You are on page 1of 16

Gestión de Riesgos

y
Control Interno

t u i to
Gra

Fundamentos en la Gestión de Riesgos - Apetito al riesgos, tolerancia y límites
- Riesgos residuales vs. Riesgos secundarios - Niveles de riesgos - Niveles de
control - La Matriz de Riesgo - El Mapa de Riesgos - ISO 31000 - COSO

www.masters-ealde.com

2 ¿Qué contiene este eBook? Introducción 3 Risk Management y Control  3 Fundamentos de la Gestión de Riesgos 4 ¿Cuáles son sus objetivos.com . Riesgos Secundarios 6 Niveles de Riesgo 7 Niveles de Control 8 El Mapa de Riesgos 9 La Matriz de Riesgos 10 Normas en Gestión de Riesgos: ISO 31000 11 Análisis 11 Estructura 12 Proceso 12 Los principios de ISO 31000 13 Normas en Gestión de Riesgos: COSO 14 Gestión de Riesgos y Control Interno www.masters-ealde. Tolerancia y Límites 5 Primer paso en la Gestión de Riesgos 5 Riesgos Residuales vs. etapas y beneficios? 4 Apetito al Riesgo.

Comunicación e Informes EALDE Business School Gestión de Riesgos y Control Interno www. Apetito.com . Gestión y Control 4. preventi- vos. El proceso ín- tegro de la gestión de riesgos en las empresas está 1. 3. La organización puede presentar desde con- troles manuales a mecanizados. Tolerancia y Límites 2 Identificación y Evaluación arropado de la cultura y el gobierno corporativo. A cada riesgo se le asignan sus controles correspondientes. El riesgo residual ofrece la posibilidad de analizar si los controles planteados son realmente efectivos Fases en la Gestión de Riesgos y si se han aplicado correctamente.masters-ealde. El control interno proporciona la garantía razona- ble de la consecución de los objetivos estratégicos de la alta dirección. del consejo de administración. detectivos y correctivos.3 Introducción Risk Management y Control La implementación del proceso de ge- stión de riesgos tiene diferentes fases.

Etapas El apetito al riesgo. permite una planificación estratégica más efectiva. tiene un efecto positivo o negativo en los objetivos de un proyecto”.masters-ealde. así como la probabilidad de producirse. La gestión de estos riesgos están vinculados en todo momento con los objetivos estratégicos del ne- gocio. si se produce. A continuación se encuentra la gestión del riesgo y los controles. que derivan hacia la comunicación y elaboración de informes. en los que hay una planificación de los recursos de capital humanos y tecnológicos Beneficios El conocimiento de los riesgos posibles. Esto conlleva a una mayor eficiencia y efectivi- dad y. seguido de la identi- ficación y evaluación de los riesgos. busca au- mentar las probabilidades de que se produzcan impactos positivos en esas actividades. etapas y beneficios? Objetivos La gestión de riesgos persigue la disminución de las probabilidades de los impactos nega- tivos en un proyecto o en determinada actividad de la empresa y. a unos menores costes asociados a esos imprevistos previamente identificados y controlados. consecuentemente. La continua revisión y comunicación de los datos propicia que todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva. ¿Cuáles son sus objetivos.com . la tolerancia y los límites son el punto de partida. Gestión de Riesgos y Control Interno www.4 Capítulo 1 Fundamentos de la Gestión de Riesgos Un riesgo es aquel “evento o condición incierta que. al contrario. de acuerdo a la PMBOK Guide.

de riesgo. Los objetivos de la empresa. Se trata del apetito al riesgo. sitúan. asumir el mismo nivel de ries. según su naturale. Estos planteamientos quedan recogidos en los manuales elaborados y van a condicionar el apetito al riesgo de la organización. a sus objetivos estratégicos. Las empresas pueden gestionar fica que sea el riesgo máximo nes normativas. nes están dispuestas a acep. pero eso no signi- de la competencia o situacio. Gestión de Riesgos y Control Interno www. En za o del contexto en el que se a estos límites de las compañías este contexto. lerancia al riesgo de estas or- tar riesgos en la búsqueda de ganizaciones varía en función su misión y visión. De este modo. actuaciones. en la búsqueda de sus objetivos.5 Capítulo 2 Apetito al Riesgo. Todo comienza por conocer los objetivos estra- tégicos de la empresa. Primer paso en la Gestión de Riesgos 1 2 3 Apetito al Riesgo Tolerancia al Riesgo Límites Los objetivos de las empresas No obstante. La capa- primera base sobre la que tra. las organizacio. sus políticas y sus procedi- mientos están planteados por la alta dirección.masters-ealde. análisis go para alcanzar sus objetivos. Se trata de la una mayor o menor cantidad que puedan soportar. la to.com . de riesgo determinado con sus ratios comparativos. cidad de riesgo hace referencia baja la gestión de riesgos. la tolerancia y los límites conforman el primer paso para tra- bajar en la gestión de riesgos. resultados. no todas las Las organizaciones pueden es- han de contemplar elementos compañías están dispuestas a tar dispuestas a aceptar un nivel como rentabilidad. vinculada del nivel de riesgo aceptado. Tolerancia y Límites El apetito al riesgo.

La empresa ha im- plementado determinados controles y el ries- Riesgos Residuales go subsiste. De este modo. Este tipo de riesgos también ha de ser identificado y analizado. Gestión de Riesgos y Control Interno www.masters-ealde.6 Capítulo 3 Riesgos Residuales vs. Riesgos Secundarios Este tipo de riesgo hace referencia a aquel que permanece después de haber ejecutado las respuestas a esos riesgos. como consecuencia de esas actuaciones. para su posterior control y gestión. La organización ha de tratar de que ese nivel sea aceptable. Es en este contexto en el que se pre- sentan nuevos riesgos secundarios. La empresa actúa de acuerdo a los riesgos que Riesgos Secundarios se le presentan para eliminarlos. Se trata del riesgo que aparece en el mo- mento en el que la organización implanta una determinada respuesta a un riesgo. según su impacto y natura- leza.com . este tipo de riesgo ha sido acepta- do e identificado por la compañía para crear planes de contingencia y planes alternativos. mitigarlos o transferirlos. teniendo en cuenta que siempre va a existir un nivel de riesgo.

vayan a una zona des de control po. Se hace evaluación y su- Nivel de riesgo pervisión de con- alto Las organizaciones troles. Gestión de Riesgos y Control Interno www. Este análisis permite trol. de no confort. • Evaluación y supervisión de controles clave y relevantes. pero solo Evaluación de to- das las actividades pueden presentar claves o relevantes en los que no se de control. medio o bajo. No se necesitan realizar activida- cuantificar si compensa o no adoptarlo. sis coste-beneficio.7 Capítulo 4 Niveles de Riesgo Las organizaciones pueden presen. teniendo en cuenta el análi. permiten que se todas las activida. Muchas veces poner unas medidas de control pueden supo. Nivel de riesgo medio tar niveles de riesgo alto.com . • No evaluación de actividades de control.masters-ealde. • Evaluación de todas las actividades de con- trol. Nivel de riesgo bajo ner un coste mayor que el beneficio que No evaluación de actividades de con- nos puede reportar. Se sibles dentro de la trata de realizar organización. des de control al tratarse de un ries- go del día a día caracterizado por la propia actividad de la empresa. Tomar niveles de riesgo alto. controles para pasar al nivel de riesgo bajo. medio o bajo: Evaluación y supervisión de controles cla- ve y relevantes.

8 Capítulo 5 Niveles de Control Controles Controles Controles preventivos detectivos correctivos Los controles que establecen las empresas son fun- damentalmente preventivos. Controles detectivos Entran en escena para identificar los eventos en el momento en el que se presen- tan. Se trata de adoptar las medidas necesarias para que no vuelva a producirse.masters-ealde. eliminar o mitigar cada uno de ellos. Gestión de Riesgos y Control Interno www. detectivos y correctivos: Controles preventivos Se establecen para anticiparse a los eventos no deseados antes de que sucedan. a la que se les traslada las opciones de asumir. El conocimiento de estos riesgos viene determinado por la experiencia de la empre- sa y del sector en el que desempeña su actividad. Cada empleado pone en prácti- ca las medidas preventivas apuntadas por la compañía. para que no se produzcan. Guardan relación con la toma de decisiones de la alta dirección.com . Controles correctivos Se caracterizan por la toma de acciones para prevenir eventos no dese- ados.

rollo de la actividad. En la elaboración de un mapa de riesgos influyen las características y natu- raleza de la empresa. En el mapa de riesgos tam- bién tienen cabida las to- Gestión de Riesgos y Control Interno www.masters-ealde. Las variables de probabili- dad y de impacto cuantita- tivo y cualitativo permiten determinar un mapa de ca- lor. así como los diferentes tipos de riesgos o amenazas. donde se sitúan cada uno de los riesgos más representativos para la empresa y que afectan a su toma de deci- siones. la tolerancia y los límites. que guarda relación con el apetito al riesgo.mas de decisiones plante- nes gráficas contribuyen a adas por la empresa como Impacto que los presidentes de las respuesta a esos riesgos. Las medidas a adoptar dependen de la probabilidad y del impacto de esos riesgos.9 Capítulo 6 El Mapa de Riesgos El mapa de riesgos permite comprender las amenazas y facilitar la toma de decisiones a través de la prevención de los posibles riesgos que se le pueden plantear a la organización. situación la compañía. Este tipo de representacio. Las Probabilidad organizaciones asumen.com . reducen o transfieren esos • Posibilidad de que un riesgos dependiendo de determinado riesgo pu- la probabilidad de que se eda ocurrir en el desar- produzcan y de su impacto. Se trata de una re- presentación gráfica de los objetivos estratégicos de la organización. empresas comprendan de • Efecto económico de la un modo visual cuál es la materialización del riesgo.

Gestión de Riesgos y Control Interno www. Las actuaciones de las organizaciones implican ries- gos inherentes de diversa tipología y que pueden presentar un nivel mayor o menor. incluso. La empresa puede evaluar si la gestión de cada uno de esos riesgos está sien- do efectiva a través de esta matriz y cómo afectan al cumplimiento de los objeti- vos estratégicos previamente planteados por la alta dirección. Este mecanismo se caracteriza por su flexibilidad. Además.10 Capítulo 7 La Matriz de Riesgos El establecimiento de mecanismos de con- trol en la implementación del proceso de gestión de riesgos se sitúa entre las etapas de identificación y evaluación y la posterior elaboración de informes y comunicación. proporciona datos so- correcta de gestión de bre la probabilidad de que se produzcan los recursos para mitigar estos riesgos e.masters-ealde. La matriz de riesgo permite a las empresas identificar cuáles son los productos o ac- tividades más relevantes y los riesgos que van conllevar cada uno de ellos.com . posibilita la com- paración de proyectos y de productos. debido a que el apoyo de toda la or- ganización es necesario en el control interno. La matriz de riesgo facilita el control so- La matriz de riesgo facilita bre aquellos riesgos más críticos y la cor- el control sobre aquellos recta gestión de los recursos para mitigar riesgos más críticos y la cada uno de ellos con determinadas actu- aciones. La efectividad de los controles establecidos determina la calidad de la gestión de riesgos realizada. cada uno de ellos con determinadas actuaciones. La implicación de los diferentes miembros contribuye a la consecución de los objetivos estratégicos planteados por la compañía.

cuantificación. y cuáles nos dan un resultado económico y/o hay que combinar por apoyo.com . Tam- bién existe la opción de contar con un desplegable de todos los riesgos posi- bles e identificar cuáles de ellos afectan a la actividad que realiza la compañía.masters-ealde. búsqueda o análisis de escenarios. Gestión de Riesgos y Control Interno www. Hay riesgos que la empresa puede conocer por la actividad que realiza y que son transmitidos a la gerente de riesgos.11 Capítulo 8 Normas en Gestión de Riesgos: ISO 31000 ISO 31000 es una guía de implementación codificada por la Or- ganización Internacio- nal de Normalización. Análisis El análisis de cada uno de los riesgos se hace a través de sus dueños. por toda la organización al fin y al cabo. Estas normas abarcan una serie de técnicas de evaluación de riesgos que indican cuáles son válidas para la identifi- cación.

para proceder a tratarlos. Hay un seguimiento y revisión de la estructura que gene- ra una mejora continua. analizan y se establecen cuáles son los más importantes. Se evalúan cualitativa y cuantitativamente.com . que recoge todos los ob- jetivos y el entorno de la organización. Este apoyo propi- cia el diseño de una estructura de soporte y la implementación de la ge- stión de riesgos. en el que tienen cabida un comité de administración de la em- presa y una unidad de riesgos. reducir o aceptar esos riesgos. Gestión de Riesgos y Control Interno www. A través de la toma de decisiones se transmite al consejo de administración cuál sería el análisis coste-beneficio de eliminar. En la apreciación de riesgos se identifican. se crea el contexto. Este organigrama cuenta además con re- sponsables dentro de cada una de las funciones clave de la organización.masters-ealde. La estructura posibilita un organigrama específico de gestión. Proceso En cuanto al proceso de ISO 31000.12 Estructura En ISO 31000 hay un compromiso de la alta dirección. Finalmente se comunica. se estable- cen las consultas oportunas y se realiza un seguimiento y una revisión continua.

Estos principios conectan con la estructura y el proceso de esta norma.com . Principios . estratégicos. legales.Es dinámica.13 Capítulo 9 Los principios de ISO 31000 ISO 31000 se basa en 11 principios que encajan con toda la estructura de la or- ganización y que están relacionadas con las normativas de la implementación de riesgos. . .Forma parte de la toma de decisiones. . estructurada y adecuada. Gestión de Riesgos y Control Interno www.Está hecha a medida.Facilita la mejora continua de la organi- .Trata explícitamente la incertidumbre. organización. . .Tiene en cuenta factores humanos y . .Está integrada en los procesos de la culturales.Crea valor. posible. Los princi- pios en los que se sustenta la ISO 31000 posibilitan la correcta implementación de la gestión y el análisis con respecto a los objetivos planteados por la organización.masters-ealde. bio. Estas técnicas facilitan la identificación y la evaluación de los riesgos de la empre- sa: financieros. operacionales o reputacionales. .Es transparente e inclusiva.Está basada en la mejor información zación.Es sistemática. iterativa y sensible al cam- .

14 Capítulo 10 Normas en Gestión de Riesgos: COSO COSO (Committee Of Sponsoring Organizations) se ubica en la normativa ame- ricana y es una de las guías de implementación que hay ahora mismo en vigor.com . pero con la novedad de que el análisis de la gestión de riesgos puede ser global de la entidad o específico por divisio- nes. en el que falta- ban componentes e información para poder llevar a cabo este análisis de ge- stión eficaz.masters-ealde. COSO II llegó en el año 2004 como complemento de COSO I. unidades operativas o distintas funciones. La guía de implementación del marco COSO 2013 establece los cinco componentes de COSO I. Gestión de Riesgos y Control Interno www. Su origen radica en un grupo de trabajo que elabora documentos. manuales e informes con el fin de establecer el análisis y el control dentro de la empresa. El análisis de la gestión de es- tos riesgos se lleva al límite o al nivel deseado dentro de la organización.

autoridad y responsabilidad -Compromiso para atraer. unidades operativas o distintas funciones. desarrollar y retener personal clave -Mantiene a los individuos relevantes en el control interno Evaluación de riesgos -Especifica objetivos relevantes -Identifica y evalúa riesgos -Gestión del riesgo de fraude -Identifica y evalúa cambios importantes Actividades de control -Selecciona y desarrolla actividades de control -Selecciona y desarrolla controles generales sobre tecnología -Se implementa a través de políticas y procedimientos Información y comunicación -Genera información relevante -Comunica internamente -Comunica externamente Actividades de monitorización -Realización de evaluaciones continuas e individuales -Evalúa y comunica deficiencias Gestión de Riesgos y Control Interno www.masters-ealde. Cada uno de estos cinco componentes tienen sus correspondientes principios: Entorno de control -Demuestra compromiso con la integridad y los valores éticos -Ejerce responsabilidad de supervisión -Establece estructura.15 El análisis de la gestión de riesgos puede ser global de la entidad o espe- cífico por divisiones.com .

masters-ealde. Ello permite a nuestros alumnos acceder a una formación de alta calidad que de verdad ayude a impulsar sus carreras profesionales. EALDE es una escuela de negocios 100% online mediante un método de enseñanza único dónde se aprende de los profesores. La formación académica de los docentes procede de las mejores Universidades y escuelas de negocio de España. pero también del resto de los compañeros del grupo. la Escuela de Administración.com . Liderazgo. Dirección y Emprendimiento EALDE está formada por directivos que han ejercido en empresas privadas de pre- stigio internacional. así como en instituciones públicas.Acerca de EALDE Business School EALDE. ¡Síguenos! Solicita información ¡Escríbenos! sobre nuestros másters www. de los materiales lectivos. obligando al alumno a pensar como verdaderos directivos de departamento y empresa. Transmiten su experiencia directiva mediante Casos prácticos.