Professional Documents
Culture Documents
CCPM Auditoria Interna y Administracion de Riesgos
CCPM Auditoria Interna y Administracion de Riesgos
28
Secretario
C.P. Salvador Cruz Hernández
Integrantes
L.C José Antonio Alverde Lanzagorta
C.P. Juan Fernando Calvillo Armendariz
C.P. Gerardo Díaz Valdez
C.P.C. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
Mtro. y L.C. Gabriel Sánchez Aguirre
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
L.A.F. Adolfo Tanda Aguayo
C.P.C. Fernando Pérez Mendoza
L.C.I. Israel Pichardo Camargo
C.P. Arturo Salvador Reyes Figueroa
C.P. Antonio Salas Hernández
C.P. Omar Cruz Fuentes
El objetivo de este documento es reflejar los aspectos generales sobre lo que implica la
administración de los riesgos a que están expuestas las organizaciones; así como
proporcionar una serie de términos y conceptos que son de utilidad para la Auditoría
Interna.
Los riesgos a los cuales está sujeta una organización son diversos. Van desde el tipo de
industria, giro o actividad; la madurez de la organización; cultura; nivel de competencia
empresarial; capacidad de respuesta del personal; tipo de producto; ambiente regulatorio;
dependencia y relación con terceros; avances tecnológicos; tecnologías de información
y comunicación, etc.
Asimismo, existen roles que Auditoría Interna no debe desempeñar, ya que son
responsabilidad de la Dirección General y del Consejo de Administración:
Social
Político
Comunidad
Tecnológico Legal
Los factores externos son los que rodean a la organización en su entorno. Una vez
identificadas las oportunidades y amenazas, se debe hacer un análisis de los factores
Internos que pueden afectar el desarrollo de la organización.
Capital
Operacional
Humano
Reputacional
Mercado
Legal Liquidez
Crédito
Riesgo estratégico
Es el riesgo que podría generar una pérdida debido a un plan de negocios malogrado, ya
sea por el plan de negocios en sí, la toma de malas decisiones o por la ejecución
deficiente de dichas decisiones; incluso por la ausencia de los recursos necesarios o por
no saber adaptar el plan de negocios a los cambios del entorno.
Es el riesgo de que una decisión, acción, situación, transacción, o inversión pueda reducir
la percepción sobre la integridad, capacidad y confianza de la organización, ante clientes,
autoridades, proveedores, accionistas, empleados y público en general.
La materialización de este riesgo puede tener un impacto distinto, dependiendo del giro
de la organización y situación que se haya presentado. Lo importante en este tipo de
riesgo es la oportunidad y la forma de gestionar el manejo de la crisis, cuya
responsabilidad recae en la Dirección General y el Consejo de Administración.
Este riesgo ha ido ganando relevancia en los últimos años, principalmente por la
globalización de las marcas y democratización de la información, acentuado en gran
medida por el crecimiento de las Redes Sociales.
Riesgo legal
Debido a que en las organizaciones o negocios las relaciones comerciales son cada día
más complejas, se requiere una mayor actualización y conocimiento de leyes, normas y
reglamentaciones vigentes. En este escenario el riesgo legal se puede definir como la
posibilidad de ser sancionado, multado u obligado a pagar daños, como resultado de
acciones reguladas o acuerdos privados no cumplidos.
Podemos clasificar al riesgo legal en función a las causas que lo originan, entre otras:
Riesgo tecnológico
Es importante mencionar que este riesgo puede ser causa o dar origen a otros riesgos
dentro de la organización. Una falla en los sistemas o en su infraestructura puede detener
o limitar la operación o servicios que ofrece la organización.
Riesgo crediticio
Este riesgo se define como la pérdida potencial que se origina por el incumplimiento de
una parte en una operación crediticia y el deterioro de la calidad financiera de la
contraparte, incluso en su garantía o colateral pactada en las condiciones originales.
Riesgo de mercado
El riesgo de mercado se entiende como la probabilidad de pérdida que puede sufrir una
organización, derivado de la diferencia en los precios que se registran en los mercados o
en los movimientos de los factores de riesgos, entre los que se encuentran:
Riesgo de precio de las mercancías: es el resultado negativo del precio de los insumos
y productos que utiliza la organización, dependiendo del giro de la misma.
Riesgo de liquidez
Este riesgo se entiende como la pérdida originada por la incapacidad de una organización
para hacer frente a sus obligaciones.
Riesgo operacional
Este riesgo es inherente a todas las actividades, productos, sistemas y procesos. Sus
orígenes son muy variados; pueden provocar pérdidas debido a errores humanos,
procesos internos inadecuados o defectuosos, y como consecuencia de acontecimientos
externos.
Procesos: Se deben cuidar los riesgos asociados a las fallas en los modelos utilizados,
diseño inapropiado de los procesos críticos, errores en las transacciones, políticas y
procedimientos inexistentes.
Representado por la posibilidad de que ocurran actos criminales contra los recursos
humanos y materiales de la organización, incluyendo sus inmuebles, instalaciones,
maquinaria, equipos de reparto o transporte, equipos de cómputo, mercancías,
documentos, información documental o en archivos electrónicos, nuevos desarrollos
tecnológicos para ganar mercado, entre muchos otros ejemplos.
Riesgo ambiental
Este riesgo se origina cuando hace falta personal clave, o el existente carece de la actitud,
aptitud y experiencia, necesarios para desarrollar las funciones y responsabilidades
inherentes a los puestos de trabajo. Además, puede presentarse cuando no existe una
adecuada evaluación de desempeño del personal.
Para lograr una efectiva administración de riesgos se debe contar con la aprobación,
compromiso y soporte de la alta dirección de la organización y debe estar integrada en
Los riesgos deben ser evaluados como un proceso sistemático y continuo con el fin de
poder identificarlos, alinearlos, gestionarlos, controlarlos y monitorearlos en base a los
objetivos establecidos por el nivel más alto de la organización, que generalmente es el
Consejo de Administración y ejecutado por la dirección de la compañía.
Esta evaluación debe conducir a la alta dirección a una adecuada planificación y gestión
de la organización para contribuir al cumplimiento de sus objetivos, con la participación
de Auditoría Interna en el cumplimiento de las medidas de control establecidas.
Asimismo, se deben analizar los eventos externos que puedan afectar a la consecución
de dichos objetivos y a la generación de valor para los accionistas.
Una vez que se tiene una definición clara de los riesgos a los cuales puede estar expuesta
una organización, se deberá iniciar con la medición efectiva y cuantitativa del riesgo
asociado con la probabilidad de una pérdida en el futuro. La parte primordial en la
Administración Integral de Riesgos debe cumplir con los siguientes puntos:
Una vez que se tengan los puntos antes mencionados, se le podrá dar la confianza a la
Alta Dirección, al Consejo de Administración y a los Accionistas de que se tienen
identificados, medidos, analizados, mitigados, controlados y monitoreados los principales
riesgos de la organización.
2. Identificar 4. Evaluar y
1. Establecer 3. Analizar 5. Respuesta 6. Monitorear y
los Jerarquizar
el los al Revisar los
Riesgos los
Contexto Riesgos Riesgo Riesgos
Riesgos
Probabilidad
A Casi imposible Difícil probabilidad de que ocurra
B Remoto Ocurrirá sólo en circunstancias excepcionales
C Probable Puede ocurrir en cualquier momento
D Muy probable Ocurrirá en la mayoría de las circunstancias
La función de Auditoría Interna, como uno de sus principales roles, requiere verificar que
el proceso de administración de riesgos se encuentra definido y que está siendo medido,
evaluado y monitoreado en forma continua.
Por su parte, Auditoría Interna debe evaluar si fueron identificados los riesgos relevantes
de la organización y si los controles se han diseñado de manera adecuada y están
operando de manera eficiente para mitigar el nivel de exposición.