Introducción a la gestión

de los riesgos.
Informe COSO II.
Por Isabel Casares San José-Martí
EALDE Business School

Introducción a la gestión de riesgos

Introducción a la gestión de los riesgos
ERM como base del gobierno corporativo
Todos en la empresa tienen responsabilidad en ERM: el Comité Ejecutivo, la gerencia de riesgos,
los risk officers, los auditores, el compliance officer y el personal. Todos están involucrados, de tal
forma que el plan de formación, de involucramiento y de distribución de roles tiene que ser
completo. Debemos modelar, medir y cubrir el riesgo.
Definición de gerente de riesgos: es alguien que trabaja con otros directivos para establecer y
mantener una efectiva gerencia de riesgos en sus áreas de responsabilidad. Tiene responsabilidad
de monitoreo, asiste, releva información, es miembro del Comité de Riesgos, pero básicamente
trabaja con los demás porque dijimos que los involucrados en esto son todas las personas de la
compañía, desde el primero al último, y es el nexo clave entre la línea —la línea es la que está en
el día a día— y los evaluadores como la SEC, el Banco de España, la OCC, el evaluador de
riesgos, el evaluador de mercado. Esta persona, el risk officer, es el nexo clave. Fíjense que desde
el punto de vista de Auditoría, ésta es la persona que tiene que garantizar el verde de los reportes.
Las responsabilidades del gerente de riesgos son:
1)

Establecer las políticas y roles para implantar ERM.

2)

Constituir la autoridad para ERM.

3)

Promocionar la competencia en ERM a través de toda la organización.

4)

Integrar ERM con el plan estratégico de la empresa que debe incluir la formación y el
presupuesto; es decir, no puedo analizar un riesgo que no esté integrado con el presupuesto
de ingresos y gastos.

5)

Establecer un lenguaje común de ERM, el cual incluye mediciones claras y medibles.

6)

Tiene que desarrollar planes de acción para corregir lo que sea corregible.

7)

Tiene que hacer reportes de riesgos.

8)

Debe reportar al Comité de Riesgos.

Uno de los mayores headhunters de esta especialidad está en el Reino Unido: Barclay Simpson,
cuya dirección es www.barclaysimpson.co.uk. Hay muchas búsquedas de Risk Managers.
Página 1
EALDE Business School
Copyright 2014. Isabel Casares San José-Martí. Todos los derechos reservados. De uso exclusivo para los alumnos de
EALDE. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico
sin la autorización escrita.

Introducción a la gestión de riesgos

Herramientas de evaluación:

El VAR (Value at Risk): en realidad esto está puesto para activos, tasas, retornos, pero puede
ser para cualquier riesgo financiero, no necesariamente para un banco. Puede ser la parte
financiera de cualquier empresa que mueve valores. Es la peor pérdida esperada en un
intervalo de tiempo bajo condiciones de mercado normales.

El RAC o capital ajustado por riesgo: aquí vamos a ver muchos conceptos de Basilea, Basilea
es un Comité para Bancos que dicta normas de gerencia de riesgo, entre otras,
fundamentalmente riesgo de crédito y riesgo operacional, y donde básicamente tenemos que
mostrar capitales de acuerdo con exigencias de exposición al riesgo.

Los stress tests: es llevar a valores extremos algunas medidas para ver qué riesgo máximo
puedo tener. Puede que llevándolo al extremo no tenga nada que hacer porque el valor
extremo es pequeño.

Sensibilidad: es decir, ¿varió algo? ¿Varía lo demás? ¿O se queda estable?. Pérdidas en
diversos casos supuestos y reales. Lo que hay que hacer aquí es cargar una base de pérdidas
y de las causas de las pérdidas. Yo puedo presuponer cosas y ver qué pérdida tendría “en
caso de”. Esto también se pide mucho para Bancos: las pérdidas y el porqué.

Medidas de concentración: si el riesgo está concentrado, está disperso, dónde está.

Medidas de correlación: aquí se ponen en juego fórmulas matemáticas, que tal vez no son tan
importantes como el sentido común.

Revisiones de procesos y walkthrough, que es “caminar a través de”. Revisar un proceso
desde que nace hasta que muere y ver dónde están los riesgos.

Otras mediciones:

Matrices de riesgo.

Los perfiles de riesgo o scorecards, es decir, tratar de hacer cuantitativo algo que en el origen
fue cualitativo y dibujar un mapa de riesgos.

Indicadores clave de performance, de riesgo, u otros.

Los límites; por ejemplo, no considero blanqueo de dinero hasta una cantidad.

Todos los Sistemas de Información Gerencial (MIS), que son una herramienta para RM.

Página 2
EALDE Business School
Copyright 2014. Isabel Casares San José-Martí. Todos los derechos reservados. De uso exclusivo para los alumnos de
EALDE. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico
sin la autorización escrita.

exposiciones al riesgo y demás. tengo dos formas de hacerlo. la severidad. si alguien no me paga ni siquiera la primera cuota del crédito. las probabilidades. y métodos de medición avanzada –AMA–). Isabel Casares San José-Martí. También hay que revisar la estrategia. No es posible hacer una auditoría completa.. Cotejar los riesgos con el mercado (“mark to market”) o cotejarlos con un modelo (“mark to model”). Básicamente. estoy en el mercado. Basilea II para Bancos: “asegurar que la estructura de la gerencia de riesgos esté sujeta a auditoría interna operacionalmente independiente”— coincide con lo que dice el Instituto en cuanto a las incumbencias entre ERM y Auditoría.  La calidad de datos: tiene que haber un quality assurance de sistemas. aprobar la estructura. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. otra forma es contra el mercado: consigo datos del mercado. propone cargos de capital de acuerdo con países. Qué tanto motiva la empresa a su gente?  Financieros: coberturas con otras monedas. puede que no sea lo óptimo pero el mercado lo tolera y bueno. pérdida en caso de incumplimiento. yo hago lo que creo que mi plan me dice que es completo pero tal vez me olvido de cosas que no están Página 3 EALDE Business School Copyright 2014. asimismo. Esto deriva en provisiones y en esquemas contables. Si no tenemos política de riesgos ni ERM.  Para riesgo operativo (método de indicador básico. Basilea II. vencimiento. Con lo cual hay indicadores. método estándar. lo que sale de sistemas tiene que estar revisado. De uso exclusivo para los alumnos de EALDE. . de IRB Básico e IRB avanzado). tengo mis matrices. me muevo a través de la empresa. Todos los derechos reservados. no puede salir así no más. exposición al riesgo. identificar el grado de exposición a las pérdidas. por ejemplo. Los seguros y las garantías. Los métodos son:  Para riesgo de créditos (método estándar. pero no sé si tengo todo el soporte y la forma de consenso adecuada como para decir: “Voy a medir el riesgo que realmente la empresa quiere”. es decir. entonces no es posible hacer una auditoría basada en riesgos objetivamente. Es decir. eso ya constituye un indicador de fraude. los procesos y los procedimientos. Esto ya es muy específico pero hay que medir probabilidad de incumplimiento.  Medidas de motivación de RRHH y grado de pertenencia a la empresa. lo que ocurre es que el operativo ya incluye a otros tantos..Introducción a la gestión de riesgos  La frecuencia.  Los gaps de control interno: planeamos esto pero hicimos otra cosa. que pueden ser mixtas: tengo un modelo y quiero que mi riesgo se ajuste al modelo y lo que esté fuera del modelo es el desvío. en virtud de Basilea II se supervisa el riesgo de crédito y el riesgo operativo. desarrollar las políticas. derivados y swaps.

como dijimos.Introducción a la gestión de riesgos medidas ni evaluadas. es decir. Evalúa la efectividad y asiste a toda esta gente: directores. También se incrementa la dependencia de los “gerentes estrella” sobre los que ya hablamos: “No. por ejemplo. ya que se actúa por inercia. tiene que haber un Comité de Riesgos. para atraer inversiones. para permanecer en el tiempo. operacional. Trabaja toda la empresa. El proceso puede requerir dos años o más desde el comienzo del proceso. ¿Por qué asiste a todo esto? Porque es necesario que la empresa tenga claro que ERM. Para una empresa que tiene toda una visión de futuro. Para reducir riesgos. para competir. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Por lo tanto. Auditoría lo hace periódicamente y no en el día a día. Hay que embeber ERM en la organización. no sé a quién preguntarle el sí/no. de acuerdo con el tamaño y los recursos. parte de la Alta Dirección. etc. De uso exclusivo para los alumnos de EALDE. los fraudes. de créditos. el problema es que hay que convencer al Comité con esta lista de motivos. los sistemas. No hay cobertura de riesgos independiente día a día. para resistir la exposición pública de los medios y para seguir los estándares pioneros. Se incrementa el riesgo de malas sorpresas. No es posible maximizar el retorno de control self-assessment o la cobertura de assurance porque no sé adónde dirigir mis cuestionarios. el gerente conoce esto mejor que nadie”. Y puede haber subcomités: ALCO. es decir. sin ERM se dificulta notablemente la gerencia de fraude (FRM). todos los bancos estadounidenses lo tienen y funciona al máximo nivel. compliance. Puede haber riesgos no visibles.. pero ocupan en el fraude de cuello blanco las primeras estadísticas. el gerente de riesgos debe ser el facilitador. Pueden no detectarse necesidades de reingeniería. que podrían ser más. Auditoría. Y. las incobrabilidades. Es necesario que haya formación. obviamente. si sale algo nuevo en la empresa. Pero hablamos de prevenir riesgos e imaginémonos el que se nos ocurra: las pérdidas. para dar respuesta a la SarbOx. es parte del corporate governance. En el Banco lo tenemos. porque el día a día lo hace la línea de negocio. los procesos.. Razones hay. Aprueba las políticas de riesgo. Promociona la comunicación. . El Comité de Riesgos debe estar en el organigrama de la empresa y es justamente un comité similar al de Auditoría pero que aprueba los productos. El desafío de persuadir al Comité Ejecutivo de implementar ERM: Servirá para evitar ser la futura Enron. los riesgos. Isabel Casares San José-Martí. Todos los derechos reservados. ERM obviamente es una inversión. no sé a quién pedirle documentación. quien está en medio de ERM. Página 4 EALDE Business School Copyright 2014. que es Assets and Liabilities Committee para negocios de tesorería. para cotizar en el mercado de valores. ya vieron el comentario del Instituto en el Reino Unido: aquel que cotice recibe mejor paga por sus acciones. el Comité tiene que aprobarlo o tiene que validar lo que existe. Provee liderazgo para las prácticas de gerencia de riesgos.

Página 5 EALDE Business School Copyright 2014. Isabel Casares San José-Martí. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. reduciendo las sorpresas y los costes o pérdidas asociados. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. . además de desplegar recursos eficaces y eficientemente a fin de lograr los objetivos de la entidad. estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados. la dirección considera el riesgo aceptado por la entidad.  Reducir las sorpresas y pérdidas operativas: Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas.  Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.  Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar.Resumen Ejecutivo La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo. compartir o aceptar. reducir. Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados.  Mejorar la dotación de capital: La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación. La gestión de riesgos corporativos incluye las siguientes capacidades:  Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas estratégicas.  Aprovechar las oportunidades: Mediante la consideración de una amplia gama de potenciales eventos. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés. Todos los derechos reservados. La gestión de riesgos corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados.Introducción a la gestión de riesgos Informe COSO II . mejorando así la capacidad de generar valor. De uso exclusivo para los alumnos de EALDE.

. en cada nivel y unidad. ayudando a la creación de valor o a su conservación.Introducción a la gestión de riesgos Estas capacidades. de ocurrir.  Es realizado por su personal en todos los niveles de la organización. que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos. para que reviertan en la estrategia y el proceso de definición de objetivos. la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente. Definición de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Página 6 EALDE Business School Copyright 2014. positivo o de ambos tipos a la vez. aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización. La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento de leyes y normas. y formula planes que permitan aprovecharlas. evitando baches y sorpresas por el camino. gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades.” Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos:  Es un proceso continuo que fluye por toda la entidad. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. su dirección y restante personal. además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas. En suma. Todos los derechos reservados. inherentes en la gestión de riesgos corporativos. afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Isabel Casares San José-Martí. ayudan a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. La dirección canaliza las oportunidades que surgen. De uso exclusivo para los alumnos de EALDE.  Se aplica en el establecimiento de la estrategia. Se define de la siguiente manera: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad.  Está diseñado para identificar acontecimientos potenciales que.  Se aplica en toda la entidad. Eventos Riesgos y Oportunidades Los eventos pueden tener un impacto negativo.

aunque susceptibles de solaparse. la gestión de riesgos corporativos puede Página 7 EALDE Business School Copyright 2014. alineados con la misión de la entidad y dándole apoyo  Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos  Información: Objetivos de fiabilidad de la información suministrada  Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables Esta clasificación de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestión de riesgos corporativos. respecto a ellos. proporcionando una base para su aplicación en todas las organizaciones. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos. que se pueden clasificar en cuatro categorías:  Estrategia: Objetivos a alto nivel. El logro de los objetivos estratégicos y operativos.  Está orientada al logro de objetivos dentro de unas categorías diferenciadas. Isabel Casares San José-Martí. aunque solapables – un objetivo individual puede incidir en más de una categoría. puede esperarse que la gestión de riesgos corporativos facilite una seguridad razonable de su consecución. También permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Estas categorías distintas. Todos los derechos reservados. El presente Marco de gestión de riesgos corporativos está orientado a alcanzar los objetivos de la entidad. su dirección establece los objetivos estratégicos. Consecución de Objetivos Dentro del contexto de misión o visión establecida en una entidad. Dado que los objetivos relacionados con la fiabilidad de la información y el cumplimiento de leyes y normas están integrados en el control de la entidad. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otras organizaciones. Otra categoría utilizada por algunas entidades es la salvaguarda de activos. por tanto. industrias y sectores. sin embargo.Introducción a la gestión de riesgos  Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad. De uso exclusivo para los alumnos de EALDE. . está sujeto a acontecimientos externos no siempre bajo control de la entidad. selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita.se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos.

Página 8 EALDE Business School Copyright 2014. estén siendo informados oportunamente del progreso de la entidad hacia su consecución. que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión. Todos los derechos reservados. y el consejo de administración en su papel de supervisión. Establecimiento de objetivos Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados Riesgo aceptado – Tolerancia al riesgo. Evaluación de riesgos Riesgo inherente y residual – Probabilidad e impacto – Fuentes de datos Técnicas de evaluación – Correlación entre acontecimientos. De uso exclusivo para los alumnos de EALDE. Respuesta a los riesgos Evaluación de posibles respuestas – Selección de respuestas – Perspectiva de cartera.Introducción a la gestión de riesgos proporcionar una seguridad razonable de que la dirección. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Información y comunicación Información Comunicación Supervisión Actividades permanentes de supervisión – Evaluaciones independientes Comunicación de deficiencias. Isabel Casares San José-Martí. Identificación de acontecimientos Acontecimientos – Factores de influencia estratégica y de objetivos –Metodologías y técnicas – Acontecimientos interdependendientes – Categorías de acontecimientos – Riesgos y oportunidades. Elementos clave de la gestión de riesgos corporativos Ambiente interno Filosofía de la gestión de riesgos – Cultura de riesgo – Consejo de administración/Dirección – Integridad y valores éticos – Compromiso de competencia – Estructura organizativa – Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos humanos. Componentes de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos consta de ocho componentes relacionados entre sí. . Actividades de control Integración de la respuesta al riesgo – Tipos de actividades de control – Políticas y procedimientos – Controles de los sistemas de información – Controles específicos.

los políticos. además de ser consecuentes con el riesgo aceptado. qué dice el Comité Ejecutivo. diferenciando entre riesgos y oportunidades. Cuáles son las categorías de eventos. cuál es la estructura organizacional. Cuáles son los factores que influyen sobre la estrategia: los económicos. cuáles son las políticas y prácticas de recursos humanos. Primero. qué compromiso existe con la competencia. Entorno interno de la compañía: cuál es la filosofía de la gerencia de riesgos. De uso exclusivo para los alumnos de EALDE. Cuáles son las metodologías y técnicas. el riesgo aceptado. incluyendo la filosofía para su gestión. qué cultura de riesgos tiene. asumir. es decir. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. transferir.  Identificación de eventos: Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados. reducir. La gestión de riesgos corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella. Los objetivos relacionados. si se le da importancia o no. priorización. hace falta comunicación con todo el mundo. No podemos estar dentro de una oficina y hacer esto en un laboratorio. Isabel Casares San José-Martí. Página 9 EALDE Business School Copyright 2014. Aquí la información es básica. los naturales. Cuáles son los riesgos y las oportunidades. cómo es la asignación de autoridad y responsabilidad. sobre lo que hablábamos recién. Tenemos que seleccionar qué ver a través del apetito y la tolerancia de riesgos: evitar. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos. se describen estos componentes:  Ambiente interno: Abarca el talante de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos. todo es una sinergia de cosas y una cadena. Todos los derechos reservados. los objetivos estratégicos. Cómo es la interdependencia de los eventos. cuál es la filosofía de la gerencia de riesgos y el estilo operativo —hay un estilo operativo en cada país.  Establecimiento de objetivos: Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten a su consecución. qué integridad y qué valores éticos hay. los riesgos relacionados con la estrategia. Primero hay que ver el entorno interno antes de establecer la política. Cuáles son los eventos. en cada empresa—. qué apetito de riesgos tiene. la integridad y valores éticos y el entorno en que se actúa. no hay ningún riesgo ni intención de control que estén aislados en la compañía. .Introducción a la gestión de riesgos A continuación.

 Hay que identificarlas. Una comunicación eficaz debe producirse en un sentido amplio. la apariencia —pueden estar disfrazados o no— y otra vez el tema de la visibilidad. después.  Se trata de analizar el riesgo en profundidad y no de revisarlo una o dos veces al año o cuatrimestralmente. tipos de actividades de control y temas que son ya sabidos. reducir o compartir los riesgos .  Actividades de control: Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo eficazmente. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. evaluar las diferentes respuestas posibles. y para cambiar un comportamiento. La probabilidad de que ocurran o no. aceptar. Mucha información relevante para el proceso de la toma de decisiones y la comunicación.  Respuesta al riesgo: La dirección selecciona las posibles respuestas . orientar esfuerzos y generar sinergias. seleccionar las respuestas y visión de portafolio. De uso exclusivo para los alumnos de EALDE. la estrategia y la integración.  Información y comunicación: La información relevante se identifica. realizando modificaciones oportunas cuando se necesiten. Los riesgos inherentes y residuales. Hay que justificar las decisiones tomadas. Es decir. que es para confirmar objetivos. Página 10 EALDE Business School Copyright 2014. Isabel Casares San José-Martí. aceptarlas y. capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Y. . es porque pretendo y espero que actúen de la forma comunicada. evaluaciones independientes o ambas actuaciones a la vez.desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad. Seguramente hay muchas respuestas de riesgo y hay que consensuarlas. verlas. si yo les comunico algo.evitar.  Supervisión: La totalidad de la gestión de riesgos corporativos se supervisa. Esta supervisión se lleva a cabo mediante actividades permanentes de la dirección. modelizarlas de acuerdo con lo que se haya consensuado en la respuesta.  Integración con la respuesta. de acuerdo con lo que hayamos definido. inherente y residual. fluyendo en todas direcciones dentro de la entidad. que es el riesgo oculto.Introducción a la gestión de riesgos  Evaluación de riesgos: Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados y se evalúan desde una doble perspectiva. Todos los derechos reservados. otra vez. sino la evaluación de riesgo continua.

que su información es fiable y que se cumplen las leyes y la normas aplicables. Cuando se determine que la gestión de riesgos es eficaz en cada una de las cuatro categorías de objetivos.Introducción a la gestión de riesgos Evaluaciones separadas. operaciones. La relación se representa con una matriz tridimensional. evaluaciones dinámicas. puede ser menos formal y estructurada. ERM es un proceso de evaluación en sí mismo. Todos los derechos reservados. estas entidades podrían poseer una gestión eficaz de riesgos corporativos. Relación entre objetivos y componentes Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos. quién evalúa. Este gráfico refleja la capacidad de centrarse sobre la totalidad de la gestión de riesgos corporativos de una entidad o bien por categoría de objetivos. Isabel Casares San José-Martí. Para que estén presentes y funcionen de forma adecuada. unidad o cualquier subconjunto deseado. Los ocho componentes no funcionan de modo idéntico en todas las entidades. todo el proceso. Eficacia La afirmación de que la gestión de riesgos corporativos de una entidad es eficaz es un juicio resultante de la evaluación de si los ocho componentes están presentes y funcionan de modo eficaz. componente. no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. que es continuo y que tiene los pasos que nombramos y que se amplían cada día. es decir. sino un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro. por ejemplo. que representan lo que hace falta para lograr aquellos. los ocho componentes lo están por filas horizontales y las unidades de la entidad. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. en forma de cubo. . por la tercera dimensión del cubo. estos componentes también son criterios para estimar la eficacia de dicha gestión. Página 11 EALDE Business School Copyright 2014. Así. siempre que cada componente esté presente y funcione adecuadamente. Sin embargo. información y cumplimiento están representadas por columnas verticales. Las cuatro categorías de objetivos estrategia. La gestión de riesgos corporativos no constituye estrictamente un proceso en serie. Su aplicación en las pequeñas y medianas empresas. donde cada componente afecta sólo al siguiente. De uso exclusivo para los alumnos de EALDE. respectivamente. el consejo de administración y la dirección tendrán la seguridad razonable de que conocen el grado de consecución de los objetivos estratégicos y operativos de la entidad.

Otros directivos apoyan la filosofía de gestión de riesgos de la entidad. director financiero. es consciente del riesgo aceptado por la entidad y está de acuerdo con él. Isabel Casares San José-Martí. proveedores. El director de riesgos.Introducción a la gestión de riesgos Limitaciones Aunque la gestión de riesgos corporativos proporciona ventajas importantes. El consejo de administración desarrolla una importante supervisión de la gestión de riesgos corporativos. desempeñan normalmente responsabilidades claves de apoyo. normas y leyes existentes. El restante personal de la entidad es responsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directrices y protocolos establecidos. Estas limitaciones impiden que el consejo o la dirección tengan seguridad absoluta de la consecución de los objetivos de la entidad. De uso exclusivo para los alumnos de EALDE. Este Marco lo incluye. Roles y Responsabilidades Todas las personas que integran una entidad tienen alguna responsabilidad en la gestión de riesgos corporativos. auditor interno u otros. Además de los factores comentados anteriormente. constituyendo una conceptualización y una herramienta más sólidas para la dirección. aunque no son responsables de su eficacia en la entidad ni forman parte de ella. Dado que éste ha perdurado a lo largo del tiempo y es la base para las reglas. auditores externos. Todos los derechos reservados. El consejero delegado es su responsable último y debería asumir su titularidad. que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costes y beneficios relativos. su estructura entera se incorpora en él a través de referencias. Algunos terceros. se mantiene vigente para definir y enmarcar el control interno. que pueden darse fallos por error humano. Inclusión del Control Interno El control interno constituye una parte integral de la gestión de riesgos corporativos. Aunque el presente documento sólo recoge partes de Control Interno Marco integrado. El control interno se define y describe en el documento Control Interno Marco integrado. que pueden eludirse los controles mediante connivencia de dos o más personas y que la dirección puede hacer caso omiso a las decisiones relacionadas con la gestión de riesgos corporativos. Página 12 EALDE Business School Copyright 2014. . colaboradores. promueven el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. también presenta limitaciones. reguladores y analistas financieros. proporcionan a menudo información útil para el desarrollo de la gestión de riesgos corporativos. las limitaciones se derivan de hechos como que el juicio humano puede ser erróneo durante la toma de decisiones. como los clientes. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita.

de las acciones que la dirección está realizando y cómo ésta asegura una gestión eficaz de riesgos. Isabel Casares San José-Martí. otros altos directivos. debería asegurarse de que es informado de los riesgos más significativos.Introducción a la gestión de riesgos Estructura del informe COSO II El informe COSO II se divide en dos partes:  La primera contiene el marco y un resumen ejecutivo. Sea cual sea su forma. cómo proceder a realizarla. Asimismo. El resumen ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados. Página 13 EALDE Business School Copyright 2014. en caso afirmativo. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Las acciones sugeridas que podrían adoptarse como resultado de este documento dependen de la posición y papel de las partes implicadas: Partes Acciones sugeridas implicadas Consejo de El consejo debería comentar con la alta dirección el estado de la gestión de Administración riesgos corporativos de la entidad y aportar su supervisión según se necesite. El marco define la gestión de riesgos corporativos y describe principios y conceptos. reuniendo a los responsables de unidad de negocio y al personal clave del staff para comentar una evaluación inicial de las capacidades y eficacia de la gestión de riesgos corporativos. consejeros y reguladores. proporcionando orientación a todos los niveles de dirección en empresas y otras organizaciones para ser usada en la evaluación y mejora de la eficacia de dicha gestión.  La segunda parte del documento corresponde a las técnicas de aplicación y proporciona ejemplos de técnicas útiles para aplicar los componentes del Marco. esta evaluación inicial debería determinar si existe la necesidad de otra evaluación más profunda y amplia y. . Por ejemplo. De uso exclusivo para los alumnos de EALDE. Los auditores internos deberían considerar el alcance de su enfoque sobre dicha gestión. Todos los derechos reservados. Otro personal Los directivos y demás personal deberían considerar cómo están desempeñando de la entidad sus responsabilidades y comentar sus ideas con responsables superiores para reforzar la gestión de riesgos corporativos. Alta dirección Este documento sugiere que el consejero delegado evalúe las capacidades de gestión de riesgos corporativos de la organización.

 Fiabilidad de la información. para ver dónde se pueden realizar futuras mejoras. mientras que los legisladores y reguladores podrán incrementar su comprensión de la gestión de riesgos corporativos. Página 14 EALDE Business School Copyright 2014. deberían considerar sus normas y guías a la luz de este Marco. Isabel Casares San José-Martí. diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:  Honestidad y responsabilidad. bien mediante normas o guías o en la realización de inspecciones en las entidades bajo su supervisión. A medida que se eliminen divergencias de conceptos y terminología. Si todas las partes interesadas utilizan este Marco común para dicha gestión. Establecidos estos cimientos para una comprensión mutua. la dirección y el resto de personal de una entidad. De uso exclusivo para los alumnos de EALDE. Educadores Este Marco puede ser tema de investigación y análisis universitario. se podrán obtener las ventajas comentadas. todas las partes se beneficiarán de ello. La investigación futura puede apoyarse en esta base sólida.  Eficacia y eficiencia en las operaciones. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. incluyendo lo que se puede hacer y sus limitaciones. todas las partes podrán hablar un lenguaje común y se comunicarán más eficazmente. auditoría y temas afines. al control interno se define como: “Un proceso. incluidas sus ventajas y limitaciones. sus conceptos y términos deberían encontrar una forma de integrarse en los programas de estudios universitarios. . Todos los derechos reservados.Introducción a la gestión de riesgos Partes Acciones sugeridas implicadas Reguladores Este Marco puede fomentar una visión compartida de la gestión de riesgos corporativos. Organizaciones Las entidades encargadas de establecer normas y otras organizaciones que profesionales proporcionan orientación sobre gestión financiera. efectuado por el consejo de administración. Los directivos estarán en posición de evaluar el proceso de gestión de riesgos corporativos de su entidad respecto a una norma y podrán potenciar el proceso de consecución de los objetivos establecidos. En la idea de que este documento sea aceptado como base compartida de comprensión. Con pequeñas modificaciones al concepto general de COSO. Los reguladores pueden referirse a este Marco al establecer sus expectativas.

tengan la autoridad necesaria para asumir sus responsabilidades de alcanzar los objetivos. Para alcanzar sus objetivos estratégicos.  Cumplimiento de las leyes y normas. con eficiencia. Isabel Casares San José-Martí. economía. Su ejemplo impulsará el ambiente de control en todos los empleados que laboran en las organizaciones.Introducción a la gestión de riesgos  Salvaguarda de los recursos. Página 15 EALDE Business School Copyright 2014. como parte de la organización. Esto requiere que quienes dirijan la organización en todos los niveles. De uso exclusivo para los alumnos de EALDE. Los auditores internos. respecto del cumplimiento de los objetivos y la existencia de errores o irregularidades en las operaciones. es una herramienta y un medio utilizado para apoyar la consecución de los objetivos institucionales. protección de los recursos. 4. la entidad establece estrategias y objetivos conexos que desea alcanzar. . el fraude y la corrupción en sus diferentes manifestaciones. cumplimiento de las leyes y otras normativas. fiabilidad de la información y. Facilitar la consecución de los objetivos de la organización: El control interno facilita la consecución de los objetivos de la organización. que fluyen en cascada hacia gerencias. El Control Interno como un proceso: El control interno es un proceso aplicado en la ejecución de las operaciones de toda la organización. Aportar un grado de seguridad razonable: El control interno aporta seguridad razonable a la dirección superior de la organización. porque establece la obligación de asumir conducta ética en todos los niveles de organización. Todos los derechos reservados. Aplicado en toda la organización: El control interno. El Control interno ejecutado por personas: El control interno es ejecutado por personas. No aporta seguridad total o absoluta. 6. por recursos recibidos y administrados y/o por los deberes y funciones asignados y aceptados. explicar o justificar ante una autoridad superior. reportar. 3. son responsables de evaluar la calidad y cabal aplicación de los controles internos establecidos que incluye la gestión de los riesgos corporativos. La principal responsabilidad del diseño y aplicación del control interno asumen las máximas autoridades. unidades operativas y procesos. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. A continuación algunas reflexiones para facilitar la comprensión de la definición: 1. 5. la responsabilidad se entiende como la obligación de los funcionarios públicos o privados de: responder. departamentos. debe ser adoptado de manera integral por toda la entidad. Además. como base para su funcionamiento. transparencia. Promover la honestidad y la responsabilidad: El control interno diseñado y aplicado adecuadamente es el mejor antídoto contra las irregularidades. ética. 2.

Introducción a la gestión de riesgos Componentes del control de los Recursos y los Riesgos Estructura del Informe COSO II y sus componentes. 2. . 6. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. 5. Ambiente Interno de Control. agrupados en el siguiente orden: 1. Actividades de Control. Identificación de Eventos. Evaluación de Riesgos. Página 16 EALDE Business School Copyright 2014. Todos los derechos reservados. Información y Comunicación. Establecimiento de Objetivos. 3. 7. De uso exclusivo para los alumnos de EALDE. 4. Supervisión. 8. Isabel Casares San José-Martí. Respuesta a los Riesgos.

sobre la que se soportan todos los demás elementos. sino que puede también poner de relieve la conveniencia de reconsiderar el manejo de la información y la comunicación. El ambiente de control refleja el espíritu ético vigente en una entidad respecto del comportamiento de los agentes. bajo el liderazgo del consejo de administración o de la máxima autoridad. Por su importancia. este elemento se presenta en la parte más amplia de la pirámide. Página 17 EALDE Business School Copyright 2014. en las instituciones públicas y privadas. Todos los derechos reservados.Introducción a la gestión de riesgos Todos los componentes tienen como base el ambiente interno de control y. Sirve de base de los otros componentes. Ambiente interno Vamos a desarrollar los siguientes contenidos:  Filosofía de la gestión de riesgos. sobre la base de los resultados de las actividades de control establecidos para disminuir los riesgos en todas sus categorías. y la importancia que le asignan al control interno.  Enfoques organizativos para la asignación de responsabilidades en la gerencia de riesgos de la empresa. constituyéndose en el elemento integrador del sistema. permite una amplia relación entre la base y la cima de la pirámide. . principalmente los más altos. la integridad y los valores éticos. Los supervisores de todos los niveles de la organización.  Integridad y valores éticos. Isabel Casares San José-Martí. ya que es dentro del ambiente reinante que se evalúan los riesgos y se definen las actividades de control tendientes a neutralizarlos. De uso exclusivo para los alumnos de EALDE. Así. dentro de éste. como principal responsable de su diseño. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. 1. Por sus características. El modelo refleja el dinamismo propio de los sistemas de control interno. la responsabilidad con que encaran sus actividades. la evaluación de riesgos no sólo influye en las actividades de control. Simultáneamente se capta la información relevante y se realizan las comunicaciones pertinentes. están en condiciones de adoptar las decisiones. el componente información y comunicación. dentro de un proceso supervisado y corregido de acuerdo con las circunstancias. Se logrará eficiencia y eficacia si los ocho componentes funcionan de manera integrada en toda la organización. aplicación y actualización.

De uso exclusivo para los alumnos de EALDE. los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados.  Las formas de asignación de responsabilidades y de administración y desarrollo del personal.Introducción a la gestión de riesgos No se trata de un proceso en serie.  El grado de documentación de políticas y decisiones. objetivos e indicadores de rendimiento. Todos los derechos reservados. la gerencia.  La estructura. en el que un componente incide exclusivamente sobre el siguiente. fortalecimiento o debilitamiento de políticas y procedimientos efectivos en una organización. en cualquier otro. y la matriz constituida por ese esquema es a su vez cruzada por los componentes. confiabilidad de la información y cumplimiento de leyes y reglamentos) y los otros componentes. fundamentalmente. operadores y reglas previamente definidas. sino que es interactivo multidireccional en tanto cualquier componente puede influir. consecuencia de la actitud asumida por la alta dirección. provee disciplina a través de la influencia que ejerce sobre el comportamiento del personal en su conjunto. los valores éticos. y de formulación de programas que contengan metas. el plan organizacional. sobre todo. Existe también una relación directa entre los objetivos (Eficiencia de las operaciones. El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. y por carácter reflejo. Isabel Casares San José-Martí. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. traduce la influencia colectiva de varios factores en el establecimiento. Es. . Fija el tono de la organización y. Los principales factores del ambiente de control son:  La filosofía y estilo de la dirección y la gerencia. y de hecho lo hace. así como su adhesión a las políticas y objetivos establecidos. Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia. la que se manifiesta permanentemente en el campo de la gestión: las unidades operativas y cada agente de la organización conforman secuencialmente un esquema orientado a los resultados que se buscan. la competencia profesional y el compromiso de todos los componentes de la organización. pues como conjunción de medios. los reglamentos y los manuales de procedimiento.  La integridad. Página 18 EALDE Business School Copyright 2014.

El comportamiento y la integridad moral encuentran su red de sustentación y su caldo de cultivo en Página 19 EALDE Business School Copyright 2014.Introducción a la gestión de riesgos En las organizaciones que lo justifiquen. Decretos. Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores éticos y de conducta. internalizar y vigilar la observancia de valores éticos aceptados. regular o malo como lo sean los factores que lo determinan. van más allá del mero cumplimiento de las Leyes. Tales valores deben enmarcar la conducta de funcionarios y empleados. El mayor o menor grado de desarrollo y excelencia de éstos hará. Los valores éticos son esenciales para el Ambiente de Control. ya que su presencia dominante fija el tono necesario a través de su empleo. . en ese mismo orden. El ambiente de control reinante será tan bueno. De uso exclusivo para los alumnos de EALDE. Estos valores éticos pertenecen a una dimensión moral y. Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores éticos como pueden ser: controles débiles o requeridos. Isabel Casares San José-Martí. la existencia de consejos de administración y comités de auditorías con suficiente grado de independencia y calificación profesional. que constituyan un sólido fundamento moral para su conducción y operación. La gente imita a sus líderes. Integridad y valores éticos La autoridad superior del organismo debe procurar suscitar. inexistencia o inadecuadas sanciones para quienes actúan inapropiadamente. Tiene como propósito establecer pronunciamientos relativos a los valores éticos y de conducta que se espera de todos los miembros de la Organización durante el desempeño de sus actividades. Todos los derechos reservados. que definen la conducta de quienes lo operan. orientando su integridad y compromiso personal. La participación de la alta administración es clave en este asunto. debilidad de la función de auditoría. NORMAS DE AMBIENTE DE CONTROL 1. El sistema de Control Interno se sustenta en los valores éticos. difundir. ya que la efectividad del control interno depende de la integridad y valores de la gente que lo diseña y lo establece. Reglamentos y otras disposiciones normativas. por lo tanto. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización.

la que con su ejemplo contribuirá a construir o destruir diariamente este requisito de control interno. El Sistema de Control Interno operará más eficazmente en la medida que exista personal competente que comprenda los principios del mismo. que normas y reglas se observan. Atmosfera de confianza mutua Debe fomentarse una atmósfera de mutua confianza para respaldar el flujo de información entre la gente y su desempeño eficaz hacia el logro de los objetivos de la organización. objetivos y procedimientos del control interno. Esta determina. además. Todos los derechos reservados. 3. La Dirección debe especificar el nivel de competencia requerido para las distintas tareas y traducirlo en requerimientos de conocimientos y habilidades. La confianza está basada en la seguridad respecto de la integridad y Página 20 EALDE Business School Copyright 2014. la cooperación y la delegación que se requieren para un desempeño eficaz tendiente al logro de los objetivos de la organización. En la creación de una cultura apropiada a estos fines juega un papel principal la Dirección Superior del organismo. Respalda. 2. cómo se hacen las cosas. implantación y mantenimiento de controles internos apropiados. en gran medida. De uso exclusivo para los alumnos de EALDE. Si se tergiversan o se eluden.Introducción a la gestión de riesgos la cultura del organismo. capacitación y adiestramiento necesarios en forma práctica y metódica.-comprender suficientemente la importancia. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Isabel Casares San José-Martí. el personal debe recibir la orientación. Una vez incorporado. . Tanto directivos como empleados deben contar con un nivel de competencia profesional ajustado a sus responsabilidades. Competencia profesional La competencia del personal se refiere a los conocimientos y habilidades que debe poseer el personal para cumplir adecuadamente con sus tareas Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les permita comprender la importancia del desarrollo. Para el control resulta esencial un nivel de confianza mutua entre la gente que respalda el flujo de información que la gente necesita para tomar decisiones y entrar en acción. Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de preparación y experiencia que se ajuste a los requisitos especificados.

como la motivación para la sugerencia de medidas que fomenten su perfeccionamiento. De esta forma los empleados se desempeñarán en un ambiente que les facilite tanto la comprensión y respeto por el control interno. debiendo estar explicitados en documentos oficiales. su compromiso y liderazgo respecto de los controles internos y los valores éticos. indefectiblemente. En el primer caso. La actitud de interés de la Dirección. En el Página 21 EALDE Business School Copyright 2014. de manera explícita. . Filosofía y estilo de la dirección La Dirección Superior debe transmitir a todos los niveles de la organización. como antecede para la posterior rendición de cuenta. que cada miembro cumple un rol importante dentro del Sistema de Control y que cada rol está relacionado con los demás. que las responsabilidades del control interno deben asumirse con seriedad. Isabel Casares San José-Martí. De uso exclusivo para los alumnos de EALDE. La comunicación abierta crea y depende de la confianza dentro de la organización. en todo el personal una actitud positiva hacia éste. La Dirección Superior y las Gerencias deben hacer comprender. Todos los derechos reservados. por un control interno efectivo. Misión. Son ejemplos: la transparencia de la gestión. 5. objetivos y políticas La Misión. Es necesario sustentarlas con acciones y actitudes concretas. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. los Objetivos y las Políticas de cada organismo deben estar relacionados y ser consistentes entre sí.Introducción a la gestión de riesgos competencia de la otra persona o grupo. contundente y permanente. Dichos documentos deberán ser adecuadamente difundidos a la comunidad y a todos los niveles organizacionales. 4. Las declamaciones no son suficientes. Un alto nivel de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de conocimiento de más de una persona. Este ejemplo de la Dirección hacia el control interno suscita. El compartir tal información fortalece el control reduciendo la dependencia de la presencia. a todo el personal. la postura ante las innovaciones y el aprendizaje. el juicio y la capacidad de una única persona. debe penetrar la organización. la forma de resolver los problemas y medir los desempeños y resultados. La filosofía y el estilo de la Dirección influencian y traducen la manera en la que el organismo es conducido.

hacia donde va. Cartas Orgánicas o Estatutos. formalizada en un organigrama. la que deberá ser formalizada en un Organigrama. Isabel Casares San José-Martí. Una organización qué desconoce que es. delimitan la acción y definen:  ¿Cuáles son los medios preferidos?  ¿Qué valoramos?  ¿Qué restricciones les imponemos? 6. constituye el marco formal de Página 22 EALDE Business School Copyright 2014. Los objetivos se ajustan a la realidad cambiante e indican:  ¿Hacia dónde se va?  ¿Cuál es nuestro propósito? Y son definidos periódicamente en los planes de acción y presupuestos.Introducción a la gestión de riesgos segundo. como medio de conseguir el encolumnamiento de las acciones organizacionales en la persecución de aquéllos. . aún cuando pueden modificarse o sustituirse al cambiar los objetivos. De uso exclusivo para los alumnos de EALDE. La Misión tiene vocación de permanencia e indica:  ¿Qué somos?  ¿Para qué estamos?  ¿Qué necesidades servimos? Y generalmente está fijada en las Leyes. y que medios utilizará en el camino. Decretos. Todos los derechos reservados. Las Políticas en general. La estructura organizativa. En esta condición el control interno carecería de sus más importantes fundamentos y tan sólo se limitaría a la verificación del cumplimiento de ciertos aspectos formales. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Organigrama Todo organismo debe desarrollar una estructura organizativa qué atienda el cumplimiento de la misión y objetivos. marcha a la deriva y con pocas posibilidades de éxito. también tienen permanencia.

Es esencial que cada integrante de la organización conozca cómo su acción se interrelaciona y contribuye a alcanzar los objetivos generales. actuando siempre dentro de los límites de su autoridad. de manera que las decisiones queden en manos de quienes están más cerca de la operación. esto es que proporcione el marco organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos fijados. Página 23 EALDE Business School Copyright 2014. . del tamaño del organismo. Lo importante es que su diseño se ajuste a sus necesidades. Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores. se deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la Dirección. a la par de establecer las diferentes relaciones jerárquicas y funcionales para cada uno de estos. el trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas. Estructuras altamente formales que se ajustan a las necesidades de un organismo de gran tamaño. Además. las acciones y los cargos.Introducción a la gestión de riesgos autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo. por ejemplo. Para que sea eficaz un aumento en la delegación de autoridad se requiere un elevado nivel de competencia en los delegatarios. así como un alto grado de responsabilidad personal. Toda delegación conlleva la necesidad de que los jefes examinen y aprueben. Lo apropiado de la estructura organizativa podrá depender. efectuadas y controladas. en el cual se debe asignar la responsabilidad. El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen claramente sus deberes y responsabilidades. cuando proceda. Asignación de autoridad y responsabilidad Todo organismo debe complementar su Organigrama. De uso exclusivo para los alumnos de EALDE. Isabel Casares San José-Martí. Ello impulsa a usar la iniciativa para enfrentar y solucionar los problemas. También requiere que todo el personal conozca y responda a los objetivos de la organización. Todos los derechos reservados. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. son planeadas. Un aspecto crítico de esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario pero solamente para mejorar la probabilidad de alcanzar los objetivos. 7. pueden ser desaconsejables en un organismo pequeño. con un Manual de Organización.

con miembros que generen Página 24 EALDE Business School Copyright 2014. Comité de control En cada organismo deberá constituirse un Comité de Control integrado. .Introducción a la gestión de riesgos 8. las medidas disciplinarias que transmitan con rigurosidad que no se tolerarán desvíos del camino trazado. esto es. • Inducción: al preocuparse para que los nuevos empleados sean metódicamente familiarizado con las costumbres y procedimientos del organismo. Los procedimientos de contratación. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. De uso exclusivo para los alumnos de EALDE. Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno y el mejoramiento continuo del mismo. Todos los derechos reservados. y se enriquezca humana y técnicamente. experiencia e integridad para las incorporaciones. comunicando claramente los niveles esperados en materia de integridad. Políticas y prácticas en personal La conducción y tratamiento del personal del organismo debe ser justa y equitativa. 9. deben corresponderse con los propósitos enunciados en la política. La Dirección asume su responsabilidad en tal sentido. propendiendo a que en este se consolide como persona. comportamiento ético y competencia. inducción. • Rotación y promoción: al procurar que funcione una movilidad organizacional que signifique el reconocimiento y promoción de los más capaces e innovadores. Por ende. calificación. en diferentes momentos: • Selección: al establecer requisitos adecuados de conocimiento. promoción y disciplina. Para su efectivo desempeño debe integrarse adecuadamente. • Capacitación: al insistir en que sean capacitados convenientemente para el correcto desempeño de sus responsabilidades. Debe procurarse su satisfacción personal en el trabajo que realiza. La existencia de un Comité con tal objetivo refuerza el Sistema de Control Interno y contribuye positivamente al Ambiente de Control. Isabel Casares San José-Martí. • Sanción: al adoptar. El personal es el activo más valioso que posee cualquier organismo. por un funcionario del máximo nivel y el auditor interno titular. capacitación y adiestramiento. al menos. cuando corresponda. debe ser tratado y conducido de forma tal que se consigna su más elevado rendimiento.

Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Establecimiento de objetivos Vamos a desarrollar los siguientes temas:  Objetivos estratégicos. entre otros. los actores más relevantes son las actitudes mostradas hacia la información financiera. 2. Tiene que ver igualmente en el comportamiento de los sistemas de información y con la supervisión en general. el procesamiento de la información y principios y criterios contables. El ambiente de control tiene gran influencia en la forma como se desarrollan las operaciones. se establecen los objetivos y se estiman los riesgos. El Consejo de Administración y/o comité de auditoría son los órganos fijan los criterios que perfilan el ambiente de control y es determinante que sus miembros cuente con la experiencia. Los objetivos deben establecerse antes de que la dirección pueda identificar potenciales eventos que afecten a su consecución. A partir de los objetivos se facilita la gestión de los riesgos empresariales mediante la identificación de los eventos externos e internos. A su vez es influenciado por la historia de la Entidad y su nivel de cultura administrativa. En la Filosofía Administrativa y Estilo de Operación. el diseño de actividades de control.Introducción a la gestión de riesgos respeto por su capacidad y trayectoria. Otros elementos que influyen en el ambiente de control se refieren a aspectos relacionados con: Estructura Organizativa. De uso exclusivo para los alumnos de EALDE. . la respuesta a los riesgos. la evaluación de los riesgos. y. relacionados y seleccionados.  Tolerancia al riesgo. Todos los derechos reservados. además de ser consecuentes con el riesgo aceptado. El consejo de administración debe asegurarse que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados están en línea con la misión/visión de la entidad. dedicación e involucramiento necesario para tomar las acciones adecuadas e interactúen con los Auditores Internos y Externos. Delegación de Autoridad y Responsabilidad y Políticas de Recursos Humanos. Página 25 EALDE Business School Copyright 2014.  Nivel de riesgo aceptado. que exhiban un apropiado grado de conocimiento y experiencia que les permita apoyar a la Dirección del organismo mediante su guía y supervisión. Isabel Casares San José-Martí.

Todos los derechos reservados. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Isabel Casares San José-Martí. 5. . formula las estrategias y establece los correspondientes objetivos operativos. 3. o “finalidad”. es importante que la dirección – con la supervisión del consejo de administración – establezca expresamente la razón de ser de la entidad en términos generales. Sea cual sea el término empleado. 2. 1. Objetivos Estratégicos La misión de una entidad establece en amplios términos su razón de ser y lo que se aspira alcanzar. Objetivos Específicos.Introducción a la gestión de riesgos Los siguientes factores integran este componente: 1. A partir de esto. de información y de cumplimiento para la organización. Página 26 EALDE Business School Copyright 2014. De uso exclusivo para los alumnos de EALDE. como “misión”. la dirección fija los objetivos estratégicos. la finalidad o la misión generalmente constan en la norma de su creación. Consecución de Objetivos. 4. Objetivos Estratégicos. En el sector público y en organizaciones sin fines de lucro. Relación entre Objetivos y Componentes. Riesgo Aceptado y Niveles de Tolerancia.

se deben considerar como mínimo los siguientes puntos:  Existencia formal de la misión o finalidad aprobada por el consejo de administración. Cualquiera sea la metodología utilizada. De uso exclusivo para los alumnos de EALDE. supuestos o eventualidades. Página 27 EALDE Business School Copyright 2014. responsables. Isabel Casares San José-Martí. es indispensable que la dirección establezca los objetivos estratégicos respecto de los que asume la responsabilidad de gestionar su cumplimiento evitando los riesgos correspondientes. informes o reportes.  La eficacia con que los objetivos de los organismos e instituciones se comunican a sus miembros. valores y otros elementos. Los objetivos estratégicos son de alto nivel. Reflejan la opción que ha elegido la dirección en cuanto a cómo la entidad creará valor para sus grupos de interés. visión. También se utilizan herramientas administrativas como el marco lógico para elaborar proyectos con indicadores de gestión. indicadores de rendimiento. objetivos. están alineados con la misión de la entidad y le dan su apoyo. En la actualidad. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. la elaboración de planes estratégicos es muy utilizado por las organizaciones para establecer la misión. Todos los derechos reservados.  Hasta qué punto los objetivos de los organismos e instituciones expresan clara y completamente lo que la entidad desea conseguir y la forma en que prevé conseguir teniendo en cuenta sus particularidades.  Grado de vinculación de los diferentes niveles de la organización en el establecimiento de objetivos estratégicos y de las estrategias.  Establecimiento de la viabilidad de cumplimiento de los objetivos. estrategias. los medios de verificación objetiva y los supuestos establecidos.Introducción a la gestión de riesgos Aunque la misión de una entidad y sus objetivos estratégicos sean generalmente estables. recursos. su estrategia y muchos objetivos relacionados con ella son más dinámicos y se adecuan a las cambiantes condiciones internas y externas.  Fijación de tiempos. . Para la autoevaluación por parte de la administración o la evaluación independiente de la calidad de los elementos de este componente.

sectorial y económico en los que actúa la entidad. Todos los derechos reservados. Al fijar los objetivos para los distintos niveles y actividades de la entidad. Estos factores críticos de éxito afectan a la entidad. para facilitar la comunicación interna y externa sobre temas más específicos. como es el caso de los estados financieros y sus notas de detalle. en los diferentes niveles de la organización. Según el estudio COSO II. Estos factores críticos de éxito se representan en indicadores de gestión o estándares para medir el rendimiento. El historial de cumplimientos de una entidad puede afectar de modo significativo – positiva o negativamente . a pesar de existir diversidad de objetivos entre entidades. los comentarios y análisis de la dirección y los informes presentados a entidades reguladoras. Todas las personas. . se pueden establecer algunas categorías amplias como las siguientes:  Objetivos operativos: Representan la eficacia y eficiencia de las operaciones de la entidad. Los objetivos estratégicos de la empresa están vinculados y se integran con otros objetivos más específicos. productos.Introducción a la gestión de riesgos 2.  Objetivos de información: Relativos a la fiabilidad de la información. entre otros. incluyendo los objetivos de rendimiento y rentabilidad y de salvaguardia de recursos frente a pérdidas o usos indebidos. Deben fijar como mínimo: tiempo/período. La información también está relacionada con los documentos preparados para su difusión externa. Isabel Casares San José-Martí. que repercuten en cascada en la organización hasta llegar a las diversas actividades. a cada unidad. Incluyen información interna y externa. informes.  Objetivos de cumplimiento: Se refieren al cumplimiento de leyes y normas. De uso exclusivo para los alumnos de EALDE. Objetivos Específicos Al enfocar primero los objetivos estratégicos y la estrategia. deben tener una comprensión mutua de lo que se ha de lograr y de los medios para medir lo que se consiga.a su reputación en la comunidad y su entorno. Los objetivos operativos deben reflejar los entornos empresarial o institucional. formas de medición. la organización puede identificar factores críticos de éxito. tanto financiera como no financiera. responsables. Resulta útil desagregar estas categorías de objetivos. una entidad está en posición de establecer objetivos de menor jerarquía vinculados con las operaciones y actividades. impactos. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Ciertos objetivos dependen del tipo de actividad de la entidad. La gestión de riesgos corporativos exige que el personal en todos los niveles alcance suficiente entendimiento de los objetivos de la entidad. recursos. Los objetivos deben ser fácilmente entendibles y medibles. función o departamento y a sus integrantes. cuya consecución creará y conservará valor para las partes relacionadas. Página 28 EALDE Business School Copyright 2014. factores críticos de éxito.

 Cantidad y calidad de los recursos en relación con los objetivos.  Operaciones. pueden estar sujeto a acontecimientos externos no siempre bajo control de la organización.  Información. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Las cuatro categorías de objetivos son:  Estratégico o de estrategia. 3. lo que obliga a establecer mecanismos para que la dirección y el consejo de administración en su papel de supervisión.  Participación en la determinación de objetivos de los empleados que ocupan puestos de responsabilidad a todos los niveles. que facilitan su logro.Introducción a la gestión de riesgos Para la autoevaluación por parte de la administración o la evaluación independiente de la calidad de los elementos de este componente. se deben considerar como mínimo los siguientes puntos:  Conexión de los objetivos específicos con los objetivos y planes estratégicos de la entidad. Todos los derechos reservados. Isabel Casares San José-Martí.  Relación de los procesos con los objetivos. y grado de compromiso con la consecución de los mismos. De uso exclusivo para los alumnos de EALDE. . La relación se representa en la siguiente matriz tridimensional. medios de verificación objetiva. en forma de cubo.  Coherencia entre los objetivos específicos para facilitar la coordinación y evitar duplicación de esfuerzos y uso de recursos. impactos. indicadores de gestión. Página 29 EALDE Business School Copyright 2014. Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes.  Métodos utilizados para informar los objetivos a los miembros de la organización. Relación entre objetivos y componentes Se destaca que el logro de los objetivos estratégicos y operativos.  Cumplimiento. estén siendo informados oportunamente sobre estos eventos.  Identificación de factores críticos de éxito.

Este gráfico refleja la capacidad de centrarse sobre la totalidad de una entidad o bien por categoría de objetivos. de operación. . componente. se deben considerar como mínimo los siguientes puntos:  La visión integral que tenga la entidad sobre los objetivos estratégicos. Todos los derechos reservados. Isabel Casares San José-Martí. sin perder de vista la totalidad de la organización. De uso exclusivo para los alumnos de EALDE.Introducción a la gestión de riesgos Los componentes deben ser considerados de manera integral en toda la organización para alcanzar los objetivos. en todos los niveles de la organización. unidad o cualquier subconjunto deseado. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. de información y de cumplimiento con los componentes.  Compromiso de la alta dirección y de todos los niveles de la organización para alcanzar los objetivos cumpliendo los controles y la gestión de los riesgos. Página 30 EALDE Business School Copyright 2014. Para la autoevaluación por parte de la administración o la evaluación independiente de la calidad de los elementos de este componente.

razón por la que es necesario una amplia vinculación de la alta dirección para poder tener acceso a la información en forma oportuna y permanente. en su papel de supervisión. Se destaca que el logro de este tipo de objetivos es más complejo porque la gestión de sus riesgos no depende de la actitud de los miembros de la organización sino de una serie de factores sobre los que no se tiene control. se deben considerar como mínimo los siguientes puntos: Página 31 EALDE Business School Copyright 2014. Por la misma razón anotada. Por esa razón dependen del compromiso del consejo de administración y de todos los miembros de la organización para que se cumplan los objetivos de esta categoría. La supervisión oportuna y proactiva crea las condiciones necesarias para que se produzca información confiable como resultado de cada uno de los procesos. En su orden. . nuevamente la supervisión oportuna y de calidad. estén informados oportunamente del progreso de la entidad en su camino hacia el logro de dichos objetivos. Todos los derechos reservados. quienes dirigen las unidades operativas o productivas así como de apoyo. es de importancia. todos los miembros de la organización apuntan hacia el cumplimiento de los objetivos dentro de sus específicas competencias. ética y diligencia para alcanzar los objetivos específicos. las técnicas y los procesos establecidos con eficiencia. Isabel Casares San José-Martí. De uso exclusivo para los alumnos de EALDE.Introducción a la gestión de riesgos  Grado de conocimiento de todos los niveles de la organización de los elementos establecidos y de los objetivos que se espera alcanzar. Consecución de Objetivos El Consejo de Administración y todos los niveles de la organización. Actuando así. los de información y cumplimiento tienen un entorno altamente interno.  Relación de los objetivos y componentes con la estructura orgánica de la entidad. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. A diferencia de los objetivos estratégicos y de operación que están expuestos a eventos externos. En todos los niveles de la organización debe existir el compromiso de cumplir con las normas establecidas. los objetivos estratégicos y de operación requieren atención de los acontecimientos externos para actuar con oportunidad frente a los eventos que puedan afectar su cumplimiento. deben estar seguros de que se están cumpliendo las políticas. Para la autoevaluación por parte de la administración o la evaluación independiente de la calidad de los elementos de este componente. Proporciona una seguridad razonable de que la dirección y el consejo. 4. Para asegurarse de su cumplimiento. asumen la responsabilidad de alcanzar los objetivos con eficiencia y honestidad.

es una orientación para establecer los objetivos. normas y procedimiento por parte de los todos los miembros de la organización. pues el rendimiento deseado de la estrategia deber estar alineado con el riesgo aceptado de la entidad.  Idoneidad de los indicadores de rendimiento.  Calidad de la supervisión en todos los niveles.Introducción a la gestión de riesgos  La calidad de la información sobre eventos externos relacionados con los objetivos. “El riesgo aceptado es el volumen de riesgo. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. dependiendo del grado de tecnología que se utilice. principalmente en lo relativo a deficiencias y recomendaciones. El riesgo aceptado conocido también como “apetencia de riesgo”. siempre dependerá del criterio y del estilo de gestión de la dirección. Refleja la filosofía de gestión de riesgo de la entidad e impacta a su vez en su cultura”.  Apoyo de la alta dirección a los informes de auditores internos. usando categorías como alto. Algunas entidades. Riesgo aceptado y niveles de tolerancia Según COSO II. que una entidad está dispuesta a aceptar en su búsqueda de valor. o bien optar por un enfoque cuantitativo. Todos los derechos reservados.  Incorporación de controles en los procesos que aseguren el cumplimiento de las normas establecidas.  Disposición de la alta dirección para conocer y analizar los informes de cumplimiento de objetivos. expresan su riesgo aceptado como el nivel Página 32 EALDE Business School Copyright 2014. como las organizaciones sin fines de lucro. Es conveniente destacar que el riesgo aceptado puede ser establecido de manera altamente subjetiva o con un mayor grado de precisión.  Informes de cumplimiento de indicadores y estándares. Isabel Casares San José-Martí. En todo caso. establecido por la dirección bajo control del consejo de administración. a un nivel amplio. moderado o bajo. Las entidades pueden considerar el riesgo aceptado de un modo cualitativo. El riesgo aceptado se debe tener en cuenta al fijar la estrategia. . 5.  Conocimiento y actualización de las políticas. que refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos. principalmente los estratégicos y de operación. De uso exclusivo para los alumnos de EALDE.

Existe una relación entre el riesgo aceptado de una entidad y su estrategia. Las medidas de rendimiento ayudan a asegurar que los resultados reales se ajusten a los niveles establecidos de tolerancia al riesgo. Para la autoevaluación por parte de la administración o la evaluación independiente de la calidad de los elementos de este componente. pero acepta que hasta un 25% de ellos se atiendan entre 24 y 26 horas.  Calidad de los sistemas de información para medir la forma en que se alcanzan los estándares y su relación con el cumplimiento de los objetivos institucionales. con base en los resultados obtenidos. Isabel Casares San José-Martí. una empresa fija un objetivo del 98% de puntualidad para sus entregas.  Grado de comprensión de lo que implica la responsabilidad de aceptar niveles de riesgo y su correspondiente tolerancia. Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. Página 33 EALDE Business School Copyright 2014. y espera que el personal responda a todos los reclamos de los clientes en un plazo de 24 horas. el personal.Introducción a la gestión de riesgos de riesgo que aceptarían a cambio de crear valor para sus grupos de interés. Por ejemplo. se deben considerar como mínimo los siguientes puntos:  Estilo de la dirección para la fijación del riesgo aceptado para de los objetivos establecidos.  Evidencia de las acciones realizadas por la organización para determinar los niveles de aceptación de riesgo y su tolerancia relacionada.  Supervisión y evaluaciones internas para medir la razonabilidad de los niveles de riesgo aceptado así como su tolerancia. . Todos los derechos reservados. Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la consecución de objetivos. se revisa la estrategia.  Interés de la alta dirección para apoyar la necesidad de determinar el nivel de riesgo aceptable y su tolerancia. los procesos y la infraestructura para facilitar la implantación de la estrategia con éxito y capacitar a la entidad a mantenerse dentro de los límites de su riesgo aceptado. Si la estrategia no está alineada con el riesgo aceptado por la entidad. lo que puede ocurrir cuando la dirección formula inicialmente una estrategia que exceda el nivel de riesgo aceptado. La dirección busca alinear la organización. con un riesgo aceptable de error entre el 1% y el 3%. De uso exclusivo para los alumnos de EALDE.

Prohibida la reproducción total o parcial del documento y su distribución por cualquier medio impreso o electrónico sin la autorización escrita. De uso exclusivo para los alumnos de EALDE. Isabel Casares San José-Martí. . Todos los derechos reservados.Introducción a la gestión de riesgos  Atención de los niveles directivos a los cambios ocurridos entre el riesgo aceptado y los resultados. Página 34 EALDE Business School Copyright 2014.