIEROS, entre los que destacan los Derivados
Financieros, tales como: OPCIONES, FUTUROS Y SWAPS,
diseados para proteger las inversiones ante las fluctuaciones
de los PRECIOS, LAS TASAS DE CAMBIO, TASAS DE
INTERES, COMMODITIES, etc, y que requieren en muchos
de casos, medir el riesgo de los INSTRUMENTOS
FINANCIEROS, utilizando una serie de probabilidades.
El acuerdo de BASILEA en 1975 fue alcanzado por las
autoridades de SUPERVISION BANCARIA de las 10
potencias mundiales de entonces, a travs de los aos ha
expedido varios documentos en los que incluye directrices
sobre el manejo de los riesgos de crdito, de tasa de inters,
de liquidez y el riesgo operativo.
8
EL RIESGO DESDE LA PERSPECTIVA DE
CONTROL ORGANIZACIONAL
En la poca de la REVOLUCION INDUSTRIAL la
Administracin se centraba en la Eficiencia del trabajador
como recurso bsico para la produccin, el control se
ejerca en forma estricta sobre el EMPLEADO, basndose
en la Divisin del Trabajo y en la Especializacin de las
tareas, con el fin de evitar desviaciones de lo planeado y
disminuir los Riesgos.
Con FAYOL, al dividir la funcin Administrativa en
PLANEACION, ORGANIZACIN, DIRECCION,
EJECUCION Y CONTROL, se establece la importancia de
este ltimo, pero se le ubica AL FINAL DEL PROCESO
ADMINISTRATIVO como una accin posterior. Esto impide
pensar en la prevencin como elemento de Control, que
permite anticiparse a los Riesgos, analizndolos y
definiendo
9
acciones necesarias para evitarlos.
Posteriormente, a nivel internacional se han
propuesto varios Modelos de Control, que incluye el
COSO a partir de 1992.
Para todos los casos, de acuerdo con el recuento
de los desarrollos presentados a nivel mundial
sobre el TEMA DEL RIESGO, se puede concluir que
la humanidad siempre ha estado inquieta con el
futuro y con los riesgos que ste le depara, y ha
intentado encontrar desde diferentes disciplinas la
forma de manejarlos con el fin de disminuir su
ocurrencia o contrarrestar sus efectos.
10
RIESGOS GENERADOS EN LA
EMPRESA
Las Empresa al ejecutar sus procesos en busca del cumplimiento
de sus objetivos, pueden verse abocadas a un sin numero de
RIESGOS PROPIOS, ESPECIFICOS e INDIVIDUALES: estos
riesgos son llamados:
Riesgos Inherentes, No Sistemticos
Anexo RIESGOS INUNDACIONES Open Plaza sigue sin abrir sus puertas en Piura a casi un mes de
inundacin.pdf
Anexo RIESGOS INUNDACIONES RIPLEY SAGA y RENZO COSTA Marzo 2017.pdf
11
LOGO
NIVELES DE RIESGOS EN LA EMPRESA
NIVEL DEL RIESGO DE LA EMPRESA
FACTOR DE RIESGO
BAJO ALTO
Situacin de la Economa del Pas en la que Buena Mala
opera
12
TERMINOLOGA DE ADMINISTRACIN DE RIESGOS
(SEGN EL ESTNDAR AUSTRALIANO NEOZELANDS)
Aceptacin de riesgo Contexto externo
Actitud de Riesgo Contexto interno
Actividades de Control Controlar
Administracin de Riesgos Control de riesgo
Amenaza Costo de los controles
Anlisis de Riesgo Criterios de Riesgo
Anlisis cualitativo Establecer el contexto
Anlisis cuantitativo Evaluacin de Riesgos
Anlisis de sensibilidad Evento
Comunicacin y Consulta Evitar un riesgo
Consecuencia (Impacto) Financiamiento de riesgos
Frecuencia
SEPARATAS PARA ALUMNO 19 ago 2017\Separata 03
Terminologa de Administracin de Riesgos 13
ESTANDAR AS NZS.pdf
Fuente de Riesgo Probabilidad
Gestin de Riesgos Proceso Gestin de Riesgos
Identificacin de riesgos Propietario de Riesgo
Juicio sobre controles Reduccin de riesgos
Mapa de Riesgo Retencin de riesgos
Marco Gestin de Riesgos Riesgo
Monitoreo Riesgo mximo aceptable
Nivel de Riesgo Riesgo residual
Prdida Supervisin
Perfil de Riesgo Tomador de decisiones
Plan de accin Transferir riesgos
Plan de Gestin de Riesgos Tratamiento de riesgos
Poltica Gestin de Riesgos Vulnerabilidad.
Anexo MATRIZ RIESGOS Construtora BESALCO Proyecto
14
LINEA AMARILLA.xls
PROYECTO DE MATERIALIDAD DEL
IASB 2016
15
IMPORTANCIA RELATIVA
17
RIESGOS DE AUDITORIA:
INHERENTE, DE CONTROL Y
DETECCIN
18
RIESGO DE AUDITORIA
Durante los trabajos de planificacin y ejecucin de la
Auditora, el auditor toma muchas decisiones que van
desde la estrategia general hasta los procedimientos
especficos de Auditora aplicados durante las Pruebas
aplicadas a los Controles Internos y a los Estados
Financieros. En estas decisiones, el factor ms
significativo es la evaluacin de los RIESGOS Principales
que puedan afectar a los EEFF.
La expresin Riesgo General de Auditora, se emplea
para describir el riesgo de que el auditor concluya y opine
que los EEFF estn presentados razonablemente cuando
en realidad no lo estn, o el riesgo de que estando
presentados razonablemente, concluya y opine que no lo
estn.
19
El objetivo del auditor es conseguir el mayor nivel de
certeza posible de que su opinin es correcta, lo que
implica disminuir el Riesgo de Auditora al menor nivel.
Los Auditores reconocen que es imposible eliminar
completamente el Riesgo, y establecen un nivel
mximo que ellos creen que es posible tolerar.
20
TRES COMPONENTES DEL RIESGO
DE AUDITORA
a. Riesgo Inherente: se define como la susceptibilidad
del saldo de una cuenta o de un tipo de operacin, se
encuentre expuesta a errores que podran ser
importantes, sin estar relacionado directamente con los
efectos de los Controles Internos correspondientes.
Dicho Riesgo es propio de la operatividad y naturaleza
del negocio y sus transacciones realizadas.
21
1. Caractersticas del saldo de una cuenta o tipo de
operacin :
Los clculos complejos tienen ms probabilidad de
error que los clculos simples
La caja es ms susceptible de robo que un
inventario de carbn
Las cuentas consistentes en cantidades derivadas
de una estimacin contable tienen un mayor riesgo
que la efectuada rutinariamente
2. Condiciones que no estn sujetas al control de la
empresa, es decir, factores ajenos a ella. Como son:
los cambios en las condiciones de los negocios,
nuevas disposiciones legales y otros factores
econmicos.
22
b. Riesgo de Control: es el riesgo de que puedan existir
errores materiales y no puedan ser detectados por los
procedimientos de Control Interno implementados en la
Empresa. Es decir, es el riesgo de que el saldo de una
partida contable o clase de transacciones contengan
errores materiales o significativos, y no hayan sido
detectados y corregidos con oportunidad por los
Sistemas de Control Interno Contable.
23
A diferencia de los Dos Riesgos mencionados
anteriormente, el Riesgo de Deteccin es totalmente
CONTROLABLE por la labor del AUDITOR , y depende
exclusivamente de la forma en que se diseen y llevan a
cabo los procedimientos de auditora.
Al igual que el Riesgo de Control puede disminuir la
existencia de altos niveles de Riesgo Inherente, el Riesgo
de Deteccin es la ltima y nica posibilidad de disminuir
altos niveles de Riesgos Inherentes y Riesgos de Control.
Los factores que determinan el Riesgo de Deteccin estn
relacionados con:
La ineficacia de un procedimiento de auditora aplicado
La mala aplicacin de un procedimiento de auditora
Problemas de definicin de alcance y oportunidad en un
procedimiento de auditora
24
NIVEL DE RIESGO DE AUDITORIA
El Riesgo de Deteccin muy probablemente tendr un
efecto directo sobre la cantidad de EVIDENCIA que se
deba obtener durante las PRUEBAS SUSTANTIVAS.
Como es de esperarse, se requiere ms evidencia
cuando el Riesgo de Deteccin es menor, y viceversa.
Existe una relacin inversa entre el RIESGO DE
DETECCION y el nivel del RIESGO INHERENTE y
RIESGO DE CONTROL. Por ejemplo, cuando el RIESGO
INHERENTE y RIESGO DE CONTROL tienen un Nivel
Alto, los niveles aceptables del RIESGO DE DETECCION
necesitan ser Bajos para reducir el RIESGO DE
AUDITORIA a un Nivel aceptablemente Bajo.
25
LOGO
A continuacin se muestra un resumen de las
relaciones entre el RIESGO DE CONTROL con el
RIESGO DE DETECCIN y el Diseo de Pruebas
Sustantivas:
NIVEL EVALUACION DE RIESGO INHERENTE Y RIESGO DE CONTROL
26
Marco Conceptual y Antecedentes del
CONTROL INTERNO
27
LOGO
28
ANTECEDENTES DEL LOGO
CONTROL INTERNO
Desde pocas primitivas, el ser humano,
por la necesidad de controlar sus
pertenencias, cosechas y ganados, lleg
a establecer Procedimientos de
CONTROL.
Hoy en da, en el mundo empresarial, la
evolucin de las compaas, impulsada
por avances tecnolgicos y la
globalizacin de los mercados, ha
conllevado al incremento en el volumen
de operaciones y movimiento continuo de
activos, lo que ha obligado a establecer
procedimientos de control adecuados,
que asegure la correcta proteccin de sus
activos y patrimonio. 29
DEFINICIONES DE CONTROL INTERNO LOGO
30
LOGO
En 1941, dicho reglamento (emitido por la SEC)
fue reformulado para requerir a los auditores
que al fijar el alcance de su trabajo deberan
brindar consideracin al sistema de verificacin
y control interno.
31
LOGO
En 1949, el estudio Internal Control
Elements publicado por el AICPA defini el
control interno de la manera siguiente:
El control interno comprende el plan de
organizacin y todos los mtodos y
procedimientos que en forma coordinada se
adoptan en un negocio para salvaguardar sus
activos, verificar la exactitud y la confiabilidad de
su Informacin financiera, promover la eficiencia
operacional y fomentar la adherencia a las
polticas prescritas por la administracin
32
LOGO
En la dcada de los 70, el AICPA creo la comisin
sobre responsabilidades de los auditores es decir la
COMISIN COHEN con el propsito de desarrollar las
conclusiones y recomendaciones relacionadas con las
responsabilidades del auditor independiente.
34
DEFINICION DE CONTROL INTERNO LOGO
36
CONTROL INTERNO (Modelos Actuales de Control)
LOGO
37
Control interno COSO I, COSO II y COSO III
Committee of Sponsoring Organization
of the Treadway Commission
C O S O
38
LOGO
COSO I
MISION
El COSO I tiene como misin proporcionar
liderazgo de pensamiento a travs de la creacin
de estructuras y orientaciones generales sobre la
Gestin del Riesgo Empresarial, el control interno
y la disuasin del fraude diseado para mejorar el
desempeo organizacional, la gestin y reducir el
alcance del fraude en las organizaciones.
39
LOGO
COSO I
ANTECEDENTES
1947 Declaracin tentativa de las normas de auditoria,
su alcance y su aceptacin general
1948 Comisin para estudiar el control como una
doctrina importante. Existe la necesidad de establecer el
control interno
1985 se form la comisin nacional para emisin de
informes fraudulentos
1988 Se crea la Comisin TREADWAY es la que va a
dar vida al Sistema COSO
1992 COSO public el MARCO INTEGRAL DE
CONTROL INTERNO
40
COSO I LOGO
41
LOGO
ORGANIZACIONES PATROCINADORAS
de la Comisin TREADWAY
42
LOGO
COSO I
OBJETIVOS
Establecer una definicin comn de CI que responda a
las necesidades de las distintas partes
Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas
y el CI
Facilitar un modelo en base al cual las empresas y
otras entidades puedan evaluar sus sistemas de CI
Definir un nuevo marco conceptual del control interno
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el
control interno
43
COSO I LOGO
CINCO COMPONENTES
AMBIENTE DE CONTROL
Marca el comportamiento en una organizacin. Tiene
influencia directa en el nivel de concientizacin del personal
respecto al control.
EVALUACION DE RIESGOS
Mecanismos para identificar y evaluar riesgos para alcanzar
los objetivos de trabajo, incluyendo los riesgos particulares
asociados con el cambio.
ACTIVIDADES DE CONTROL
Acciones, Normas y Procedimientos que tiende a asegurar
que se cumplan las directrices y polticas de la Direccin
para afrontar los riesgos identificados.
44
LOGO
COSO I
INFORMACIN Y COMUNICACIN
Sistemas que permiten que el personal de la entidad
capte e intercambie la informacin requerida para
desarrollar, gestionar y controlar sus operaciones.
SUPERVISIN
Evala la calidad del control interno en el tiempo. Ya que
es importante determinar si dichos Controles estn
operando en la forma esperada y si es necesario hacer
modificaciones
45
LOGO
COSO I
Cubo COSO Anexo 02 SEPARATA RESUMEN COSO I 1992 English.pdf
46
LOGO
COSO I
ESTRUCTURA COSO I
47
LOGO
48
LOGO
COSO II
GESTION DE RIESGOS
Es un proceso efectuado por el Directorio de una
Compaa, las Gerencias Ejecutivas y el resto del
personal diseado para:
Identificar eventos potenciales que puedan afectar
los objetivos de una Empresa
Gestionar sus riesgos dentro de lo aceptable; y
Proporcionar una seguridad razonable sobre el logro
de los objetivos
49
LOGO
COSO II
OBJETIVOS
Operacionales
Vinculados al uso eficaz y eficiente de los recursos
de la empresa, al desempeo financiero, la
productividad, la calidad, las prcticas ambientales,
y la innovacin y satisfaccin de empleados y
clientes.
Cumplimiento
Cumplimiento de las leyes y regulaciones a las que
est sujeta la Compaa. La Empresa debe
desarrollar sus actividades en funcin de las leyes y
normas especficas
50
LOGO
COSO II
Informacin
Preparacin de reportes para uso de la
organizacin y los accionistas, teniendo en cuenta
la veracidad, oportunidad y transparencia.
Estratgicos
Direccionados al alto nivel, es decir, alineados a la
misin y a la visin de la entidad.
51
COSO II LOGO
4) EVALUACION DE RIESGOS
Los riesgos se analizan considerando su probabilidad e
impacto como base para determinar cmo deben ser
administrados. Los riesgos son evaluados sobre una
base inherente y residual bajo las perspectivas de
probabilidad (posibilidad de que ocurra un evento) e
impacto (su efecto debido a su ocurrencia)
54
COSO II LOGO
5) ACTIVIDADES DE CONTROL
Son las polticas y procedimientos para asegurar que las
respuesta al riesgo se lleve de manera adecuada y
oportuna.
6) RESPUESTA AL RIESGOS
Una vez evaluado el riesgo la gerencia identifica y
evala posibles repuestas al riesgo en relacin a las
necesidades de la empresa. Las respuestas al riesgo
pueden ser:
Evitarlo: se discontinan las actividades que generan
riesgo.
Reducirlo: se reduce el impacto o la probabilidad de
ocurrencia o ambas.
55
LOGO
COSO II
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porcin del
riesgo.
Aceptarlo: no se toman acciones que afecten el impacto
y probabilidad de ocurrencia del riesgo
7) INFORMACION Y COMUNICACION
La informacin es necesaria en todos los niveles de la
organizacin para hacer frente a los riesgos
identificando, evaluando y dando respuesta a los
riesgos.
Debe existir una buena comunicacin con los clientes,
proveedores, reguladores y accionistas.
56
LOGO
COSO II
8) MONITOREO
Sirve para monitorear que el proceso de administracin
de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a travs de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinacin de ambas formas
57
LOGO
COSO II
Cubo COSO II
58
LOGO
COSO II
Principios Fundamentales
59
LOGO
COSO II
AMBIENTE DE CONTROL
60
LOGO
COSO II
EVALUACION DE RIESGOS
61
LOGO
COSO II
ACTIVIDADES DE CONTROL
62
LOGO
COSO II
INFORMACION Y COMUNICACIN
63
LOGO
COSO II
ACTIVIDADES DE MONITOREO
64
LOGO
RELACION ENTRE COSO I Y COSO II
65
LOGO
66
LOGO
COSO III
ANTECEDENTES
1992 COSO presenta la primera versin del
Marco Integrado de Control Interno
67
COSO III LOGO
FACTORES
Variacin de los modelos de negocio como
consecuencia de la globalizacin.
Mayor necesidad de informacin a nivel interno debido
a los entornos cambiantes.
Incremento del nmero y complejidad de las normativas
aplicables al mundo empresarial a nivel internacional.
Nuevas expectativas sobre la responsabilidad y
competencias de los gestores de las organizaciones.
Incremento de expectativas de grupos de inters en la
prevencin y deteccin del fraude.
Aumento del uso de nuevas tecnologas.
Exigencias en la fiabilidad de la informacin reportada.
68
LOGO
COSO III
OBJETIVOS
Ampliar su aplicacin al expandir los objetivos
operativos y de emisin de informes.
Permitir una MAYOR COBERTURA de los
RIESGOS a los que se enfrentan actualmente las
organizaciones.
Actualizar el contexto de la aplicacin del control
interno a muchos cambios en las empresas y
ambientes operativos
Aclarar los requerimientos del control interno.
69
LOGO
COSO III
VENTAJAS DE COSO III
Globalizacin de mercados y operaciones.
Cambio continuo y mayor complejidad en los
negocios.
Mayor demanda y complejidad en leyes, reglas,
regulaciones y estndares.
Expectativas de competencias y responsabilidades.
Uso y mayor nivel de confianza en tecnologas que
evolucionan rpidamente.
Expectativas relacionadas con prevenir, desalentar y
detectar el fraude.
70
LOGO
COSO III
CINCO NUEVOS COMPONENTES
71
LOGO
COSO III
72
LOGO
COSO III
3. RIESGO EN EJECUCIN
Los riesgos que pueden afectar el logro de la
estrategia y los objetivos empresariales deben
ser identificados y evaluados. Los riesgos se
priorizan por gravedad en el contexto del apetito
por el riesgo. A continuacin, la organizacin
selecciona las respuestas de riesgo y toma una
visin de cartera de la cantidad de riesgo que ha
asumido. Los resultados de este proceso se
informan a las principales partes interesadas en
el riesgo.
73
COSO III LOGO
74
LOGO
COSO III
Los 23 Principios que comprenden son:
1. Ejercicios de Supervisin del Riesgo de la Junta
Directiva
El consejo de administracin supervisa la estrategia y
lleva a cabo las responsabilidades de gestin de
riesgos para apoyar a la administracin en el logro de
la estrategia y los objetivos de negocio.
2. Establecimiento del Gobierno y Modelo operativo
La organizacin establece estructuras de gobierno y
funcionamiento en la bsqueda de la estrategia y
objetivos de negocio.
75
COSO III LOGO
79
LOGO
COSO III
80
LOGO
COSO III
81
COSO III Anexo 07 Separata Documento COSO III 2016 Traduccin Libre Mario Vergara
LOGO
ESPAOL Marzo 2017.pdf
82
LOGO
DIFERENCIAS entre
COSO I, II y III
83
LOGO
85
LOGO
COSO ERM 2016
86
COSO ERM 2016 LOGO
87
LOGO
COSO ERM 2016
88
LOGO
BASILEA
ACUERDOS DE BASILEA
89
LOGO
BASILEA I
90
LOGO
BASILEA II
91
LOGO
BASILEA II
Para solventar este inconveniente, en 2004, el Comit
de Basilea volvi a proponer un nuevo conjunto de
recomendaciones, basadas en los llamados tres pilares
de Basilea II.
92
LOGO
BASILEA III
Los Acuerdos de Basilea III (Basilea III) se refieren a
un conjunto de propuestas de reforma de la regulacin
bancaria, publicadas a partir del 16 de diciembre de
2010.
Basilea III es parte de una serie de iniciativas,
promovidas por el Foro de Estabilidad Financiera
(FSB, Financial Stability Board por sus siglas en
ingls) y el G-20, para fortalecer el sistema financiero
tras la crisis de las hipotecas subprime. Se trata de la
primera revisin de Basilea II y se llev a cabo a lo
largo de 2009, entrando en ejecucin a partir del 31
de diciembre de 2010.
93
BASILEA III LOGO
94
QUE ES COBIT? LOGO
95
LOGO
LEY SARBANES OXLEY
Tambin conocida como el Acta de Reforma de la
Contabilidad Pblica de Empresas y de Proteccin al
Inversionista, es la ley que regula las funciones
financieras contables y de auditoria y penaliza en una
forma severa, el crimen corporativo.
La Ley Sarbanes Oxley nace con el fin de monitorear
a las empresas que cotizan en bolsa, evitando que las
acciones de las mismas sean alteradas de manera
dudosa. Su finalidad es evitar fraudes y riesgo de
bancarrota, protegiendo al inversor. Esta ley, afecta a
todas las empresas que cotizan en NYSE (Bolsa de
Valores de Nueva York), as como a sus filiales
96
LIMITACIONES DEL CONTROL LOGO
INTERNO (ERM)
Si bien ERM provee beneficios importantes, existen limitaciones:
En la toma de decisiones pueden fallar los juicios humanos
Las decisiones sobre cmo responder al riesgo y como
establecer controles requieren considerar los costos y beneficios
relacionados.
Pueden ocurrir interrupciones a causa de fallas humanas tales
como errores o equivocaciones simples
Los controles pueden ser eludidos por colusin de dos o ms
personas,
El Directorio o la Gerencia, tiene la capacidad de pasar por
encima de las decisiones de ERM. Esas limitaciones imposibilitan
que el Directorio y la Gerencia tengan seguridad absoluta
respecto al logro de los objetivos de la entidad. INF AUI GP N 628-12-2016
Auditora de Cumplimiento PROYECTO IMPALA - NEWR TDS 877 (al 30 de Noviembre de 2016).pdf
97
LOGO
PRACTICAS DE BUEN GOBIERNO
Antecedentes
A principios de los noventa se suscit una fuerte
presin para fortalecer las prcticas de buen gobierno
corporativo en el mundo, debido a que los
inversionistas demandaban una mayor participacin en
los rganos administrativos de las sociedades. Sin
embargo, el gobierno corporativo pas a tener singular
importancia a raz de la crisis asitica de fines del siglo
pasado, resultado de lo cual se generaron nuevos
enfoques e instrumentos de gobierno corporativo.
98
GOBIERNO LOGO
CORPORATIVO:
100
LOGO
Principio 22: Cdigo de tica y
Conflictos de Inters.
La Empresa cuenta con un Cdigo de tica que es
exigible a sus directores, gerentes, funcionarios y
dems colaboradores de la compaa, el cual
comprende criterios ticos y de responsabilidad
profesional, incluyendo el manejo de potenciales
casos de conflictos de inters. La Empresa adopta
medidas para prevenir, detectar, manejar y revelar
conflictos de inters que puedan presentarse. Los
directores se abstienen de votar o participar en
cuestiones
Anexo 04 CODIGO DE BUEN GOBIERNO CORPORATIVO SMV.pdf
Anexo 02 INF AUI GRUPO ZARA N 1412-12-2016 Seguimiento al Proveedor CONSORCIO LOGISTICO VALERA EIRL- GRUPO
ZARA (Al 31 de Julio del 2016) MVS.pdf
101
LOGO
APROBACION DEL CODIGO DE BUEN
GOBIERNO CORPORATIVO
La Superintendencia del Mercado de Valores (SMV),
mediante Resolucin N 012-2014-SMV/01, aprob el
nuevo Reporte sobre el Cumplimiento del Cdigo de Buen
Gobierno Corporativo para las Sociedades Peruanas.
Este reporte sustituir el anexo incluido en la memoria
anual y en los prospectos de oferta pblica denominado
Informacin sobre el Cumplimiento de los Principios de
Buen Gobierno para las Sociedades Peruanas.
El nuevo reporte ser aplicado a partir de la presentacin
de la memoria anual del ejercicio 2014, y para el caso de
los prospectos de oferta pblica, a partir del 1 de enero del
2015.
Anexo 05 Hiper Reporte de GOB CORP AUSTRAL GROUP.pdf
102
LOGO
103
LOGO
105
Control interno en el sector pblico
Resolucin de Contralora N 320-2006-CG
La Contralora General de la Repblica, en 2006 aprob, mediante Resolucin
de Contralora N 320-2006-CG, las Normas de Control Interno, las cuales
fueron elaboradas en armona con los conceptos y enfoques COSO.
SCI COSO SECTOR PUBLICO\RESOLUCION 458 CGR 2008.pdf
106
Control interno en el sector pblico
RESOLUCION DE CONTRALORIA N 149-2016-CG
Hoja informativa N'00022-2016-CG/PEC de la Gerencia central de
Planeamiento Estratgico recomienda la aprobacin del proyecto de Directiva,
"implementacin del Sistema de Control interno en las entidades del Estado"; el
artculo 6 de la Ley N' 27785, Ley Orgnica del sistema Nacional de control y
de la contralora General de la Republica. \RESOLUC CONTRALORIA N 0149-2016
Implementacin SCI COSO ERM.pdf
Directiva N 013-2016-CG/GPROD
Por otro lado, el 14 de Mayo de 2016, se aprob la Directiva N 013-2016-
CG/GPROD denominada Implementacin del Sistema de Control Interno en la
entidades del Estado, cuyo texto forma parte integrante de la presente
Resolucin. Las entidades que se encuentren en proceso de implementacin
de su Sistema de Control Interno se adecuarn al modelo previsto en la
Directiva aprobada por la presente Resolucin.
108
FASES PARA LA IDENTIFICACIN Y
GESTIN DE RIESGOS
El Modelo recomendado para la Identificacin, Anlisis,
Tratamiento y Gestin de Riesgos es el basado en los
estndares Australiano Neozelands: AS-NZS HB 436-
2013 / AS-NZS ISO 31000-2009 / AS-NZS 4360-2004 / AS
NZ 4360:1999
110
FASE I: ESTABLECER EL CONTEXTO
El proceso ocurre dentro de la estructura del contexto
estratgico, organizacional y de administracin de riesgos de
una organizacin. Esto necesita ser establecido para definir los
parmetros bsicos dentro de los cuales deben administrarse
los riesgos y para proveer una gua para las decisiones dentro
de estudios de administracin de riesgos ms detallados. Esto
establece el alcance para el resto del proceso de administracin
de riesgos.
111
Consideraciones que apoyan la cultura para la
gestin del riesgo
112
1. El uso de un lenguaje comn de riesgos mediante
definiciones de trminos a usar, programas de
capacitacin e informacin al personal, sobre la
normativa, prctica, objetivos y medidas
establecidas por la Gestin del Riesgo Integral.
2. Promover la responsabilidad personal de quienes
estn involucrados en los procesos Integrales para
que participen en la identificacin de los riesgos,
as como la deteccin de nuevas amenazas.
3. Facilitar el desarrollo y comunicacin de las
estrategias para el riesgo Integral.
113
4. Crear conciencia al personal sobre el impacto que
tienen la correcta ejecucin de sus actividades y que los
resultados de las mismas deben ser confiables y
oportunos.
5. Comunicar a todo el personal sobre las polticas y
procedimientos establecidos para cumplir y
desempear la Gestin del Riesgo Integral.
6. Incluir peridicamente estas obligaciones en la agenda
de las reuniones gerenciales para mantener el impulso
sobre el tema y usar la gestin de riesgos como efectiva
herramienta para la toma de decisiones.
114
LOGO
115
Consideraciones para definir la estrategia de
mitigacin de riesgo integral
116
Revisiones de la Metodologa
117
identificacin de los Procesos y Subprocesos
11
8
FASE II: IDENTIFICAR RIESGOS
La utilizacin de cuestionarios de chequeo permite identificar
situaciones de riesgo a travs del conocimiento individualizado
de sus factores de riesgo y del tratamiento global de los
mismos. Su llenado nos ayuda a identificar anomalas o
carencias preventivas en el rea en que se aplica, las cuales,
a partir de su nivel de implicacin y carcter determinante
respecto al riesgo en cuestin, nos permite categorizar el
estado o grado de control y, por consiguiente, priorizar la
implantacin de las medidas de prevencin y/o proteccin
pertinentes.
119
Mapeo de procesos
Tambin llamado FLUJOGRAMAS representa los pasos
que se siguen en un proceso con el fin de determinar su
funcionamiento. Ella hace posible familiarizarse con los
aspectos tcnicos de los procesos, lo cual permite
entenderlos con mayor claridad, al igual que se facilita la
identificacin de sus RIESGOS INHERENTES.
Esta herramienta nos permitir generar ideas sobre los
posibles eventos negativos que puedan presentarse, como
demoras por cuellos de botella, debilidades o ausencia de
controles, fraudes, errores, accidentes, etc.
Una vez identificado los Riesgos, se debe proceder a
identificar las CAUSAS, las PROBABILIDADES DE
OCURRENCIA y el IMPACTO.
120
Inspeccin
Una inspeccin puede ser ms valiosa y descubrir riesgos
mucho mejor que con cualquier otra herramienta no
podran detectarse.
Con la inspeccin se recoge informacin y se comprueba
en forma fsica la manera en cmo se llevan a cabo las
actividades, el estado de los equipos, de las instalaciones,
de los edificios, y la manera en cmo se prestan los
servicios y atienden a los clientes. Previo a la inspeccin,
se debe realizar un anlisis de los documentos referentes
al lugar o proceso a inspeccionar y efectuar una entrevista
al responsable.
Al finalizar la inspeccin nos reunimos con el responsable
del rea o proceso analizado, para compartir sus
resultados, aclarar o precisar detalles y establecer la lista
definitiva de Riesgos identificados.
121
Analisis de Estados Financieros y otra informacin de
la empresa
El anlisis de los EEFF e Informacin adicional de la
Empresa es una base importante que permite ampliar el
proceso de IDENTIFICACIN DE RIESGOS. Para realizar
este anlisis se utiliza el estudio de indicadores
financieros, tales como rentabilidad, liquidez, nivel de
endeudamiento, rotacin de inventarios o de cartera, y el
anlisis de tendencias.
El anlisis de informacin adicional de la empresa incluye
el estudio de documentos que pueden ayudar a identificar
Riesgos, si se revisan con cuidado, documentos tales
como: contratos, manuales de procesos, informes de
auditora, publicidad, quejas y reclamos, etc.
122
Metodologa para la identificacin y evaluacin
Cualitativa de Riesgos
Los responsables de procesos y subprocesos tienen
la obligacin de efectuar la identificacin y evaluacin
de los riesgos que puedan afectar que de
materializarse tendran efecto negativo.
A tales fines dentro del plazo que se le asigne
debern elaborar la Planilla de Identificacin de
Riesgos del o los Subprocesos asignado para
revisin. Toda sta informacin ser validada por el
responsable del proceso.
El responsable del subproceso tendr como insumos
para identificar las amenazas lo siguiente:
123
Su Conocimiento y de su personal
Informacin descriptiva del proceso.
Diagrama de Flujo del proceso en caso de existir.
Registro de Eventos de prdida asociados al
subproceso en caso de existir.
Para los riesgos de la categora tecnolgica deber
tomarse como bsicos los que identifique el Comit de
Seguridad dentro de la Gestin de Riesgos basado en la
Norma ISO 27001.
En este sentido, los riesgos identificados por el
responsable del subproceso como de seguridad debern
integrarse, si corresponde, al anlisis de riesgos basado en
la Norma ISO 27001.
124
Para los riesgos de la categora cumplimiento que se
refieren especialmente a polticas, procedimientos y
contratacin de servicios de terceros, demandas de
terceros y atencin a requerimientos de autoridad
deber contarse con el apoyo de los Asesores
Legales en la elaboracin de tratamientos.
125
Clasificacin de Riesgos
Riesgo Estratgico
Riesgo Operativo
Riesgo Financiero
Riesgo de Cumplimiento
Riesgo de Tecnologa
126
1. Riesgo Estratgico:
Se asocia con la forma en que se administra la entidad.
El manejo del riesgo estratgico se enfoca en asuntos
globales relacionados con la misin y el cumplimiento
de los objetivos estratgicos, la clara definicin de
polticas y el diseo y conceptualizacin de la entidad
por parte del Directorio.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones de la Alta Direccin (Titular y Gerencia
General)
Ejemplo: Errores en la ejecucin de procesos
cumpliendo rdenes de jefaturas contradictorias, Falta
de involucramiento de la Alta Direccin con las
iniciativas tecnolgicas.
127
2. Riesgo Operativo
Comprende los riesgos relacionados tanto con la parte
operativa como tcnica de la entidad, incluye riesgos
provenientes de deficiencias en los sistemas de
informacin, en la definicin de los procesos, en la
estructura organizacional, en la desarticulacin entre
dependencias, lo cual conduce a ineficiencias,
oportunidades de corrupcin e incumplimiento de los
compromisos institucionales.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones de la Gerencia responsable del
proceso afectado.
Ejemplo: Incendio, Fraude Interno, Robo de bienes de la
Compaa.
128
3. Riesgo Financiero
Se relacionan con el manejo de los recursos de la
entidad e incluye, la ejecucin presupuestal, la
elaboracin de los estados financieros, los pagos,
manejos de excedentes de tesorera y el manejo sobre
los bienes. De la eficiencia y transparencia en el manejo
de los recursos, as como su interaccin con las dems
reas, depender en gran parte el xito o fracaso de
toda entidad.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones del Directorio, segn corresponda.
Ejemplo: Falta de efectivo para atender pagos; aumento
no previsto del valor del dlar
129
El riesgo financiero se puede dividir en:
a) Riesgo de Mercado: Se define como el riesgo que
sobre las inversiones ejercen los movimientos en las tasas
de inters, los movimientos de precio, la liquidez del
mercado, entre otros.
b) Riesgo de Crdito: Se define como el riesgo de una
inversin debido al deterioro crediticio del emisor de un
valor, o de la capacidad de pago de la estructura o
instrumento en s.
c) Riesgo Operacional: Se define como el riesgo de
prdida derivado de la ejecucin, liquidacin o
transferencia de una operacin financiera, que puede
involucrar desde un simple depsito hasta un derivado
financiero.
130
La administracin de inversiones financieras, implica
mantener un equilibrio entre riesgo y retorno.
El riesgo financiero cuenta con tcnicas especficas.
Sin embargo debern identificarse los riesgos
genricos que pueden afectar a la empresa e
integrarlos al Mapa de Riesgos General.
131
4. Riesgos de Cumplimiento
Se asocian con la capacidad de la Empresa para
cumplir con los requisitos legales, contractuales,
polticas, normas, cdigos de tica y en general con
su compromiso ante la comunidad.
132
5. Riesgos de Tecnologa
Se asocian con la capacidad de la entidad para que la
tecnologa disponible satisfaga sus necesidades
actuales y futuras y soporte el cumplimiento de su
misin.
La existencia de estos riesgos a nivel inaceptable puede
requerir la participacin del rea de SISTEMAS.
Ejemplo: Fallo de un sistema informtico.
La clasificacin de cada amenaza la realizar el
responsable del subproceso que la identifica. Dicha
clasificacin ser luego revisada por personal de
AUDITORIA INTERNA quien la podr ajustarla en caso
de entender que no fue correctamente clasificada.
Se estima que en forma inicial dicha clasificacin es
suficiente al definir un nivel para las amenazas.
133
Identificacin de Riesgo Integral a nivel de Subproceso
Una de las formas de identificar con la consulta efectiva a
los dems Jefes y/o Gerentes participantes en el proceso,
y as determinar lo siguiente:
Existencia de actividades crticas en el subproceso.
Acontecimientos (Riesgos) que han afectado el
cumplimiento de los objetivos y actividades.
Existencia de medidas de control para mitigar los
riesgos identificados.
Existencia de servicios proporcionados por terceros.
Existencia de probabilidad de demandas de
trabajadores, afiliados.
Existencia de sistemas, aplicativos y activos vulnerables.
134
Tambin puede pensarse en los agentes que
ocasionan esas amenazas para completar la lista de
amenazas:
Qu puede fallar de la tecnologa usada en el
subproceso?
Qu dao puede originarse en actitudes, errores y
acciones de funcionarios?
Qu dao puede originarse en actitudes, errores y
acciones de personal del proveedor o terceros?
Qu eventos naturales pueden afectar al subproceso?
Qu circunstancias polticas, legales o econmicas
pueden afectar al subproceso?
135
Para lograr la participacin de los dems trabajadores que
conocen el Subproceso, el responsable del mismo podr
usar las tcnicas siguientes: tormenta de ideas, tcnica
Delphi, cuestionarios y encuestas, reuniones grupales,
anlisis FODA, uso de diagramas de flujo de proceso. Las
mismas buscan la participacin de modo de obtener
diversas visiones del mismo punto.
136
b) Tcnica Delphi. Es una tcnica que permite llegar a un
consenso entre expertos en una determinada materia. Los
expertos en riesgos participan en esta tcnica de forma
annima. Un facilitador emplea un cuestionario para
solicitar ideas acerca de los riesgos importantes de la
entidad.
Las respuestas obtenidas son luego resumidas y enviadas
nuevamente a los expertos para que realicen comentarios
adicionales.
c) Cuestionarios y encuestas: Los cuestionarios abordan
una amplia gama de cuestiones que los participantes
debern considerar, centrando su reflexin en los factores
internos y externos que han dado, o pueden dar lugar, a
eventos negativos. Las preguntas pueden ser abiertas o
cerradas, segn sea el objetivo de la encuesta.
137
d) Entrevistas. Entrevistar a participantes experimentados
e interesados en la materia de riesgos as como aquellos
funcionarios involucrados en los principales procesos.
138
f) Diagramas de flujo de procesos. El anlisis del
flujo de procesos implica normalmente la
representacin grfica y esquemtica de un proceso,
con el objetivo de comprender las interrelaciones
entre las entradas, tareas, salidas y responsabilidades
de sus componentes. Una vez realizado este
esquema, los acontecimientos pueden ser
identificados y considerados frente a los objetivos del
proceso.
139
Redaccin, Cantidad y Calidad de Riesgos a
Identificar
El rea de AUDITORIA INTERNA debe contar con un
Instructivo de aplicacin de evaluacin de riesgos.
All se incluye el Modelo de Planilla Borrador de
identificacin de Riesgos.
Dicho instructivo incluir una lista de modelos de amenaza
genrica y orientativa que sirvan de ejemplo.
Las mismas tratan que el evaluador vea que la amenaza
es la accin que puede afectar el objetivo y no la
consecuencia o el agente que lo ocasiona.
Ejemplo: Mala imagen pblica no es una amenaza sino la
consecuencia de algo que pas, una amenaza que se
concret.
140
La amenaza podra ser robo y mal uso de informacin
de aportantes. Una vez difundida tiene entre otras
consecuencias efecto negativo sobre la imagen
pblica.
Tampoco constituye una amenaza algo que es
claramente una falla de un control.
142
Inventario de Riesgos
A partir de la identificacin de riesgos realizada, se
deber implementar un Inventario de riesgos que
permita su seguimiento.
En sucesivos ciclos se entregar al evaluador para
que lo tenga en cuenta en cuanto a los riesgos
identificados, los que podr variar en sus valuaciones.
Este informe se obtendr a partir del sistema
informtico, una vez cargados y valorados todos los
riesgos.
El mismo detallar la informacin identificada de cada
riesgo en el ciclo de evaluacin anterior.
143
FASE III: ANALIZAR RIESGOS
Esta fase comprende lo siguiente:
1) Analizar las amenazas identificadas en trminos de
probabilidades e impacto.
2) Identificar y valuar los controles mitigantes relacionados.
El anlisis debe considerar el rango de impactos
potenciales y cun probable es que ocurran esas
consecuencias negativas segn las escalas definidas en la
fase contexto.
El impacto, la probabilidades y el juicio de los controles
al ser combinadas determinaran un valor para priorizar los
riesgos en fases posteriores. La aplicacin de una
metodologa uniforme para todos los riesgos, permite su
comparacin. Los objetivos de anlisis son focalizar en los
riesgos mayores, y proveer datos para asistir en las etapas
de evaluacin y tratamiento de los riesgos. 144
Medicin de Riesgos y Controles
Una vez identificada el conjunto de amenazas, las
mismas deben priorizarse. Esto se justifica en que
dado que los recursos son escasos debe definirse un
esquema que defina cuales deben atenderse primero.
El anlisis de riesgo tendr diversos grados de
refinamiento dependiendo de la informacin
disponible.
A efectos de iniciar el proceso se usar una escala de
juicios cualitativos. Es decir, se definir diversas
opciones entre las cuales se elegir la que se estime
que ms se ajusta a la amenaza concreta.
145
Cantidad de Niveles de Juicio
Deben definirse cuantas posibles opciones de opinin se
establecen para cada una de las dos mediciones
(probabilidad e impacto). Para ello se establecen cinco
valores para la probabilidad de ocurrencia y cinco para el
impacto o consecuencia en caso de ocurrencia.
Esto permite a quien evala considerar entre los extremos
superiores e inferiores varios valores que permitan una
distribucin ms afinada.
Por lo tanto, al tratarse de un cuadro de 5 x 5, existan
veinticinco opciones para distribuir adecuadamente todas
las amenazas de la entidad. Asimismo evita la
concentracin en una sola zona media que luego haga
ms compleja la priorizacin.
146
Criterios Cualitativos para determinar la
PROBABILIDAD de los Riesgos
Para determinar la probabilidad de ocurrencia de los
riesgos Integrales, identificados en los procesos, se debe
establecer 5 niveles de probabilidad de ocurrencia:
Si bien pueden existir eventos ms frecuentes (error de
digitacin en un sistema) que otros (incendio), se toma
como referencia bsica la ocurrencia efectiva de la
amenaza en el espacio de tiempo definido en la
descripcin.
Para determinar en qu nivel debe ubicarse cada amenaza
segn la escala que se presenta, a continuacin el
evaluador debe tener en cuenta lo siguiente:
147
Escala de Probabilidad
Nivel Probabilidad de Descripcin
ocurrencia del
evento
5 Casi certeza Hay una casi certeza de que este
evento ocurrir Las condiciones son
altamente propicias para ocasionar su
materializacin.
Existe una gran probabilidad de que
dicho evento ocurra ms de doce
veces al ao.
4 Muy Frecuente Puede ocurrir por lo menos dos veces
al ao.
3 Frecuente Puede ocurrir por lo menos una vez al
ao. Las condiciones son
medianamente favorables para
permitir su ocurrencia
2 Ocasional Puede ocurrir por lo menos una vez
cada dos aos o ms.
1 Rara vez Puede ocurrir por lo menos una vez
cada diez aos o ms. No existen
condiciones que permitan su
ocurrencia
148
Criterios Cualitativos para determinar el nivel
de IMPACTO de los Riesgos
Medicin del Impacto de la amenaza:
La concrecin efectiva de la amenaza tendr un efecto
negativo sobre uno o ms objetivos que se pretendan
cumplir. Sea que ocurra demoras en la obtencin del
resultado (tiempo), o que lo obtenido no sea lo
esperado (calidad) o requiera destinar ms recursos
(costo), existe en ltima instancia un efecto de prdida
financiera.
Sin embargo, ante la imposibilidad de cuantificar
efectivamente dicha prdida en valor monetario se
usarn por parte del evaluador un conjunto de criterios
para la evaluacin.
149
Escala de Impacto
Nivel IMPACTO
5 Catastrfico
4 Alto
3 Moderado
2 Menor
1 Insignificante
150
Nivel Impacto Descripcin
5 Muy Alta No se puede cumplir con los objetivos del Negocio, el no
cumplimiento compromete a la Empresa, puede ser
sancionada, se pueden dar prdidas financieras muy altas,
prdidas de imagen, y no cumplimiento de
responsabilidades. Compromete la imagen de la
organizacin. Se hace pblico. Por ej.; Incendio grave, robo
o alteracin de las bases de datos crticas. Puede obligar a
activar el Plan de continuidad de negocio por un periodo de
tiempo prolongado.
4 Alta Requiere tratamiento, correccin inmediata, en las reas
afectadas,
Los procesos afectados son crticos
Se requiere de asistencia para la correccin, se representan
prdidas financieras medias, de imagen y pueden existir
debilidades en los procesos operativos y consecuencias
legales. Ocasiona una prdida de informacin significativa.
Requiere rehacer los trabajos para volver a la situacin
anterior. Altos costos de recursos para reparar la situacin
3 Moderado Prdidas de alguna capacidad de operacin, La duracin del
efecto negativo no llega a afectar la operativa diaria, aunque
puede ser percibido por terceros.
La Compaia se ve expuesta a prdidas financieras u
operativas moderadas.
Determina procedimientos de investigaciones internas
2 Menor Los tratamiento de ayuda o correccin, se realiza de manera
inmediata,
Genera algunas prdidas financieras o de imagen,
Los procesos afectados no son crticos y los compromisos de
la Empresa hacia los terceros o internamente no se ven
comprometidos.
Un suceso que afecta las operaciones pero se resuelve a
nivel del rea involucrada.
La interrupcin no supera una hora. Ocasiona algn trabajo
para restaurar la situacin
1 Insignificante No hay dao, ni prdida financiera, ni de imagen, ni de
potenciales problemas operativos o de cumplimiento legal
bajo.
Se trata de un caso puntual con prdidas poco significativas,
Se soluciona rpidamente sin que queden consecuencias.
151
Criterios para juicio sobre las Actividades de Control
La organizacin realiza un conjunto de actividades usando
recursos internos y externos, define polticas y
procedimientos, orientados a:
152
El rea evaluada deber identificar los controles
actualmente vigentes de modo de determinar su suficiencia
ante la amenaza asociada.
Para ello el evaluado debe considerar lo siguiente:
a) Para qu se hace esta actividad de control?
b) Se aplica en la prctica en forma consistente y se
puede demostrar?
c) Puede requerir mejoras o nuevos controles
complementarios para disminuir el efecto daino del
riesgo?
En el proceso de enfrentar riesgos con controles, el
evaluador deber reportar los controles que a su juicio no
estn aportando valor a la Empresa, tales como:
153
a) Son ms costosos que el beneficio que aportan.
b) No se ha podido asociar a ninguna de las amenazas
que pueden afectar los procesos del rea.
Para ello deber tener en cuenta, antes de autorizar su
eliminacin, que no est siendo usado para mitigar riesgos
de otra rea.
El juicio a emitir es sobre el conjunto de actividades de
control asociadas al riesgo.
Por ejemplo si para un riesgo hay tres controles, el control
A se estima Adecuado segn la escala siguiente, pero los
controles B y C deben mejorarse, el juicio Global debe ser
A mejorar. El evaluador deber clarificar esta situacin
mediante comentarios.
154
Actividades de CONTROL
155
FASE IV: EVALUAR RIESGOS
Consiste en comparar el nivel de riesgo detectado durante
el proceso de anlisis contra el nivel de Riesgo Mximo
Aceptable que define el DIRECTORIO.
Esto posibilita que los riesgos sean ordenados como para
identificar las prioridades de acciones para mitigar los
riesgos.
Mapa de Riesgos
El mapa de riesgos se emplea tambin como una
herramienta para representar grficamente la
probabilidad de ocurrencia y el impacto para cada uno
de los riesgos identificados y a los que se encuentra
expuesta la empresa.
156
El rea de AUDITORIA INTERNA con la informacin sobre la
evaluacin cualitativa que contienen las Matrices de Riesgos y
Controles obtendr para anlisis, el Mapa de Riesgos el cual
incluye los riesgos Integral identificados.
Dicho Mapa se deber analizar de la siguiente forma:
Uno que incluya todos los Procesos y reas que por
consiguiente sea el mapa general de riesgos de la empresa
Un Mapa de Riesgos para cada rea organizativa de la
empresa que incluya las amenazas identificadas de todos los
procesos en que participa como responsable.
Un Mapa de Riesgos para un proceso especfico que se
desee analizar y que pueda incluir actividades de ms de un
rea.
157
Puntuacin de la gravedad de la Consecuencia
5 4 3 2 1
Puntaje de Probabilidad
Casi Certeza 5 A A A A M
Probable 4 A A A M M
Posible 3 A A M M B
Improbable 2 A M M B B
Raro 1 A B B B B
158
Explicacin grfica:
Nivel Bajo de Probabilidad de Ocurrencia + Nivel Bajo de
Impacto
En la seccin de color amarilla se sitan los puntos que
representan aquellos riesgos que cuentan con una probabilidad de
ocurrencia e impacto medio.
Requieren un monitoreo permanente ante la posibilidad de que
cambie su estatus.
Nivel Medio de Probabilidad de Ocurrencia + Nivel Medio de
Impacto
La seccin de color rojo contiene aquellos riesgos que tienen una
alta probabilidad de ocurrir y que de materializarse el impacto puede
poner en peligro la continuidad del proceso Integral:
Nivel Alto de Probabilidad de Ocurrencia + Nivel Alto de
Impacto
El objetivo del mapa de riesgos es visualizar los riesgos Integrales,
en la grfica aquella que requieren atencin urgente (alta
probabilidad de ocurrencia y alto impacto), as como determinar
aquellos de prioridad menor que deben ser monitoreados.
159
ndice de Exposicin al Riesgo
A efectos de poder categorizar los riesgos por su criticidad,
se define lo siguiente:
o ndice de Exposicin al Riesgo= Probabilidad X Impacto
Juicio sobre A. Control
160
o Por consiguiente para un riesgo la peor situacin y de
mayor exposicin seran 25 (5 X 5/1) ya que con
mximo nivel de riesgo los controles no son adecuados.
o En el otro extremo tenemos un ndice de exposicin de
0,25 (1 X1/4), el que la probabilidad e impacto toman
(1) punto cada uno y los controles son adecuados (4).
o En ese entorno de puntajes 0,25 a 25 se ubican todos
los riesgos identificados y valuados.
o Este ndice significa que toda accin orientada a
disminuir el numerador (probabilidad y/o impacto
menores) y/o a aumentar el denominador (mejoras a los
controles) disminuir la exposicin al riesgo.
161
o La exposicin al riesgo deber calcularse para los
objetivos de cada subproceso y a su vez para el propio
subproceso y para cada rea.
o Se efectuar en un estado inicial usando promedio
simple (l considerar que todos los riesgos que pueden
afectar al mismo objetivo tienen el mismo peso.)
o El rea de riesgo deber monitorear los ndices de
Exposicin al Riesgo de las diversas reas e identificar
casos que requieran mejorar el nivel de exposicin
mediante medidas, que disminuyan el valor del ndice.
162
163
Riesgo mximo aceptable
La Empresa a travs del DIRECTORIO definir cuales riesgos
son inaceptables. Estos niveles se determinaran en forma previa
a la evaluacin del riesgo y podrn ser revisados a propuesta
del rea e control.
164
El Riesgo es el producto numrico de la probabilidad por
impacto
La evaluacin es el juicio sobre los controles
165
Fig. Esquema Conceptual del RMA
166
FASE V: TRATAR RIESGOS
Se define una estrategia de mejora del Sistema de Control
Interno, optimizando el uso de recursos con soluciones
costo/efectivas para mitigar los riesgos inaceptables.
167
Tratamientos de Mejora ante los Riesgos
Las propuestas efectuadas podran ser de los siguientes
tipos:
o Aquellas en las cuales el responsable del subproceso
puede emprender accin inmediata y no tienen costo
monetario (por ejemplo disponer que el personal guarde
bajo llave los documentos al terminar la jornada).
o Acciones que teniendo costo sern ejecutadas por el
responsable del subproceso y su personal. Las mismas
requerirn la autorizacin correspondiente y la
asignacin de fondos.
o Acciones que deben ser ejecutadas por otra rea (por
ejemplo el responsable de un subproceso requiere que
su personal realice capacitacin o un nuevo sistema
informtico).
168
Los 4 tipos de acciones a ejecutar se pueden clasificar
del siguiente modo:
1. Evitar el riesgo
2. Reducir los riesgos
3. Compartir o transferir el riesgo
4. Aceptar el riesgo
Anexo MAPEO DE RIESGOS CORPORATIVOS 2017 - COLD IMPORT.xls
169
Riesgo Residual
Ejemplo de aplicacin y Riesgo Residual
La seleccin de tratamientos incluir un anlisis de cmo
los mismos disminuyen la probabilidad y/o el impacto a
niveles aceptables.
En efecto para un riesgo que superaba el Riesgo Mximo
Aceptable (RMA) se propusieron mejoras a los controles
(por ejemplo para disminuir la probabilidad de ocurrencia).
Al decidir aceptar e implantar esa propuesta de nuevos
controles debe determinarse que el nivel de exposicin al
riesgo (suponiendo que ese control ya funcionara)
disminuye a un nivel que no es 0 (cero), pero que es
menor que el Riesgo mximo Aceptable.
170
Ejemplo: El riesgo de que una queja de un Cliente o no
tenga seguimiento es juzgado como Frecuente (3 puntos) y
de impacto Muy Alto (5 puntos).
Esto da 15 puntos de producto.
A su vez el control actual se juzga como A mejorar ya
que si bien se hace algn seguimiento, el mismo no se
aplica en todos los casos ni se informa.
Se proponen los siguientes tratamientos:
Asignar un nmero de la queja (disminuye la
probabilidad)
Registrar las quejas y asignarle plazo y responsable de
seguimiento (disminuye la probabilidad)
Envi de una comunicacin al beneficiario si la queja no
es respondida en tiempo (disminuye el impacto)
171
Las tres medidas son propuestas porque se estima que
pueden disminuir para ese riesgo la probabilidad de que
ocurra a Ocasional (2 puntos) y el impacto a Menor (2
puntos) y controles Aceptables.
Como se puede notar en el ejemplo 2 x 2 = 4 < 15 nivel
donde se comienza a considerar los riesgos como no
aceptables.
Es claro que el nivel de riesgo de 4 puntos significa que el
riesgo no desapareci, queda un nivel de riesgo residual,
lo que ocurre que se considera tolerable.
172
FASE VI: MONITOREAR Y REVISAR
Monitorear y revisar el desempeo del sistema de
Administracin de Riesgos y los cambios que podran
afectarlo.
Las actividades de monitoreo se basaran en el
seguimiento de la informacin ingresada por las reas en
el sistema informtico. A partir de all se obtienen reportes
sobre la evaluacin y seguimiento de tratamientos.
Tambin forman parte del monitoreo las acciones
peridicas que se efecten para identificar amenazas no
previstas originalmente.
Mediante sucesivos ciclos se puede ir mejorando, y
tendiendo a lograr mediciones cada vez ms objetivas de
la efectividad de los controles.
173
Los responsables de cada rea y los evaluadores y
validadores de la misma pueden ver la informacin
cargada en el software y generar reportes y graficas de sus
propios procesos y subprocesos. Esto permite un
seguimiento de las situaciones graves (riesgos que
superan el riesgo mximo aceptable, segn el mapa de
riesgos) y de los dems riesgos menores.
El rea de AUDITORIA INTERNA pueden ver la
informacin integral, por ejemplo el Mapa de Riesgos de
toda la Compaa para informar al DIRECTORIO.
Tambin mediante el software se pueden registrar los
proyectos de mejora con sus responsables y monitorear el
cumplimiento al definir una fecha prevista de terminacin.
174
Apoyo para la Auditora del Riesgo Integral
El rea de control recibir copia de los informes de los
Auditores externos con las observaciones que cada rea
realice en ejercicio del cumplimiento de su Plan de
Trabajo. Deber evaluar las observaciones all realizadas
de modo de apoyar al rea en el cumplimiento de las
mismas, dentro de los procedimientos definidos por el
presente Manual.
175
Posicin ante el riesgo
La empresa adopta una posicin prudente ante los riesgos.
Tomando como referencia las escalas de medicin de
probabilidad e impacto definidas, se fija lo siguiente:
Se considerar que superan el Riesgo Mximo Aceptable,
aquellas potenciales amenazas que no contando con
controles adecuados asociados tienen definida:
o Probabilidad Casi certeza con Impacto Moderado o
superior
o Probabilidad Muy frecuente con Impacto Alto o superior
o Probabilidad Frecuente con Impacto Muy Alto
Una vez identificadas situaciones de este tipo y validadas por
el rea responsable debern emprenderse acciones para
disminuir el nivel de exposicin al riesgo a niveles aceptables.
Las amenazas que estn por debajo del Riesgo Mximo
Aceptable debern ser igualmente monitoreadas.
176
FASE VII: COMUNICAR Y CONSULTAR
Comunicar y consultar con interesados internos y externos
segn corresponda en cada etapa del proceso de
administracin de riesgos y concerniendo al proceso como
un todo.
177
LOGO
178
Expositor: Mag. CPC. Mario Vergara Silva
179