rol de la auditoria interna y la gestión de riesgos

Rol de la auditoRía inteRnaen la gestión de riesgos

empresariales en entidades bancarias

bogotá d. c., noviembre de 2009

comité de auditoría

PresidenteMaría Mercedes Cuéllar

Vicepresidente EconómicoDaniel Castellanos

Directora de Operación BancariaMargarita María Henao Cabrera

Documento elaborado por el Comité de Auditoría de Asobancaria

Revisión técnicaAna Cristina Zambrano Preciado, CIA, CCSA, Presidenta- Directora Ejecutiva IIA Colombia

Camila Quiñones, Gerente, Deloitte &Touch

Elsa Victoria Mena, Socia, Deloitte & Touch

Jorge Alfredo Hernández, Socio, Deloitte & Touch

Wilmar Arturo Castellanos, CISA, CISM, CGEIT, Gerente, Deloitte

Asesora de ComunicacionesMaría Constanza Mejía M.

ASOBANCARIAAsociación Bancaria y de Entidades Financieras de Colombia – AsobancariaCarrera 9 No. 74 – 08 Piso 9Teléfono 326 6600Fax: 326 6601

[email protected]

Diseño y armada electró[email protected]

�

contenido

IntroduccIón 5a. Función de Auditoría Interna (AI) 7b. Declaración de posición sobre el rol de la AI ante la gestión de riesgos 7

1 Antecedentes 9

2 AdmInIstrAcIónderIesgosenentIdAdesfInAncIerAssegúnBAsIleAII 112.1 Riesgo de crédito 11

2.1.1 Gobierno corporativo y vigilancia 112.1.2 Control del riesgo de crédito 11

2.2 Riesgo de mercado 122.3 Riesgo operativo 13

2.�.1 Criterios generales 1�2.4 Marco general de riesgo 13

2.4.1 Evaluación rigurosa de capital 1�2.4.2 Evaluación integral de los riesgos 142.4.�. Seguimiento e información 15

2.5 Examen de control interno 162.5.1 Requisitos generales de divulgación cualitativa 16

3 AntecedentesencolomBIAdelApArtIcIpAcIóndelAAudItoríAInternAenlAgestIónderIesgooperAtIvo(ro) 173.1 Clain-Felaban 17

�.1.1 X Congreso Latinoamericano de Auditoría Interna y Administración de Riesgos, Cartagena 2006 17

3.2 Asociación Bancaria de Colombia 18�.2.1 V Congreso de Riesgo Financiero, Cartagena 2006 20

3.3 Superintendencia Financiera de Colombia (SFC) 20

4 roldelAAudItoríAInternAenlAgestIónderIesgoempresArIAl 214.1 Rol de aseguramiento 22

ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS

4

4.2 Rol de consultoría 234.3 Roles que la auditoría interna no debe realizar 234.4 Aplicación de los referentes para el ejercicio profesional

de la auditoría interna en el sector financiero, relacionadas con las actividades de aseguramiento y consultoría en el ERM 24

5 nIveldemAdurezdelprocesodegestIónderIesgos 25

6 AplIcAcIóndeoBjetIvosenAsegurAmIentoyconsultoríAvs.etApAsdelprocesodegestIónderIesgos 27

7 controlInterno 337.1 Control interno-Coso II 33

7.1.1 Gestión de riesgos ��7.1.2 Ambiente interno �47.1.� Establecimiento de objetivos �47.1.4 Identificación de eventos �47.1.5 Evaluación de riesgos �47.1.6 Respuesta al riesgo �57.1.7 Actividades de control �57.1.8 Información y comunicación �57.1.9 El monitoreo �5

7.2 Modelo de control-COBIT 36

BIBlIogrAfíA 37

Anexo1 Guía para el uso de la Norma NTC 5254 –

Gestión del riesgo en el proceso de auditoría interna 38

Anexo2 Aplicación de los referentes para el ejercicio profesional

de la auditoría interna en el sector financiero relacionadas con las actividades de aseguramiento y consultoría en la ERM 57

Anexo3 Una herramienta de autodiagnóstico para la implementación

de la administración del riesgo, por Basil Orsini 62

Anexo4COBIT Tabla de resumen 73

5

introducción

El Subcomité de Riesgos del Comité Técnico de Auditoría de la Asociación Bancaria de Colombia, dentro de sus trabajos de investigación, desarrolló el pre-sente documento, el cual pretende ser una guía para las áreas de auditoría de las entidades financieras sobre el rol del auditor interno en la gestión de riesgos empresariales, particular-mente en lo que se refiere al riesgo operativo (RO). Para ello, se recopiló y analizó literatura sobre el tema, tanto de ámbito nacional como internacional. Dentro de estos documentos se encuentran, entre otros:

Basilea II, Nuevo Acuerdo de Capital de Basilea, abril de 2003.

Referentes para el ejercicio profesional de la auditoría interna, emitido por el Instituto de Auditores Internos www.theiia.org.

Guía para el uso de la norma NTC 5254 Gestión del Riesgo, dentro del proceso de auditoría interna, emitida por el ICONTEC, la cual es una adopción modificada del estándar australiano AS/NZ-4360 - RISK MANAGEMENT.

Lineamientos aplicables tomados de COSO II-ERM.

COBIT, objetivos de control para información y tecnología (TI).

Proyecto de circular de la Superintendencia Financiera de Colombia – SFC sobre “Reglas relativas a la administración de Riesgo Operativo” – Noviembre 2006.

El presente documento tiene como objetivo primordial facilitar la aplicación práctica de los lineamientos generales de Administración de Riesgos Empresariales (ERM), publicados por Basilea II, COSO – ERM, estándar Australiano AS/NZ-4360, ICONTEC y la Superintendencia Financiera, para desarrollar un marco de referencia circunscrito al rol que debe ejercer el Au-ditor Interno ante el ERM en las entidades del sector financiero colombiano.

Gestionar los riesgos significa administrarlos para lograr un balance apropiado entre pérdi-das y utilidades, identificando las oportunidades para obtener beneficios y para minimizar los impactos adversos. Es una parte integral de una buena práctica gerencial y un elemento esencial de buen gobierno corporativo.

Es un proceso iterativo que se conforma de pasos que, cuando se siguen en secuencia, permi-ten una mejora continua en el proceso de toma de decisiones y permite a las organizaciones


6

optimizar su desempeño y lograr los objetivos propuestos con un grado de seguridad y riesgo razonables.

La Gestión de Riesgo Empresarial implica establecer una infraestructura y cultura apropiada y aplicar un método lógico y sistemático para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear, comunicar y administrar riesgos residuales en cualquier actividad o proceso. Acorde con lo establecido en Basilea II, los bancos deben utilizar metodologías adecuadas para medir los diferentes riesgos a los que se enfrentan y así establecer capitales requeridos, buscando promover seguridad y solidez en sus operaciones, integrar a toda la organización en la implementación de un proceso continuo de administración de riesgo, asegurar la su-pervisión y control de la gestión de riesgos y cumplir a cabalidad con los lineamientos que adopten las entidades reguladoras de cada país.

En el caso colombiano, la SFC como adición al capítulo XXII de la Circular básica contable y financiera (C.E. 100/95), ha establecido unas “Reglas generales relativas a la administración del riesgo operativo”, entre las que se encuentran:

La obligación de que las entidades vigiladas desarrollen y adopten un sistema de adminis-tración de riesgo operativo (SARO).

Su ámbito de aplicación, definiciones de conceptos, factores, eventos, recursos, infraes-tructura, documentación, componentes, controles, monitoreo y responsabilidades de los órganos de dirección, administración y control.

Considera con el mismo nivel de importancia, la administración del riesgo operativo y los riesgos crediticio, de mercado y liquidez, y fija como un plazo prudencial julio de 2007, para que las entidades empiecen a dar cumplimiento.

La gestión de riesgos debe formar parte de la cultura de una organización, es decir, debe estar incorporada en la filosofía, prácticas y procesos de negocio. Todos en la organización, incluidos la junta directiva, comité de auditoría y la alta gerencia, deben estar completamente involucrados en la gestión de riesgos.

Todas las organizaciones enfrentan cada vez mayor grado de incertidumbre, por efectos de la globalización, la complejidad de los negocios y los avances tecnológicos, el desafío es de-terminar cuánto de esta incertidumbre estamos preparados para aceptar.

La incertidumbre representa tanto amenazas como oportunidades, con el potencial de mi-nimizar o enriquecer la generación de valor de las organizaciones. La gestión de riesgos em-presariales provee una estructura conceptual para que la administración conviva de manera racional con la incertidumbre, con los riesgos y oportunidades asociados, lo cual enriquece su capacidad para generar valor.

7

INtRODuCCIóN

Con la evolución y dinámica de los negocios se plantea una gran oportunidad para fortalecer y optimizar la función de auditoría interna en el sentido de agregar valor y contribuir efectiva-mente al logro de los objetivos de las organizaciones. Por esta razón, el presente documento también pretende contribuir al análisis y aplicación práctica de la actividad de auditoría interna en los procesos de gestión de riesgos en el sector financiero colombiano, tomando como referencia las dos definiciones básicas del Instituto de Auditores Internos:

a. Función de auditoría interna (ai):

Es una actividad de aseguramiento y consultoría, que en forma independiente y objetiva desarrolla sus actividades para agregar valor y mejorar los procesos de gestión de riesgos, control y gobierno en la organización. La gestión de riesgos es un aspecto fundamental en el trabajo del auditor interno.

b. declaración de posición sobre el rol de la ai ante la gestión de riesgos:

Establece la guía sobre los roles que están permitidos y las salvaguardas necesarias para pro-teger la objetividad e independencia de la auditoría interna. Inicia definiendo la gestión de riesgo empresarial (ERM1) como:

“Es un proceso estructurado, consistente y continuo implementado a través de toda la orga-nización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el logro de sus objetivos”.

Luego establece que el rol fundamental de la auditoría interna respecto al ERM es:

“Proveer aseguramiento objetivo a la Junta sobre la efectividad de las actividades de ERM en una organización, para ayudar a asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente y que el sistema de control interno está siendo operado efecti-vamente”.

1 ERM – Enterprise Risk Management – Gestión de Riesgo Empresarial

9

antecedentes1Para entender la evolución del riesgo en Colombia frente a la

economía, es necesario remontarnos a sus orígenes.

Las actividades financieras (si el término cabe, pues hablaríamos de trueque en su contexto histórico), en épocas de los antiguos pobladores, estaban en función de las tierras y los cul-tivos, principalmente el maíz como fuente primaria de subsistencia, que luego se convierte en el fundamento de la economía de muchos de nuestros pobladores en Colombia. Con la llegada de los españoles se inicia el proceso histórico de identificación de riesgos en transporte y embarque de oro y esmeraldas, con el fin de custodiar y minimizar los riesgos de robo.

Pasando a los siglos XIX y XX, después de la intención fallida de establecer el Banco Nacio-nal en 1880, el déficit fiscal que obliga al banco a prestarle al Gobierno recursos sin ningún control, genera repercusiones en la economía nacional y cierta prevención contra el Banco Central, hasta su liquidación.

Con la venta de Panamá en 1903 por 25 millones de dólares, se genera una buena liquidez y reactivación de la economía; nace entonces la necesidad de crear el Banco Central, que se materializa solo hasta 1923 con la constitución del Banco de la República. Esta decisión nace en la presidencia de Pedro Nel Ospina, quien decide invitar al profesor de la Universidad de Harvard, Edwin Kremerer, y se consolida la misión que lleva su nombre, cuyo objetivo es estabilizar y controlar los recursos del Estado y el control de la moneda, así como también la creación de la Contraloría General de la República y la Superintendencia Bancaria. Para evitar los descalabros económicos que sufrió el anterior Banco Central, se establecieron límites, como la concentración de empréstitos al Gobierno Nacional el cual no podía superar el 30% del capital del banco.

En esta parte de la historia financiera de Colombia nacen los inicios de control de riesgos de mercado y de crédito como límites de tasa de interés y algunas condiciones para la colocación de préstamos. Los riesgos financieros materializados tuvieron un efecto importante sobre las finanzas del país, originando un endeudamiento con los bancos ingleses. Con posterioridad a la misión Kremerer, se incrementó el endeudamiento con los bancos de Estados Unidos, lo cual requirió el establecimiento de controles que mitigaban los riesgos de liquidez y de mercado.

La evolución de las instituciones financieras en Colombia durante el período 1923-1995 registra reformas financieras como las de 1951 y 1990, destacándose los cambios institucionales y sus efectos sobre el desarrollo de la intermediación financiera; sobresale la importancia del Banco


10

Central en términos de la profundización de los mercados de capital y de la estabilización macroeconómica.

En el proceso de liberalización financiera, la libertad en el otorgamiento del crédito lleva implícita la posibilidad de generar una mayor concentración de riesgo. También, la mayor exposición al mercado trae consigo exigencias especiales en materia de su administración y la información hacia el público en general, asociado además con la persistencia de problemas en el mercado financiero, originados en las políticas defectuosas de los intermediarios del sistema, en lo que se refiere a la gestión de riesgos, que termina en una degradación de la calidad de los compromisos bancarios y en una insuficiencia de fondos propios.

La Superintendencia Bancaria nace como un organismo de control y vigilancia a las activida-des de los bancos. Con la promulgación de la Constitución de 1991 se establece el control como una responsabilidad prioritaria de las organizaciones del Estado, fortaleciendo así las funciones de los entes reguladores.

Actualmente, Colombia está fuertemente influenciada por las definiciones, estándares y mejo-res prácticas internacionales, como las expedidas por el Comité de Basilea – COSO II ERM. Así mismo, los resultados de experiencias internacionales se han venido tomando como marco de referencia, inclusive por los organismos de supervisión y control, para trabajar en la adopción de una propuesta acorde con la realidad y exigencias del mercado financiero colombiano.

11

administración de riesgos en entidades Financieras

según basilea ii2Es importante hacer un breve recuento de los apartes del Docu-

mento de Basilea II, en donde se deja un claro marco de acción, sobre los riesgos a que están expuestos los bancos. A continuación se citan textualmente los apartes que se consideran importantes sobre los riesgos, controles y la administración de los mismos:

2.1 riesgo de crédito

2.1.1 gobierno corporativo y vigilancia400. Todo aspecto importante de los procesos de calificación y estimación deberá ser apro-

bado por el consejo de administración del banco o por un comité delegado de éste y por la alta dirección.

Estas partes deberán poseer un conocimiento general del sistema de calificación de riesgos del banco y una comprensión detallada de los informes de gestión asociados a dicho sistema. La alta dirección deberá informar al consejo de administración a al comité delegado de las modificaciones o excepciones de importancia con respecto a las políticas establecidas que tengan efectos relevantes sobre la operativa del sistema de calificación del banco.

2.1.2 control del riesgo de crédito401. El banco deberá contar con unidades independientes de control del riesgo de crédito,

encargadas del diseño o selección, aplicación y funcionamiento de sus sistemas internos de calificación. La unidad o unidades deberán ser funcionalmente independientes del personal y de las unidades administrativas responsables de generar las exposiciones.

Sus áreas de responsabilidad deberán incluir:a. Pruebas y seguimiento de los grados internos;b. Elaboración y análisis de informes sobre el sistema de calificación del banco, incluyen-

do datos históricos de incumplimientos clasificados por calificaciones en el momento del incumplimiento y un año antes de éste, análisis de la migración entre grados y seguimiento de las tendencias de los criterios básicos de calificación.

c. Aplicación de procedimientos destinados a comprobar que las definiciones de las calificaciones se aplican de manera coherente en los distintos departamentos y en las diversas áreas geográficas.

d. Examen y documentación de cualquier cambio en el proceso de calificación, incluyendo las razones que lo motivaron; y


12

e. Examen de los criterios de calificación al objeto de evaluar si continúan cumpliendo la función de predicción del riesgo. Las modificaciones introducidas en el proceso de calificación, en sus criterios o en los parámetros individuales utilizados deberán docu-mentarse y conservarse para su examen por parte de las autoridades supervisoras.

2.2 riesgo de mercado

491. Se espera que el conjunto de prácticas del riesgo que utilizan los Bancos en sus inversio-nes accionarías de la cartera de inversión sea coherente con las directrices sobre buenas prácticas regularmente emitidas desde el comité y por los supervisores nacionales. Con respecto al desarrollo y utilización de modelos internos a efectos del capital regulador, las instituciones deberán establecer políticas, procedimientos y controles que garanticen la integridad del modelo y de los procesos de modernización empleados en la derivación de los requerimientos de capital regulador.

a) Plena integración del modelo interno dentro del conjunto del sistema de gestión de la información del banco y en la gestión de las posiciones accionarías de la cartera de inversión. Los modelos internos deberán encontrarse plenamente integrados dentro de la infraestructura de gestión de riesgo de la institución, incluyendo su uso en:

El establecimiento de tasas críticas de rentabilidad de las inversiones y evaluación de inversiones alternativas.

La medición y evaluación del rendimiento de la cartera accionaría (incluido el ren-dimiento ajustado de riesgo).

La asignación de capital económico a las exposiciones accionarías y a la evaluación de la suficiencia de capital en general, conforme a lo exigido en el segundo pilar. La institución deberá ser capaz de demostrar, por ejemplo mediante actas del comité de inversiones, que los resultados aportados por los modelos internos desempeñan una función esencial en el proceso de gestión de las inversiones.

b) Sistemas y procedimientos de gestión establecidos y unidades de control, con el objeto de garantizar un examen periódico e independiente de todos los elementos del proceso interno de modelización, incluidos la aprobación de las revisiones de los modelos, la actualización de los argumentos y el examen de sus resultados, tales como la verificación directa de los cálculos del riesgo. Deberá prestarse especial atención a las técnicas de valoración por aproximación y de asociación, así como otros componentes cruciales del modelo. Estos exámenes deberán evaluar la precisión, exhaustividad y adecuación de los argumentos y los resultados del modelo y centrarse en la búsqueda y máxima reducción de errores potenciales asociados a debilidades conocidas del modelo, así como en la identificación de debilidades desconocidas. Estos exámenes deberán llevarse a cabo como parte de los programas de auditoría interna o externa, realizados por una unidad independiente de control de riesgos o bien por una unidad externa.

c) Sistemas y procedimientos adecuados de seguimiento de los límites fijados a la Inver-sión y a las exposiciones de riesgo de las inversiones accionarías.

1�

ADmINIStRACIóN DE RIESGOS EN ENtIDADES FINANCIERAS SEGúN BASILEA II

d) Las unidades responsables del diseño y aplicación del modelo deberán ser funcional-mente independientes de las unidades responsables de la gestión de las inversiones individuales.

e) El personal responsable de cualquiera de los aspectos del proceso de modelización deberá estar adecuadamente capacitado. La dirección del banco deberá asignar re-cursos competentes y suficientemente cualificados a las labores de modelización.

2.3 riesgo operativo

607. El riesgo operativo se define como el riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos. Esta definición incluye riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.

2.3.1 criterios generales620. A objeto de poder utilizar el método estándar, como base para el método avanzado

- AMA, el banco deberá demostrar a su supervisor que, como mínimo:

Su consejo de administración y alta dirección, según corresponda, se encuentran activamente implicados en la vigilancia del marco de gestión del riesgo operativo.

Posee un sistema de gestión del riesgo conceptualmente sólido y aplicado en su integridad; y

Cuenta con recursos suficientes al objeto de utilizar la metodología en las principales líneas de negocio, así como en las áreas de control y auditoría.

2.4 marco general de riesgo

688. El consejo de administración del banco tiene la responsabilidad de determinar la to-lerancia del banco al riesgo. También deberá garantizar que la dirección de la entidad establece un marco para la evaluación de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y aplica el método de seguimiento de la observancia de las políticas internas.

Otra función importante del consejo de administración consiste en adoptar y apoyar la utilización de sólidos controles internos y políticas y procedimientos por escrito, así como garantizar que la dirección del banco comunica esta información en toda la organiza-ción.

2.4.1 evaluación rigurosa de capital689. Los elementos fundamentales de una evaluación rigurosa de capital incluyen:

Políticas y procedimientos diseñados para garantizar que el banco identifica, cuantifica e informa de todos los riesgos importantes.


14

Un proceso que relacione el capital con el nivel de riesgo. Un proceso que establezca los objetivos de suficiencia de capital en función del riesgo,

tomando en consideración el enfoque estratégico del banco y su plan de negocios; y Un proceso de controles, exámenes y auditorías internas al objeto de garantizar la

integridad del proceso general de gestión.

2.4.2 evaluación integral de los riesgos690. El proceso de evaluación del capital deberá tener en cuenta todos los riesgos importantes

a los que se enfrenta el banco. Si bien no todos los riesgos pueden medirse con exactitud, será necesario desarrollar un proceso de estimación de los riesgos. En consecuencia, un proceso de este tipo deberá contemplar las siguientes exposiones al riesgo (que, por descontado, no constituyen una relación completa de todos los riesgos existente).

691.RiesgoCrediticio: Los bancos deberán contar con metodologías que les permita evaluar el riesgo de crédito de las exposiciones frente a prestatarios o contrapartes individuales, así como el riesgo de crédito de las carteras de exposiciones. En el caso de los bancos más sofisticados, la evaluación de riesgo de crédito a efectos de la suficiencia de capital deberá cubrir, como mínimo, cuatro áreas: sistemas de calificación de riesgo, análisis/agregación de carteras, titularización/derivados de crédito complejos, así como grandes exposiciones y concentraciones de riesgo.

692. Las calificaciones internas de riesgo son una importante herramienta de seguimiento del riesgo de crédito. Estas calificaciones deberán estar diseñadas para logra la identificación y medición del riesgo derivado de todas las exposiciones crediticias y deberán integrarse dentro del análisis general del riesgo de crédito y suficiencia de capital de la entidad. El sistema de calificaciones deberá ofrecer calificaciones detalladas de todos los activos, y no sólo de los activos cuestionados o problemáticos. Las reservas dotadas para présta-mos incobrables deberán incluirse en la evaluación del riesgo de crédito a efectos de la suficiencia del capital.

693. El análisis del riesgo de crédito deberá identificar adecuadamente cualquier deficiencia existente en las carteras, incluidas las concentraciones de riesgos. También deberá tener convenientemente en cuenta los riesgos asumidos en la gestión de las concentraciones de crédito y en otros ámbitos de las carteras, como los programas de titularización y los derivados de crédito complejos. Además, el análisis del riesgo de crédito de la contraparte deberá considerar la evaluación pública de cumplimiento, por parte del supervisor, de los principios básicos de la Supervisión Bancaria Eficiente.

694. Riesgo Operativo: El Comité entiende que en la gestión del riesgo operativo deberá apli-carse un rigor similar al utilizado en la gestión de otros riesgos bancarios significativos. Una gestión inadecuada del riesgo operativo puede resultar en una apreciación errónea del perfil del riesgo/rentabilidad de la institución y exponerla a pérdidas sustanciales.

695. Los bancos deberán desarrollar un marco para la gestión de riesgo operativo y evaluar la suficiencia de capital dentro de dicho marco. Este deberá cubrir la propensión y la tole-rancia del banco al riesgo operativo, especificadas mediante las políticas de gestión de

15

ADmINIStRACIóN DE RIESGOS EN ENtIDADES FINANCIERAS SEGúN BASILEA II

dicho riesgo, incluidos el grado y el modo en que el riesgo operativo se transfiere fuera del banco. También deberá incluir las políticas a seguir por el banco en la identificación evaluación, seguimiento y control/cobertura de este riesgo.

696.Riesgo de mercado: Estas evaluación se fundamenta en la medición del valor en ries-go efectuada por el propio banco o en el método estándar del riesgo de mercado. Así mismo, la entidad deberá prestar una especial atención a la realización de pruebas de tensión a la hora de evaluar que su capital sea suficiente para sostener sus actividades de negociación.

697.Riesgo de tipo de interés en la cartera de inversión:El proceso de cálculo deberá incluir todas las posiciones relevantes de tipo de interés del banco y considerar toda la información pertinente sobre modificaciones de los tipos de interés y plazos de venci-miento. Dicha información incluirá habitualmente datos sobre posiciones vigentes y tipos de interés contractuales asociados con los instrumentos y carteras, pagos de principal, reprogramación de fechas de pago de intereses, plazos de vencimiento, el índice utilizado para la modificación de los tipos de interés, así como los intereses máximos a mínimos del tipo de interés contractual en el caso de partidas a tipo de interés variable. El sistema deberá además contar con supuestos y técnicas bien documentadas.

698. Con independencia del tipo y nivel de complejidad del sistema de medición utilizado, la dirección del banco deberá garantizar la adecuación y exhaustividad del sistema. Dado que la calidad y fiabilidad del sistema de medición depende en buena medida de la ca-lidad de los datos y de los diversos supuestos utilizados en el modelo. La dirección debe prestar una especial atención a estos aspectos.

699.Riesgos de Liquidez: La liquidez es fundamental para la contínua viabilidad de cual-quier organización bancaria. Las posiciones de capital de los bancos pueden afectar a su capacidad para obtener liquidez, especialmente en momentos de crisis. Cada banco deberá contar con adecuados sistemas de medición, seguimiento y control del riesgo de liquidez. Los bancos deberán evaluar la suficiencia de capital en función de sus propios perfiles de liquidez y de la liquidez de los mercados en que operan.

700.Otros riesgos: Si bien el comité reconoce la dificultad que entraña la medición de los “otros riesgos”, tales como el riesgo de reputación y el riesgo estratégico (Estratégico2), espera que el sector bancario desarrolle nuevas técnicas de gestión de todos los aspectos incluidos en estos riesgos.

2.4.3 seguimiento e inFormación701. El banco deberá establecer un adecuado sistema de seguimiento e información sobre

las exposiciones de riesgo y sobre los efectos de las modificaciones de su perfil de riesgo

2 estratégico: Se asocia con la forma en que se administra la entidad, el manejo del riesgo estratégico se enfoca a asun-tos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta Gerencia (Bibliografía: Guía de administración del riesgo, Departamento Administrativo de la Función Pública, autor Fernando Grillo Rubiano, Junio de 2004, segunda edición).


16

en las necesidades de capital. La alta dirección o el consejo de administración del banco deberán recibir periódicamente informes sobre el perfil de riesgo y las necesidades de capital de la entidad. Estos informes deberán permitir a la dirección:a. Evaluar el nivel y la tendencia de los riesgos relevantes y su efecto sobre los niveles de

capital.b. Evaluar la sensibilidad y la racionabilidad de los supuestos básicos utilizados en el

sistema de medición de capital.c. Determinar que el banco posee capital suficiente para cubrir los distintos riesgos y

que satisface los objetivos de suficiencia de capital establecidos; yd. Evaluar sus requerimientos futuros de capital en función del perfil de riesgo conocido del

banco y, con arreglo a ello, introducir los ajustes pertinentes en el plan estratégico.

2.5 examen de control interno

702. La estructura del control interno del banco es especial en el proceso de evaluación del capital. Un control eficaz del proceso de evaluación del capital incluye un examen inde-pendiente y, cuando proceda, la realización de auditorías internas o externas. El consejo de administración del banco tiene la responsabilidad de garantizar que la dirección establece un sistema de evaluación de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y establece un método de seguimiento de la observancia de las políticas internas. El consejo de administración deberá verificar de manera periódica si su sistema de controles internos es adecuado para garantizar una conducción ordenada y prudente del negocio.

703. El banco deberá realizar exámenes periódicos de su proceso de gestión del riesgo a fin de garantizar su integridad, precisión y racionalidad. Las áreas que deberán ser examinadas incluyen:a. La adecuación del proceso de evaluación del capital del banco en función de la natu-

raleza, el ámbito y complejidad de actividades.b. La identificación de grandes exposiciones y concentraciones de riesgos.c. La exactitud y exhaustividad de los datos utilizados como inputs en el proceso de

evaluación.d. La racionalidad y validez de los escenarios utilizados en el proceso de evaluación, y;e. La realización de pruebas de tensión y análisis de los supuestos y de los inputs.

2.5.1 requisitos generales de divulgación cualitativa 773. Para cada ámbito separado de riesgo (por ejemplo, de crédito, de mercado, operativo,

de tipo de interés en la cartera de inversión, accionaría), los bancos deberán realizar una descripción de sus objetivos y políticas de gestión del riesgo, incluyendo:a. Las estrategias y procesos.b. La estructura y organización de la unidad relevante de gestión del riesgo.c. El alcance y naturaleza de los sistemas de transferencia de la información y/o medición

del riesgo.d. Las políticas de cobertura y/o protección frente al riesgo y las estrategias y procesos

para vigilar la eficacia de las coberturas/protecciones.

17

antecedentes en colombia de la participación de la auditoría

interna en la gestión de riesgo operativo (ro)3

Los pocos antecedentes conocidos en materia del papel que la auditoría interna ha jugado en la implementación de un sistema de administración de riesgo operativo en Colombia, se remontan a algunas referencias dentro del contexto latinoame-ricano a través del Comité Latinoamericano de Auditores Internos (CLAIN) de FELABAN, los pronunciamientos de la Asociación Bancaria y de la Superintendencia Financiera SFC.

3.1 clain – Felaban

En agosto 23 de 2004 se llevó a cabo un chat organizado por el Comité de Directores del CLAIN, cuyo tema fue “Basilea II – Riesgo Operativo”. Por Colombia participaron la representante de Felaban, Olga Lucía Espinosa, y el Contralor del Banco Popular, Darío Moreno J.

Las principales conclusiones fueron:

En Colombia, Argentina y Costa Rica, para esa fecha no se conocían pronunciamientos de los entes reguladores.En Colombia y Venezuela, al margen del punto anterior, se han definido algunos lineamientos generales sobre el rol de la auditoría interna en este proceso.Solamente el Banco Itahu de Brasil, cuenta con un modelo propio de medición de RO. Los demás países cuentan con modelos de medición para riesgos de mercado y créditoLa auditoría interna ha venido participando y colaborando en las entidades en la definición de procedimientos que permitan identificar, evaluar y monitorear el riesgo operativoEn cuanto a la adopción de modelos de medición del RO, se coincide en que independien-temente de cual sea el modelo, la auditoría interna debe actuar como apoyo a las áreas de riesgo en las etapas de desarrollo del modelo y posteriormente en asegurar el funcionamiento del mismo.

3.1.1 x congreso latinoamericano de auditoría interna y administración de riesgos – cartagena 2006

De este evento que se llevó a cabo en Cartagena en mayo de 2006, se destacan las siguientes intervenciones, en relación con el tema de este documento: Implementación de estándares de Auditoría Interna en Colombia; publicación del documen-to “Referentes para el ejercicio de la Auditoría Interna en el sector financiero colombiano” – Comité de Auditoría Asociación BancariaMetodología para identificación de procesos y riesgos críticos – Banco Itahu de BrasilEl riesgo informático y cómo evaluarlo – Isaca Argentina


18

Auditoría en riesgos de Tesorería (Basilea II) – Banespa BrasilMétodos para evaluar un sistema de administración de riesgos – BBVA España Cómo agregar valor en la Auditoría Interna de las organizaciones – IIA República DominicanaMetodología para evaluación de control interno – Bladex PanamáAutomatización del proceso de Auditoría en gestión de riesgos – Bancolombia Implementación de un modelo de calidad en el proceso de Auditoría Interna – IIA Argentina

3.2 asociación bancaria de colombia

En la publicación de La Semana Económica No. 545 de la Asobancaria, de marzo 10 de 2006, se publicó el artículo “La Gestión del Riesgo Operacional en Colombia”, como un tema de gran importancia para la agenda del sector financiero colombiano. En dicha publicación se destaca que:

En los últimos años la administración y mitigación del riesgo han tomado especial impor-tancia en el ámbito financiero internacional.

Las entidades financieras han realizado esfuerzos importantes en materia de gestión de riesgos, particularmente de mercado y de crédito.

La creciente complejidad de los mercados y la constante diversificación de los productos y servicios financieros, han generado al interior de la industria un proceso de concientización sobre la necesidad de profundizar en el tema de riesgo operacional.

Se han recogido resultados interesantes de la experiencia internacional, para ser aplicadas al caso colombiano, en la medida en que las entidades y los mismos organismos de supervisión no han sido ajenos a la dinámica internacional.

Se han realizado esfuerzos para proporcionar un ambiente de discusión técnica entre el sector, representado por la asociación y el ente supervisor, representado por la SFC.

Para la clasificación de actividades del sector financiero, se han tomado como referencia las del Comité de Basilea, que considera las siguientes líneas de negocio:

Finanzas corporativas Negociación y ventas Banca minorista Banca comercial Pagos y liquidaciones Servicios de agencias Administración de activos Intermediación minorista

Así mismo, en cuanto a los mecanismos de medición se hace referencia a las metodologías de Basilea II, anotando que en cualquier caso se deben tener en cuenta criterios cualitativos y cuantitativos, que se alinearían en mejor forma con el método de medición avanzada (AMA), que permitiría a cada entidad desarrollar su propio modelo interno para someterlo a apro-bación del ente supervisor.

De las experiencias internacionales se hace especial mención al estudio de la firma DMR-Con-sulting 2005 “El Riesgo Operacional en las Entidades Financieras Latinoamericanas – Situación

19

ANtECEDENtES EN COLOmBIA DE LA PARtICIPACIóN DE LA AuDItORíA INtERNA

actual y tendencias”, el cual analizó la gestión del RO en la banca de Brasil, México y Chile. De este estudio se destacan los siguientes aspectos:

El 25% de las entidades analizadas espera, como principal resultado, la reducción de pérdidas asociadas a eventos de riesgo operacional.

La percepción de las entidades es que las líneas de negocios, finanzas corporativas, banca comercial y negociación y ventas representan la mayor exposición al riesgo operacional.

Todas las entidades tienen conciencia sobre la necesidad de gestionar el riesgo operacio-nal.

El 44% de las entidades aún no tiene definida una metodología de cálculo de capital por este tipo de riesgos; sus estimaciones se fundamentan en el modelo de medición interna (21%) y en el estándar (20%).

Las mayores dificultades para el proceso de definición y estandarización de un sistema de gestión de RO, radican en la falta de información sobre eventos de riesgo operacional (30%) y el conocimiento precario en algunos casos sobre la identificación y tratamiento de estos riesgos (23%).

Colombia no ha sido ajena a la tendencia internacional, por tanto es uno de los temas de mayor importancia en la agenda reciente del sector. Se han definido los siguientes lineamientos:

Las entidades deben seguir trabajando en el fortalecimiento técnico y la redefinición de la cultura organizacional.

El proceso requiere el trabajo coordinado de las áreas técnicas y la alta gerencia, la separación de funciones de planeación y operatividad y de considerables inversiones en conocimiento.

Las propias entidades son las responsables de medir y administrar sus propios riesgos ope-racionales.

El sector y la Superintendencia Financiera han trabajado en el estudio y difusión de las me-jores prácticas, así como el análisis de la parte técnica, en especial la construcción de bases de datos.

Las consideraciones finales de la Asobancaria, giran alrededor de estos aspectos: En el caso colombiano existe consenso sobre el camino a seguir en materia de RO. El proceso debe atender dos principios fundamentales, no incurrir en experimentos

prematuros y que el sector siga consolidando su posición en materia de procurar su administración a tono con los desarrollos observados a nivel internacional.

No se debe perder de vista que en un futuro se requiere contar con metodologías de medición acordes con la realidad del mercado.

Se requiere trabajar en el rediseño de estructuras organizacionales, cambios culturales, integración a todos los niveles y la separación de funciones relativas a la gestión de riesgo operativo.

Por último, resulta de la mayor importancia, continuar con el debate técnico entre las auto-ridades reguladoras y la industria financiera, para definir y adecuar los estándares y mejores prácticas internacionales a la realidad de nuestro país. Sólo así se garantizará el diseño de un marco normativo, regulatorio y de mercado que responda a las exigencias del cambiante entorno colombiano.


20

3.2.1 v congreso de riesgo Financiero – cartagena 2006Es importante mencionar, también, los temas tratados por los diferentes especialistas en la administración de riesgos en el Congreso realizado el 16 de noviembre de 2006, bajo el auspicio de la Asobancaria.

En la sesión de apertura del evento, el dr. Carlos Alberto Sandoval, Vicepresidente Económico de la Asociación Bancaria y de Entidades Financieras, resaltó la importancia del mismo, toda vez que se tratarían temas relacionados con la evolución de los mercados lo que exige la implementación de buenas prácticas en medición y administración de riesgos.

Sobre el Riesgo Operacional, mencionó: “En cuanto al riesgo operacional, en opinión de la Asobancaria, los lineamientos dados por la Circular Externa de la Superintendencia Financiera, son acordes con el espíritu de las mejores prácticas promulgado por el Acuerdo de Basilea II; el proyecto de norma permitirá darle un impulso a las tareas que ya venían adelantando de tiempo atrás los establecimientos financieros”.

En el transcurso del evento se presentaron panelistas internacionales expertos en el tema de administración de riesgos de crédito, mercado y operacional. A continuación se resumen los temas que consideramos más importantes:

Modelo de “Pricing”, fijación de tasas ajustadas por riesgo - dr. Enrique Navarrete, mate-mático y economista de la Universidad de Chicago

Experiencia en la implementación de la administración de Riesgos en el Banco del Estado en Chile

Presentación del BBVA, dr. Jordi García - Taller de eventos significativos de Riesgo Opera-cional

Gobierno corporativo y su importancia en la actividad financiera - dr. Roberto Borrás Polonia, funcionario de la SFC.

Rendimiento sobre capital en riesgo (RAROC) - dr. Hernán R. Pérez de Price Waterhouse.

3.3 superintendencia Financiera de colombia – sFc

El último pronunciamiento oficial que se conoce hace referencia a la circular externa No. 048 y 049 de 2006, sobre “Reglas relativas a la administración del riesgo operativo”, adicionando el capítulo XXIII de la Circular Básica Contable y Financiera (C.E. 100/95).

Dicha circular contempla una serie de consideraciones, definiciones, marco de referencia de lo que debe contener el sistema de administración de riesgo operativo (SARO), recursos, responsa-bles por la administración, monitoreo y control (URS), plataforma tecnológica, documentación, divulgación, capacitación y revelación contable, que permiten a las entidades vigiladas dimen-sionar el alcance de este proceso, establecer su grado de madurez y adoptar las decisiones que correspondan para cumplir con los lineamientos establecidos por el regulador.

21

rol de la auditoría interna en la gestión de riesgo empresarial4

Uno de los requerimientos claves de los órganos de admi-nistración y control de las entidades, comité de auditoría, junta directiva o sus equivalentes y alta gerencia, es obtener aseguramiento de que el proceso de gestión de riesgos se está aplicando efectivamente y que los riesgos claves están siendo controlados y administrados, dentro de niveles aceptables.

La auditoría interna es una función organizacional establecida por la alta dirección para monitorear la gestión de riesgos y los procesos de control, evaluar las valoraciones del ries-go y los controles internos implementados para asegurarse que sean eficaces, asesorar en el diseño y mejora del sistema de control interno y estrategias de mitigación del riesgo y mantener seguimiento al cumplimiento de las políticas y procedimientos establecidos por la administración.

Es posible que el aseguramiento provenga de diferentes fuentes, pero de estas, el de la ge-rencia es fundamental, complementado con el que provea de forma objetiva. La auditoría interna que se constituye para la gerencia en una fuente clave. Otras fuentes incluyen a los auditores externos y revisiones de especialistas independientes.

La auditoría interna provee aseguramiento normalmente en tres áreas:

Procesos de gestión de riesgos, tanto en su diseño, como en el seguimiento. Gestión de aquellos riesgos clasificados como “claves”, incluyendo efectividad de los con-troles y otras respuestas a éstos; y

Confiabilidad y oportunidad en evaluaciones apropiadas y reportes de riesgo, así como del estatus de controles.

La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta. Su rol principal con relación al ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestión de riesgo.

Igualmente, investigaciones han demostrado que la junta de directores y los auditores internos están de acuerdo en que las dos formas más importantes en que la auditoría interna provee valor a la organización, son:

Brindando aseguramiento objetivo de que los principales riesgos de negocio están siendo manejados apropiadamente; y


22

Proveyendo aseguramiento de que la gestión de riesgo y el marco de control interno están operando efectivamente.

Los factores claves que deben ser tomados en consideración cuando se determina el rol de auditoría interna ante la gestión de riesgo empresarial, contemplan:

Si la actividad a realizar representa alguna amenaza a la independencia y objetividad de la función de auditoría interna; y

Si podría mejorar los procesos de gestión de riesgo, control y gobierno de la organización.

La auditoría interna puede proveer servicios de aseguramiento que mejoren y agreguen valor a los procesos de gobierno, gestión de riesgos y control de la organización.

El alcance de la consultoría de auditoría interna en ERM depende de otros recursos, internos y externos, disponibles para la junta y de la madurez del riesgo de la organización y su posi-bilidad de variar en el tiempo.

La experiencia del auditor interno, le permite ser un facilitador para actuar inclusive como defensor y hasta como gerente del proyecto de ERM, especialmente en la etapa inicial de su introducción; al respecto la SFC, en su proyecto de circular no comparte esta apreciación y restringe la responsabilidad de los órganos de control de la entidad en cualquier etapa de administración del riesgo operativo.

Cuando se incrementa la madurez de riesgo en la organización y la gestión de riesgo se encaja más en las operaciones del negocio, el rol de auditoría interna de defensor de ERM se puede reducir, hasta desaparecer.

De manera similar, si la organización emplea los servicios de un especialista o posee una función de gestión de riesgo, la auditoría interna podría agregar mayor valor a través de concentrarse en su rol de aseguramiento, en vez de realizar mayores actividades de consultoría.

Independiente de que exista o no una gestión de riesgos formalizada, el auditor interno debe basar sus actividades de planeación y ejecución en un enfoque basado en riesgos. Si existe una estructura estándar de valoración y gestión, se utiliza para enfocarse hacia riesgos claves, teniendo en cuenta el contexto de la organización, la tolerancia al riesgo y si existe como política corporativa, en caso contrario aplica su propio criterio y lo valida con la dirección.

4.1 rol de aseguramiento

Las siguientes actividades forman parte del objetivo amplio de brindar aseguramiento sobre la gestión de riesgos, enmarcadas en el cumplimiento de las normas y estándares internacionales para el ejercicio profesional de la auditoría interna:

Brindar aseguramiento sobre procesos de gestión de riesgos. Brindar aseguramiento de que los riesgos son correctamente evaluados.

2�

ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGO EmPRESARIAL

Evaluación de los procesos de gestión de riesgos. Evaluación de los reportes de riesgos claves; y Revisión del manejo de los riesgos claves.

En el caso colombiano, la SFC asigna a la auditoría interna como funciones: Evaluar periódicamente la efectividad y cumplimiento de las etapas y elementos del SARO Informar de los resultados al representante legal y unidad responsable del SARO (URS) Efectuar una revisión periódica del registro de eventos de riesgo operativo, perfiles de riesgo y exposición a pérdidas.

Asegurar que los niveles de riesgo residual, se encuentren dentro de los establecidos por la entidad.

4.2 rol de consultoría

Es importante resaltar que si la auditoría interna no ha adoptado todavía el enfoque basado en riesgos, representado por las actividades de aseguramiento anteriormente detalladas, no podría estar preparada para realizar actividades de consultoría.

Algunos de los roles de consultoría que la auditoría interna puede realizar son:

Facilitación, identificación y evaluación de riesgos. Entrenamiento a la gerencia sobre respuesta a riesgos. Coordinación de actividades de ERM. Consolidación de reportes sobre riesgos. Mantenimiento y desarrollo del marco de ERM. Defender el establecimiento del ERM; y Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.

El factor clave en la decisión sobre si los servicios de consultoría son compatibles con el rol de aseguramiento, consiste en determinar si el auditor interno está asumiendo alguna res-ponsabilidad gerencial.

En el caso de ERM, la auditoría interna puede proveer servicios de consultoría mientras no tenga rol activo en la gestión de riesgos, esa es una responsabilidad de la gerencia, mientras la alta dirección se responsabilice y apoye el ERM.

En el evento en que la auditoría interna actúe asesorando y soportando al equipo gerencial en el establecimiento y mejora de los procesos de gestión de riesgo, su plan de trabajo debe incluir una estrategia clara y un tiempo asignado para transferir la responsabilidad de estas actividades a los miembros del equipo gerencial.

4.3 roles que la auditoría interna no debe realizar

En cumplimiento de las normas internacionales para el ejercicio profesional de la auditoría interna, las siguientes actividades no las debe realizar la auditoría interna: Establecer el apetito de riesgo.


24

Imponer procesos de gestión de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos a favor de la administración. Tener responsabilidad en la administración y/o gestión de riesgo.

4.4 aplicación de los reFerentes para el ejercicio proFesional de la auditoría interna en el sector Financiero, relacionados con las actividades de aseguramiento y consultoría en el erm

Para la realización de las actividades ya sea de aseguramiento y/o consultoría, el Instituto de Auditores Internos ha emitido un conjunto de normas y referentes de aplicación para la mejor práctica de la función de auditoría interna.

En el anexo núm. 2 se resumen las normas y referentes de aplicación que se destacan para la práctica de la actividad de auditoría interna ante la gestión de riesgos.

25

nivel de madurez del proceso de gestión de riesgos5

estado de madurez, erm características claves enFoque de auditoría interna

1.Incipiente No existe un enfoque formal de admi-nistración del riesgo.

Promover la gestión de administración del riesgo y establecer la planeación con base en una valoración de riesgos realizada por la auditoría interna.

2.conocido Existen esfuerzos aislados de gestión de riesgos.

Promover el enfoque de gestión de riesgos a nivel organizacional y establecer la planeación con base en una valoración de riesgos realizada por la audi-toría interna.

3.definido La estrategia y políticas de gestión de riesgos han sido definidas y comuni-cadas. Así mismo, el límite del riesgo está definido.

Ser facilitador en la implementación del proceso de gestión del riesgo empresarial y utilizar la valoración de riesgos de la administración donde sea apropiado para establecer la planeación de auditorías.

4.Administrado El proceso de gestión de riesgo empre-sarial está desarrollado y comunicado.

Auditar los procesos de gestión de riesgos y utilizar la valoración de riesgos de la administración donde sea apropiado, como complemento a la planeación de auditoría.

5.optimizado La administración del riesgo y el control interno están completamente inmersos en las operaciones y procesos de la organización.

Auditar los procesos de gestión de riesgos y utilizar la valoración de riesgos de la administración donde sea apropiado como complemento a la planeación de auditoría.

Paralelo al surgimiento del enfoque de gestión de riesgos em-presariales, la función de auditoría interna también ha cambiado de un enfoque de auditoría, basado en el cumplimiento de controles, hacia un enfoque mucho más amplio basado en la administración del riesgo en el gobierno corporativo y en el objetivo de agregar valor a las organizaciones, asumiendo un rol importante en el proceso de gestión de riesgos empresariales y suministrando aseguramiento a la gerencia sobre las políticas y procedimientos del ERM. Todo esto sin comprometer la independencia y objetividad de la función de auditoría interna.

Es importante entender que no todas las organizaciones tienen el mismo estado de imple-mentación y madurez de su proceso de gestión de riesgos empresarial. Por ello, el enfoque de auditoría variará de acuerdo con el nivel de madurez de dicho proceso entre las siguientes alternativas:


26

Se sugiere como primera actividad para identificar el enfoque y alcance requerido de la función de auditoría interna según el estado de implementación del proceso de gestión de riesgos en la organización, llevar a cabo un ejercicio de autoevaluación del grado de madurez.

Al respecto, el grupo de estudio analizó el documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Development Canada facilitates assessments of risk management practices in the organization, en el cual se provee una lista de chequeo para evaluar las principales características de modelo de gestión de riesgos en cada una de sus etapas (ver anexo núm.3).

27

aplicación de objetivos en aseguramiento y consultoría

vs. etapas del proceso de gestión de riesgos6

rol de la auditoría interna en la erm. Etapa: EstablEcEr El contExto

opción erm aseguramiento consultoría

existelaermenlaorganización

1. Asegurarse de que las políticas relacionadas con la gestión, evaluación, administración, monitoreo y revisión establecidas en el ERM se están aplicando y los recursos asignados se utilizan de manera eficiente.

2. Elaborar un plan anual de auditoría basado en riesgos.

3. Verificar que la administración de la entidad en su fase de establecimiento de contexto, se haya fundamentado en :

» Metodologías de reconocido valor.

» Que se hayan identificado todos los públicos relacio-nados a nivel interno y externo con base en el conoci-miento del negocio y las interrelaciones donde se pueda generar riesgo.

» Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas.

» Que se conozcan los objetivos y las metas de la orga-nización.

» Que exista alineación entre el plan estratégico y las estrategias de riesgo.

» Que se establezca interrelación permanente entre grupos internos y externos con todos los procesos.

» Que se cuente con un presupuesto asignado para el proceso de administración y mantenimiento del proceso general de riesgo.

» Que se haya efectuado definición de la estructura de administración de riesgo a través de procesos.

1. Sugerir opciones de mejoramien-to que le permitan a la empresa ubicarse dentro de los procesos de globalización actuales para enfrentar un contexto adecuado en ERM.

El presente capítulo detalla en cada una de las etapas del pro-ceso de gestión de riesgos, cuáles serían los principales objetivos de aseguramiento y consul-toría que la auditoría interna puede y debe llevar a cabo bajo los lineamientos del Instituto de Auditores Internos y de las mejores prácticas aplicadas al sector financiero colombiano.

Para el entendimiento del alcance de cada etapa, en el anexo núm. 1, se detallan, de acuerdo con la norma NTC-5254, las principales actividades en cada una de las fases del proceso de gestión de riesgos.


28

rol de la auditoría interna en la erm. Etapa: EstablEcEr El contExto


ermenprocesoenlaorganización

1. Verificar que la administración de la entidad en su fase de establecimiento de contexto, se haya fundamentado en:

» Metodologías de reconocido valor.

» Que se hayan identificado como fuente todos los pú-blicos relacionados a nivel interno y externo con base en el conocimiento del negocio y las interrelaciones donde se pueda generar riesgo.

» Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas.

» Que se conozcan los objetivos y las metas de la orga-nización.

» Que exista alineación entre el plan estratégico y es-trategias de riesgo.

» Que se establezca interrelación permanente entre grupos internos y externos con todos los procesos.

» Que se cuente con un presupuesto asignado para el proceso de administración y mantenimiento del proceso general de riesgo.

» Que se haya efectuada definición de la estructura de administración e riesgo a través de procesos.

» Se defina, documente y capacite a los empleados so-bre el Gobierno Corporativo, Sipla y Código de ética.

1. Apoyar a la organización en el diagnóstico del nivel y grado de madurez de los procesos de administración de los riesgos, ayudando a identificar las fortale-zas y debilidades de las prácticas existentes para desarrollar luego planes de mejoramiento.

2. Sugerir y ser facilitador de meto-dologías con base en estándares internacionales con el fin de que la administración pueda conocerlas y asimilarlas.

3. Establecer un plan para alcanzar el nivel deseado en la ERM, basados en la identificación de brechas entre el estado actual y el desea-do, diseñando así, las estrategias óptimas para alcanzarlo.

noexisteermenlaorganización

1. Apoyar a la organización en el diagnóstico del nivel y grado de madurez de los procesos de administración de los riesgos, ayudando a identificar las fortale-zas y debilidades de las prácticas existentes para desarrollar luego, planes de mejoramiento

1. Sugerir y ser facilitador de meto-dologías con base en estándares internacionales con el fin de que la administración pueda conocerlas y asimilarlas.

rol de la auditoría interna en la erm. Etapa: Evaluación dE riEsgos (idEntificación, análisis y Evaluación dE riEsgos)



1. Alinear las funciones de aseguramiento del ERM a cargo de la administración, con la actividad de auditoría inter-na, para lo cual se debe:

» Adoptar un enfoque de auditoría basado en riesgos, que sea compatible con el ERM adoptado por la organización y enfocar los esfuerzos de auditoría alrededor de estos procesos.

continúa

29

rol de la auditoría interna en la erm. Etapa: Evaluación dE riEsgos (idEntificación, análisis y Evaluación dE riEsgos)


» Elaborar el plan de auditoría anual basado en riesgos, que permita proveer a la alta gerencia un concepto razonable e independiente sobre:

» Los procesos de gestión de riesgos que la organización ha implementado y que funcionan en forma adecuada y de acuerdo con lo establecido.

» Los procesos de gestión de riesgos tienen un diseño adecuado.

» Verificar si la metodología de identificación, análisis y evaluación de riesgos contempla todas las variables del proceso de gestión de riesgos.

» El tratamiento de los riesgos es adecuado y efectivo.

» Existen, funcionan y son suficientes los controles in-ternos que la administración ha implementado para tratar los riesgos.

» Se realizan actividades de supervisión para reevaluar periódicamente los riesgos y la eficacia de los controles que manejan el riesgo.

» Los órganos de dirección reciben informes periódicos sobre los resultados de los procesos de gestión de riesgos.

2. Asegurar que la organización ha identificado los riesgos claves del negocio, que dichos riesgos son conocidos y entendidos por los administradores de los procesos, y que las acciones para su tratamiento están alineadas con los objetivos y estrategias corporativas.


Cumplir un rol proactivo en el es-tablecimiento inicial del proceso de gestión de riesgos garantizando la objetividad e independencia necesarias.


Colaborar con la administración y el Comité de Auditoría mediante el examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos, actividades de alta prioridad en la planeación de las auditorías del departamento.

» Ayudar a la organización a iden-tificar, evaluar e implantar me-todologías de gestión de riesgos y controles para tratar aquellos riesgos.

» Facilitar a la administración técnicas y herramientas que utiliza la audi-toría interna para identificar y ana-lizar los riesgos y controles – CSA.

» Servir como educadores, partici-par en foros y grupos de trabajo de identificación y análisis de riesgos con la administración.

continuación

APLICACIóN DE OBjEtIVOS EN ASEGuRAmIENtO y CONSuLtORíA VS. EtAPAS DEL PROCESO


�0

rol de la auditoría interna en la erm. Etapa: monitorEar y rEvisar



» Revisar y evaluar periódicamente la eficacia de todo el proceso de ERM (aprobaciones impartidas por la junta directiva, estructura organizacional, metodologías y procesos, base de datos y tecnología de soporte).

» Dentro de las auditorías regulares, obtener evidencia si el sistema de la ERM está funcionando (Revisión del manejo de los riesgos claves; así como, la evaluación de los reportes de dichos riesgos).

» Llevar a cabo el monitoreo continuo de operaciones sensibles.

» Facilitar la centralización, moni-toreo y control de los procesos de ERM.

» Apoyar el diseño indicadores de gestión, procesos y riesgos como herramienta para evaluar todo el proceso ERM.

» Recomendar las mejoras apropia-das a las políticas, procedimientos y al proceso de ERM.

rol de la auditoría interna en la erm. Etapa: tratamiEnto dE riEsgos



Los responsables de la Gestión del Riesgo han debido:

» Identificar las opciones para tratar el riesgo.» Evaluar dichas opciones.» Preparar los planes para el tratamiento del riesgo; e» Implementar dichas acciones.

Los responsables de la gestión de riesgos periódicamente deben:

» Evaluar las opciones para tratar el riesgo.» Decidir ajustes sobre dichas opciones.» Ajustar los planes para el tratamiento del riesgo; e» Implementar dichas acciones.

El auditor interno debe evaluar, sobre el proceso de trata-miento de riesgo, que la administración haya adoptado el mismo con base en:

» Metodologías de reconocido valor que involucren iden-tificar, evaluar y seleccionar opciones de tratamiento.

» Que las opciones de tratamiento de riesgo se hayan im-plementado y operen a cabalidad.

» Que esté acorde a los necesidades propias de la entidad.

Recomendar alternativas que permi-tan mejorar el tratamiento del riesgo definido por la organización.


Relacionado con el tratamiento del riesgo. Los responsables de la gestión del riesgo han debido:

» Identificar las opciones para tratar el riesgo.» Evaluar dichas opciones.» Preparar los planes para el tratamiento del riesgo; e» Implementar.

Recomendar alternativas que permi-tan mejorar el tratamiento del riesgo definido por la organización.


» Entrenamiento a la gerencia sobre el tratamiento del riesgo.

» Coordinar actividades sobre trata-miento del riesgo.

» Consolidación de reportes sobre el tratamiento del riesgo.

» Desarrollo de estrategias sobre el tratamiento del riesgo.

continúa

�1

continuación

rol de la auditoría interna en la erm. Etapa: monitorEar y rEvisar



» Conocimiento del proceso ERM y cómo se está imple-mentando actualmente.

» Asegurar la autoevaluación del control en las diferentes fases de implementación del ERM.

» Llevar a cabo revisiones sobre la marcha para asegurar su implementación.

» Asegurar que la entidad tenga una política formal y procedimientos para gobernar los procesos de ERM.

» Revisiones con objetivos especiales o específicos de áreas de alto riesgo.

» Facilitar la implementación de ac-ciones de mejoramiento continuo a los cambios que se presenten en la política y objetivos de ERM.

» Verificar el estado de las acciones correctivas y preventivas para evaluar la eficacia de dichas ac-ciones.

» Facilitar el establecimiento de indicadores de gestión, procesos y riesgos como herramienta para controlar el avance o estado de los objetivos de la ERM.


» Evaluación regular de las estrategias, políticas, procedi-mientos y prácticas de la entidad.

» Asegurar que se establezcan y se mantengan los pro-cesos necesarios de monitoreo del sistema de control interno.

» Asegurar que las estrategias gerenciales (financieras, clientes, procesos internos y crecimiento) sean realmente efectivas.

» Informar a la alta gerencia sobre el cumplimiento del control interno en el desarrollo de las operaciones.

» Asesorar a la organización en la toma de conciencia en todos los niveles, acerca de los beneficios de la ERM.

» Diseñar e implementar un sistema de mecanismos de medición y de seguimiento de las actividades expuestas a riesgos.

» Apoyo al cumplimiento de los objetivos corporativos y planes estratégicos del banco.

» Facilitar el diseño de procesos y con-troles que contribuyan a la eficien-cia operativa y a reducir el riesgo.

rol de la auditoría interna en la erm. Etapa: documEntar y rEgistrar El procEso



» Obtener evidencia del proceso de ERM.

» Mantener bases de conocimiento de la organización.

» Soportar decisiones, planes de acción e implementación.

» Mantener rastros de auditoría.

» Elaborar planes anuales basados en riesgos.

» Presentar recomendaciones de mejoramiento sobre el tratamien-to de la documentación de ERM.


» Identificar necesidades de documentación y opciones de manejo y administración.

» Evaluar alternativas de implementación.

» Monitorear el proceso.

» Recomendar acciones de mejora en la implementación del proceso.


» Asesorar a la alta gerencia sobre la recopilación y tratamiento de la documentación de ERM.

» Monitorear la implementación.

APLICACIóN DE OBjEtIVOS EN ASEGuRAmIENtO y CONSuLtORíA VS. EtAPAS DEL PROCESO


�2

rol de la auditoría interna en la erm – Etapa: comunicar y consultar



» Asegurar la adopción de políticas de comunicación.

» Evaluar mecanismos y medios de comunicación.

» Monitorear resultados y efectuar seguimiento.

» Evaluar nivel de concientización en riesgos y autocon-trol.

» Evaluar impacto en el contexto interno y externo.

» Apoyar un plan de mejoramiento continúo sobre el proceso de comunicación de la organización, tanto en su interior como a nivel estratégico e institucional


» Identificar opciones y mejores prácticas.

» Acompañar el diseño e implementación con énfasis en riesgos y controles.


» Presentar propuestas de mejora-miento con base en resultados de evaluación y monitoreo.


» Asesorar a la alta dirección en la identificación de opciones y dise-ño del proceso.

» Acompañar la implementación.


��

control interno7

componentes de la gestión de riesgos corporativos

7.1 control interno - coso ii

Proceso implementado (efectuado) por el consejo de administración, la dirección y demás personal de una entidad, diseñado para brindar seguridad razonable respecto de la consecu-ción de los objetivos institucionales en las siguientes categorías:

Efectividad y eficiencia de las operaciones Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones aplicables

7.1.1 gestión de riesgos Proceso efectuado por el consejo de administración, la dirección y demás personal de una entidad, que se aplica en el establecimiento de estrategias diseñadas para identificar los eventos potenciales que puedan afectar a la entidad y administrar los riesgos facilitando una seguridad razonable respecto del logro de los objetivos.


�4

7.1.2 ambiente interno: Base fundamental de todos los componentes de la gestión de riesgos corporativos, ya que establece la disciplina, la estructura y la filosofía para su administración.

Filosofía de administración de riesgos Riesgo aceptado Integridad y valores éticos Compromiso con la competencia Estructura organizacional Asignación de autoridad y responsabilidad Estándares de recursos humanos

7.1.3 establecimiento de objetivos: Definición de objetivos a través de un proceso en que los mismos apoyen la misión de la entidad y sean consecuentes con el riesgo aceptado. Objetivos estratégicos Objetivos relacionados

Operativos De reporte De cumplimiento

7.1.4 identiFicación de eventos: Identificación de situaciones que podrían suceder generando riesgos de pérdida u oportunida-des de mejoramiento para el logro de los objetivos (identificación, probabilidad e impacto). Externos

Económicos Medioambientales Políticos Sociales Tecnológicos

Internos Infraestructura Personal Procesos Tecnología

7.1.5 evaluación de riesgos: Análisis de riesgos considerando su probabilidad e impacto para saber cómo serán adminis-trados. Riesgo inherente (ausencia de acciones) Riesgo residual (después de acciones) Técnicas de avaluación

Benchmarking Modelos probabilísticas Modelos no probabilísticos

�5

CONtROL INtERNO

7.1.6 respuesta al riesgo: Evitar, reducir, compartir o aceptar los riesgos desarrollando acciones para alinearlo al riesgo aceptado. Evaluación de posibles respuestas

Evaluación del efecto sobre la probabilidad y el impacto Evaluación del costo y el beneficio Oportunidades en las opciones de respuesta

Respuestas seleccionadas Perspectiva de portafolio de riesgos

7.1.7 actividades de control: Políticas y procedimientos que contribuyen a que la respuesta a los riesgos sea eficaz. Integración con la respuesta al riesgo Tipos de actividades de control

Revisión de alto nivel Gestión directa de funciones o actividades Procesamiento de información Controles físicos Indicadores de rendimiento Segregación de funciones

Políticas y procedimientos Controles sobre los sistemas de información

Controles Generales Controles de aplicación

7.1.8 inFormación y comunicación: Información relevante identificada, analizada y comunicada en forma oportuna que permita a los funcionarios asumir sus responsabilidades en forma efectiva. Información

Sistemas estratégicos e integrados Integración con las operaciones Profundidad y oportunidad de la información Calidad de la información

Comunicación Comunicación interna Comunicación externa Medios de comunicación

7.1.9 el monitoreo: Evaluación del desempeño de los componentes de la gestión de riesgos en el transcurso del tiempo. Actividades de monitoreo permanente

Revisión de informes operativos, usados para gestionar las operaciones de modo permanente, se pueden detectar inexactitudes o excepciones a los resultados

Cambios en la información incluida en los modelos de valoración de riesgo centrándose en estimaciones esperadas.


�6

Reclamaciones de clientes. Comunicaciones de los reguladores sobre incumplimientos

Evaluaciones independientes Auditorías externas Consultorías

7.2 modelo de control - cobit

Existen referentes como el modelo COBIT (Control Objectives for Information and Related Technology), cuyo objetivo está dirigido al control de la información y tecnologías afines, el cual se ha convertido en un estándar internacional para el gobierno de las Tecnologías de Información, su gestión y control.

El objetivo principal de la estructura COBIT es posibilitar el desarrollo de una política clara y una buena práctica para el control de TI en toda la industria. Esta estructura cuenta con 34 procesos de TI, agrupados en cuatro dominios: planeamiento y organización, adquisición e implementación, entrega y soporte, y monitoreo.

Adicionalmente existe una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra un conjunto de objetivos de control detallados (302 en total), con el fin de proporcionar a la gerencia la certeza de su cumplimiento y/o una recomendación para su mejora. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio.

Por lo tanto, la administración debe tener una apreciación por, y un entendimiento básico de los riesgos y limitantes del empleo de la tecnología de información para proporcionar una dirección efectiva y controles adecuados. Proporciona “prácticas sanas” a través de un marco referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica.

El impacto en los recursos de TI es enfatizado en el marco referencial de COBIT conjuntamente con los requerimientos de información del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Anexo Núm. 4. COBIT: TABLA DE RESUMEN

�7

Guía para el uso de la Norma NTC 5254 Gestión del Riesgo dentro del proceso de Auditoría Interna. ICONTEC. 2004

El nuevo acuerdo de Basilea II, emitido en abril de 2003, Banco de Pagos Internacionales.

Declaración de Posición - El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial. Instituto de Auditores Internos. Septiembre 20 de 2004

Position Statement – Risk Based Internal Auditing. The Institute of Internal Auditors – UK and Ireland

Administración del Riesgo Estándar AS / NZ 4360 – Australian Standard Risk Management, Sydney, 1.999

Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Instituto de Auditores Internos. Enero 2004 y los Consejos para la Práctica Profesional. www.theiia.org

Documento en Estudio “Norma IRAM 17550 – Gestión de Riesgos – Directivas Generales”, Instituto Argentino de Nor-malización. Noviembre 2004.

Documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Deve-lopment Canada facilitates assessments of risk management practices in the organization.

Salomón Kalmanovitz, Banco la República

Nueva Historia de Colombia, Editorial Planeta 1989

Documentos Asociación Bancaria de Colombia

bibliograFía

�8

guía para el uso de la norma ntc 5254 –

gestión del riesgo en el proceso de auditoría interna Anexo1

Figura 1visión general. proceso de gestión de riesgos

riEsgos rEsidualEs

1. general

Tomando como referencia la definición dada por la Norma NTC5254, la gestión de riesgos es una parte integrante de la buena gestión de cualquier organización.

La gestión de riesgos es un proceso multifacético y sistemático, por lo cual las actividades involucradas son a menudo llevadas a cabo por un equipo multidisciplinario. Es un proceso iterativo de mejora continua, cuya incorporación en las prácticas o procesos de negocio exis-tentes resulta beneficiosa.

1.1. elementos principalesLos elementos principales del proceso de gestión de riesgos, como se puede ver en la figura 1, son los siguientes:

�9

a) establecerelcontexto:Establecer los contextos externo, interno y de gestión de riesgos en los cuales tendrá lugar el resto del proceso. Deben fijarse los criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

b) Identificarriesgos: Identificar qué, por qué, dónde, cuándo y cómo los eventos podrían impedir, degradar, demorar o mejorar el logro de los objetivos estratégicos y de negocio de la organización. Se deben tener en cuenta todos los riesgos, estén ó no bajo el control de la administración.

c) Analizarriesgos: Identificar y evaluar los controles existentes. Determinar consecuencias y probabilidad de ocurrencia, y por ende el nivel de riesgo. El análisis debería considerar el rango de consecuencias potenciales y cómo éstas podrían ocurrir.

d) evaluarriesgos: Comparar los niveles estimados de riesgo contra los criterios preesta-blecidos y considerar el balance entre beneficios potenciales y resultados adversos. Esto posibilita la toma decisiones con respecto a la extensión y naturaleza del tratamiento requerido y la prioridad de tratamiento de los riesgos. Si los niveles de riesgo establecidos son bajos podría caer en una categoría aceptable y no se requeriría tratamiento.

e) tratarriesgos: Si los niveles de riesgo establecidos son bajos y son tolerables entonces no se requiere tratamiento. Para otros riesgos, se deben desarrollar e implementar estrate-gias y planes de acción específicos que sean costo-efectivos para aumentar los beneficios potenciales y reducir los costos potenciales.

f) monitoreary revisar: Es necesario monitorear la efectividad de todos los pasos del proceso de gestión de riesgos. Esto es parte importante del mejoramiento continuo.

Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades

g) comunicaryconsultar:Comunicar y consultar con los interesados internos y externos según resulte apropiado en cada etapa del proceso de gestión de riesgos, y con respecto al proceso como un todo.

h) riesgosresiduales: Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas tomadas para el manejo del riesgo.

La administración del riesgo puede ser aplicada a diferentes niveles en la organización. Puede ser aplicada, tanto en el nivel estratégico como en el nivel táctico y en el operacional. Puede ser aplicada a proyectos específicos, para asesorar en la toma de decisiones o para administrar específicamente áreas reconocidas de riesgo.

La administración del riesgo es un proceso iterativo que puede contribuir al mejoramiento organizacional. Con cada ciclo, los criterios de riesgo pueden ser más exigentes, para lograr progresivamente mejores niveles de administración del riesgo.

ANEXO 1


40

En cada etapa del proceso deben mantenerse registros adecuados, suficientes para satisfacer una auditoría independiente. Estos registros permiten que la toma de decisiones sea entendida como parte de un proceso de mejoramiento continuo.

1.2. responsabilidad por la gestión de riesgos empresariales (erm)La junta posee la responsabilidad de asegurarse que los riesgos son gestionados.

En la práctica, la junta delega en el equipo gerencial la operación del marco de gestión de riesgo, quienes son los responsables de realizar las actividades establecidas y necesarias. Podría existir una función separada que coordine y maneje estas actividades; y aplique destrezas y conocimientos especiales.

1.3. beneFicios de la gestión de riesgo empresarialLa Gestión de Riesgo Empresarial puede realizar una enorme contribución ayudando a la orga-nización a gestionar los riesgos para poder alcanzar sus objetivos. Los beneficios incluyen:

Mayor posibilidad de alcanzar los objetivos; Consolidación de reportes de riesgos distintos a nivel de la junta; Incrementa el entendimiento de riesgos claves y sus más amplias implicaciones; Identificación y comparte riesgos alrededor del negocio; Creación de mayor enfoque de la gerencia en asuntos que realmente importan; Menos sorpresas y crisis; Mayor enfoque interno en hacer lo correcto en la forma correcta; Incrementa la posibilidad de que cambios en iniciativas puedan ser logrados; Capacidad de tomar mayor riesgo por mayores recompensas; y Más información sobre riesgos tomados y decisiones realizadas.

A continuación se detallan las principales actividades en cada una de las etapas:

2. etapa establecer el contexto

2.1. general Establecer el contexto define los parámetros básicos dentro de los cuales los riesgos deben ser gestionados y define el alcance del proceso de gestión de riesgos. El contexto incluye el ambiente interno y externo de la organización y el propósito de la gestión de riesgos. Igual-mente considera las interfaces entre el ambiente interno y el ambiente externo.

Es importante asegurar que los objetivos definidos para el proceso de gestión de riesgos considere el ambiente organizacional y el ambiente externo.

2.2. establecer el contexto interno Antes de comenzar una actividad de gestión de riesgos, a cualquier nivel, es necesario com-prender la organización, considerando aspectos clave como: Cultura Interesados internos

41

ANEXO 1

Estructura Capacidades en términos de recursos tales como gente, sistemas, procesos, capital Metas y objetivos y las estrategias que se han establecido para lograrlos

Establecer el contexto interno es importante por las siguientes razones: La gestión de riesgos tiene lugar en el contexto de las metas y objetivos de la organiza-ción.

El riesgo principal para la mayoría de las organizaciones es fallar en el logro de sus objetivos estratégicos, de negocio o de proyectos, o que los interesados perciban que se ha fallado en lograrlos.

Las políticas, metas e intereses organizacionales ayudan a definir la política de riesgo de la organización; y

Los objetivos y criterios específicos de un proyecto o actividad deben considerarse a la luz de los objetivos de la organización como un todo.

2.3 establecer el contexto externo Este paso define la relación entre la organización y el entorno externo donde opera. El con-texto externo incluye por ejemplo: El ambiente de negocios, social, regulatorio, cultural, competitivo, financiero y político Las fortalezas, debilidades, oportunidades y amenazas Interesados externos Motivadores clave del negocio

Se deben considerar las percepciones y valores de los interesados externos y establecer polí-ticas para comunicarse con ellos.Establecer el contexto externo es importante para asegurar que: Los interesados y sus objetivos son considerados para desarrollar los criterios de gestión de riesgos.

Las amenazas y oportunidades generadas externamente son consideradas de manera apro-piada.

Debe llevarse a cabo un análisis estratégico. El mismo debe ser aprobado a nivel ejecutivo, para establecer los parámetros básicos y proveer una guía para los procesos de gestión de riesgos más detallados.

Debería existir una relación estrecha entre la política y objetivos de gestión de riesgos de una organización y su misión y objetivos estratégicos.

2.4. establecer el contexto de gestión de riesgos Deben establecerse las metas, objetivos, estrategias, alcance y parámetros de la actividad o de la parte de la organización a la cual se está aplicando el proceso de gestión de riesgos.

El proceso debería ser llevado a cabo con plena consideración de la necesidad de balancear costos, beneficios y oportunidades. También deberían especificarse los recursos requeridos y los registros que deben mantenerse.


42

El hecho de establecer el alcance y los límites de aplicación del proceso de gestión de riesgos involucra: Definir la organización, proceso, proyecto o actividad y establecer sus metas y objetivos. Especificar la naturaleza de las decisiones que deben tomarse. Definir la extensión de la actividad o función del proyecto en términos de tiempo y locali-zación.

Identificar cualquier estudio necesario sobre estructura y el alcance, y los objetivos, alcance y recursos requeridos para desarrollar el estudio.

Definir la profundidad y amplitud de las actividades de gestión de riesgos a llevar a cabo, considerando inclusiones o exclusiones específicas.

Los aspectos específicos que también deberían ser discutidos incluyen: Los roles y responsabilidades de las distintas partes de la organización que participan en el proceso de gestión de riesgos.

Las relaciones entre el proyecto o actividad y otros proyectos o partes de la organización.

2.5. desarrollar criterios de evaluación de riesgos Se deben decidir los criterios contra los cuales se van a evaluar los riesgos.

Las decisiones concernientes a si se requiere un tratamiento del riesgo deberían estar basa-das en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios u otros. Los criterios deben reflejar el contexto definido previamente. Esto a menudo depende de las políticas internas, metas y objetivos de una organización y de los intereses de los distintos interesados.

Los criterios podrían estar afectados por las percepciones de los interesados y por requerimien-tos legales o regulatorios. Es importante que se determinen los criterios apropiados desde el comienzo.

Aunque los criterios para la toma de decisiones son inicialmente desarrollados como parte del establecimiento del contexto de gestión de riesgos, los mismos deben ser posteriormente desarrollados y perfeccionados a medida que se identifiquen riesgos particulares y se escojan técnicas de análisis de riesgos. Los criterios de riesgo deberían corresponder a los tipos de riesgos y la forma en que se expresan los niveles de riesgo.

2.6. deFinir la estructura para la gestión de de riesgoEsto involucra subdividir la actividad, proceso, proyecto o cambio en un conjunto de elemen-tos o pasos. Estos elementos proveen una estructura lógica que ayuda a asegurar que no se pasen por alto riesgos significativos. La estructura escogida depende de la naturaleza de los riesgos y del alcance del proyecto, proceso o actividad.

3. identiFicación de riesgos

3.1. general Este paso procura identificar los riesgos a gestionar.

4�

ANEXO 1

La identificación completa de riesgos utilizando un proceso sistemático bien estructurado es crítica, porque un riesgo potencial no identificado en esta etapa quedaría excluido de análisis posteriores.

La identificación debería incluir todos los riesgos, estén o no bajo control de la organiza-ción.

3.2. ¿qué puede suceder, dónde y cuándo?El propósito es generar una lista amplia de fuentes de riesgos y eventos que podrían tener un impacto en el logro de cada uno de los objetivos identificados en la etapa de establecer el contexto. Estos eventos podrían impedir, degradar, demorar o mejorar el logro de esos objetivos. Estos eventos son considerados luego en mayor detalle para identificar lo que puede suceder.

3.3. ¿cómo y por qué puede suceder? Una vez identificado lo que podría suceder, es necesario considerar las causas y escenarios posibles. Hay muchas formas en que puede suceder un evento. Es importante que no se omita ninguna causa significativa.

3.4. Herramientas y técnicas Los enfoques utilizados para identificar riesgos incluyen listados de control (checklists), juicios basados en la experiencia y registros, diagramas de flujo, técnicas como lluvia de ideas (bra-instorming), análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas. Ver una explicación más detallada en el HB 436 de 2004 del Standards Australia / Standards New Zealand.

El enfoque utilizado dependerá de la naturaleza de las actividades bajo revisión, de los tipos de riesgos, del contexto organizacional y del propósito del estudio de gestión de riesgos.

4. análisis de riesgo

4.1. generalEl objetivo del análisis de riesgos es desarrollar un entendimiento de los riesgos. Provee infor-mación que respalda la toma de decisiones sobre si los riesgos necesitan ser tratados y sobre las estrategias más apropiadas y costo-efectivas de tratamiento de los riesgos.

El análisis de riesgos involucra considerar las fuentes de riesgo, sus consecuencias positivas y negativas y la probabilidad de que estas puedan ocurrir. Deben identificarse los factores que afectan, las probabilidades y las consecuencias. El riesgo es analizado combinando con-secuencias y sus probabilidades. En la mayoría de los casos se toman en cuenta las medidas de control existentes.

Se puede llevar a cabo un análisis preliminar para combinar riesgos similares o excluir del es-tudio detallado a los riesgos de bajo impacto. Siempre que sea posible, los riesgos excluidos deberían ser listados para demostrar que el análisis de riesgos es completo.


44

4.2. evaluar los controles existentes Se deben identificar los procesos, dispositivos o prácticas existentes que actúan para minimizar los riesgos negativos o para mejorar los riesgos positivos y evaluar sus fortalezas y debilida-des. Los controles pueden surgir como resultado de actividades previas de tratamiento del riesgo.

4.3. consecuencias y probabilidades La magnitud de las consecuencias de un evento, en el caso de que éste ocurriera, y la pro-babilidad del evento y sus consecuencias asociadas, se evalúan en el contexto de la eficacia de las estrategias y controles existentes. Un evento puede tener múltiples consecuencias y afectar diferentes objetivos.

Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Las conse-cuencias y probabilidades se pueden determinar utilizando cálculos y análisis estadístico.

Alternativamente, cuando no se dispone de datos anteriores confiables o relevantes, se pueden realizar estimaciones subjetivas que reflejan el grado de convicción que tiene un individuo o un grupo sobre si un evento o resultado particular ocurrirá.

Para evitar prejuicios subjetivos, cuando se analizan las consecuencias y probabilidades deberían utilizarse las fuentes de información y técnicas más pertinentes. Las fuentes de información podrían incluir: Registros anteriores. Práctica y experiencia relevante. Prácticas y experiencia de la industria o actividad. Publicaciones relevantes. Investigaciones de mercado. Resultados de consultas públicas. Experimentos y prototipos. Modelos económicos, de ingeniería u otros; Opiniones y juicios de especialistas y expertos.

Las técnicas incluyen: Entrevistas estructuradas con expertos en el área de interés. Utilización de grupos multidisciplinarios de expertos. Evaluaciones individuales utilizando cuestionarios. y Uso de modelos y simulaciones.

Siempre que sea posible, debería incluirse la confianza depositada en las estimaciones de los niveles de riesgo.

4.4. tipos de análisis El análisis de riesgo puede ser llevado a cabo a distintos niveles de detalle dependiendo del riesgo, del propósito del análisis y de la información, datos y recursos disponibles. El análisis puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinación de ellos, depen-diendo de las circunstancias.

45

ANEXO 1

El orden de complejidad y los costos de estos análisis, en orden ascendente, es: cualitativo, semi-cuantitativo y cuantitativo. En la práctica, a menudo se utiliza primero el análisis cualitativo para obtener una indicación general del nivel de riesgo y para revelar los aspectos principales de riesgo. Luego puede ser necesario llevar a cabo análisis más específicos o cuantitativos sobre los principales aspectos de riesgo. La forma del análisis debería ser consistente con los criterios de evaluación de riesgos desa-rrollados como parte del establecimiento del contexto.

En detalle, los tipos de análisis son:a) Análisiscualitativo El análisis cualitativo utiliza palabras o escalas descriptivas para describir la magnitud de

las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Estas escalas pueden ser adaptadas o ajustadas para adaptarse a las circunstancias, y pueden utilizarse distintas descripciones para riesgos diferentes.

El análisis cualitativo puede utilizarse:

i. Como un filtro inicial para identificar los riesgos que requieren un análisis más deta-llado.

ii. Cuando el nivel de riesgo no justifica el tiempo y el esfuerzo requerido para otro tipo de análisis.

iii. Cuando esta clase de análisis es apropiado para las decisiones que requieren ser to-madas o

iv. Cuando los datos numéricos o los recursos son inadecuados para un análisis cuanti-tativo.

b)Análisissemi-cuantitativo En el análisis semi-cuantitativo, se le asignan valores a las escalas nominales cualitativas, tales

como las descritas arriba. El objetivo es producir una escala de priorización más detallada que la que se logra normalmente en el análisis cualitativo y no sugerir valores reales de los riesgos, tales como los que se procuran en el análisis cuantitativo. Sin embargo, dado que el número asignado a cada descripción puede no representar una relación exacta de la magnitud real de las consecuencias o probabilidades, los números sólo pueden ser combinados utilizando una fórmula apropiada que reconozca las limitaciones del tipo de escala utilizada.

Debe tenerse cuidado con el uso del análisis semi-cuantitativo porque los números escogidos podrían no reflejar apropiadamente las relatividades y esto podría conducir a resultados inconsistentes, anómalos o inapropiados. El análisis semi-cuantitativo podría no diferenciar apropiadamente entre distintos riesgos, particularmente cuando las consecuencias o las probabilidades son extremas.

c) Análisiscuantitativo El análisis cuantitativo utiliza valores numéricos tanto para las consecuencias como para

las probabilidades, utilizando datos de una variedad de fuentes. La calidad del análisis de-pende de la precisión e integridad de los valores numéricos y de la validez de los modelos utilizados.


46

Las consecuencias podrían ser estimadas modelando los resultados de un evento o conjunto de eventos, o mediante extrapolación de estudios experimentales o datos del pasado.

Las consecuencias podrían ser expresadas en términos de criterios de impacto moneta-rios, técnicos o humanos, o cualquiera de los otros criterios referidos en 6.1.5. En algunos casos, se requiere más de un valor numérico para especificar consecuencias para distintos momentos, lugares, grupos o situaciones.

La forma en la cual se expresan las probabilidades y consecuencias, y las formas en las cuales las mismas se combinan para proveer un nivel de riesgo varían de acuerdo con el tipo de riesgo y el propósito para el cual se va a utilizar el resultado de la evaluación del riesgo. Puede considerarse y comunicarse eficazmente el efecto de la incertidumbre y variabilidad de cada factor sobre el nivel de riesgo.

4.5. análisis de sensibilidad Dado que algunas de las estimaciones cuantitativas realizadas en el análisis del riesgo requie-ren ajustes, debería llevarse a cabo un análisis de sensibilidad para verificar el efecto de la incertidumbre en las suposiciones y datos. El análisis de sensibilidad es también una forma de comprobar la adecuación y efectividad de los controles y de las opciones de tratamiento de riesgos potenciales.

5. evaluación de riesgo

La evaluación de riesgo involucra comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de riesgo previamente establecidos.

El objetivo de la evaluación de riesgos es tomar decisiones, basadas en los resultados del análisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades.

Deberían considerarse los objetivos de la organización y la gama de oportunidades que podrían resultar del riesgo. Cuando deba realizarse una selección entre distintas opciones, el mayor potencial de pérdidas debería asociarse con los mayores beneficios potenciales y la selección apropiada dependerá del contexto de la organización.

Las decisiones deberían tomar en cuenta el amplio contexto del riesgo, e incluir considera-ciones de la tolerancia de los riesgos de terceras partes distintas de la organización que se benefician del mismo.

Los riesgos bajos o tolerables podrían ser aceptados con un tratamiento futuro mínimo. Los mismos deberían ser monitoreados y revisados periódicamente para asegurar que se man-tienen igual.

Si los riesgos no son bajos o tolerables, deberían ser tratados utilizando una o más de las opciones consideradas.

47

ANEXO 1

En algunas circunstancias, la evaluación de riesgos podría conducir a la decisión de llevar a cabo un mayor análisis.

6. tratamiento del riesgo

6.1. generalEl tratamiento del riesgo involucra identificar el rango de opciones para tratar el riesgo, evaluar esas opciones, preparar planes de tratamiento del riesgo e implementarlos.

6.2. identiFicar opciones para tratamiento del riesgo Las opciones de tratamiento de riesgos, que no son necesariamente mutuamente excluyentes o apropiadas en todas las circunstancias, incluyen: Evitar el riesgo decidiendo no seguir adelante con la actividad que probablemente crea el riesgo. El escape al riesgo puede ocurrir inadecuadamente a raíz de la tendencia de algunas personas u organizaciones a tener aversión a los riesgos. El escape inadecuado al riesgo puede aumentar la significación de otros riesgos o podría conducir a la pérdida de oportu-nidades de obtener beneficios.

La aversión al riesgo puede resultar en: decisiones de evitar o ignorar riesgos, independientemente de la información disponible

y de los costos incurridos en el tratamiento de esos riesgos; fallas al tratar los riesgos; dejar las opciones críticas y/o decisiones a otras partes; diferir las decisiones que la organización no puede evitar; seleccionar una opción porque representa un riesgo potencial más bajo independien-

temente de los beneficios.

Cambiar la probabilidad de ocurrencia, para mejorar la probabilidad de resultados benefi-ciosos y reducir la probabilidad de pérdidas.

Cambiar las consecuencias, para aumentar la magnitud de los beneficios y reducir la mag-nitud de las pérdidas. Esto también podría incluir respuesta a la emergencia, planes de contingencia y de recuperación de desastres.

Transferir el riesgo. Esto involucra a otras partes que sostienen o comparten alguna parte del riesgo. Los mecanismos incluyen el uso de contratos, acuerdos de seguros y estructuras organizacionales tales como sociedades y “joint ventures”. Generalmente hay algún costo financiero o beneficio asociado a la transferencia de parte del riesgo a otra organización, tal como el premio pagado por los seguros. Idealmente, las responsabilidades por el trata-miento de los riesgos deberían ser asignadas a las partes más aptas para controlarlos.

Las responsabilidades deberían ser acordadas entre las partes lo antes posible. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reduce el riesgo original para la organización que transfiere, pero podría no disminuir el nivel global de riesgo para la sociedad. A menudo, tal transferencia de riesgo sólo cambia un tipo de riesgo por otro,


48

de forma tal, que ambas partes terminan con los tipos de riesgos que están más aptos para tolerar, tratar o retener.

Cuando los riesgos son total o parcialmente transferidos, la organización que transfiere el riesgo ha adquirido un nuevo riesgo, y es que la organización a la cual se ha transferido no pueda administrarlo eficazmente.

Retener el riesgo. Luego que los riesgos han sido reducidos o transferidos, podrían existir riesgos residuales que son retenidos. Los riesgos también podrían ser retenidos en forma predeterminada, por ejemplo: cuando hay una falla para identificar o transferir adecuada-mente, o bien tratar los riesgos.

6.3. evaluar las opciones de tratamiento de riesgos Las opciones deberían ser evaluadas sobre la base del grado de reducción de las pérdidas, y el alcance de los beneficios adicionales u oportunidades creadas, tomando en cuenta los criterios desarrollados. Se pueden considerar y aplicar una cantidad de opciones, ya sea in-dividualmente o combinadas.

El análisis de sensibilidad es una forma de comprobar la eficacia de las distintas opciones para tratar el riesgo.

La selección de la opción más apropiada involucra balancear el costo de implementación de cada opción contra los beneficios derivados de ella. En general, el costo de administrar los riesgos necesita ser conmensurado con los beneficios obtenidos.

Cuando se logran grandes cambios en el riesgo se puede hacer con un costo relativamente bajo, y deberían ser implementados.

Otras opciones de mejora podrían ser antieconómicas y se necesita ejercitar el juicio para determinar si las mismas son justificables.

Las decisiones deberían tomar en cuenta la necesidad de considerar cuidadosamente los riesgos raros, pero severos, que justificarían acciones de tratamiento de riesgos que no serían justificables en el terreno de lo estrictamente económico.

Cuando se analizan los costos versus los beneficios, es importante considerar todos los costos y perjuicios, como asimismo, todos los beneficios y oportunidades. A menudo los beneficios secundarios/colaterales de adoptar una determinada estrategia de riesgos pueden ser im-portantes.

Mientras que un control en particular puede ser muy eficaz en la reducción de la probabi-lidad de un tipo específico de pérdida, el mismo también puede quitar la oportunidad de beneficios.

En muchos casos, es improbable que cualquier opción de tratamiento de riesgos sea una solución completa para un problema en particular. A menudo la organización se beneficiará

49

ANEXO 1

sustancialmente por una combinación de opciones tales como cambiar la probabilidad de los riesgos, cambiar sus consecuencias, y transferir o retener cualquier riesgo residual. Un ejem-plo es el uso eficaz de contratos y financiamiento de riesgos sustentado por un programa de reducción de riesgos.

Cuando el costo acumulativo de efectuar todos los tratamientos de riesgos excede el pre-supuesto disponible, el plan debería identificar claramente el orden de prioridad en el cual deberían ser implementados los tratamientos individuales de riesgo. El ordenamiento puede ser establecido utilizando distintas técnicas, incluyendo análisis de importancia de los riesgos y de costo-beneficio. Los requerimientos de cumplimiento legal deben estar por encima de los análisis de costo-beneficio.

Los tratamientos de riesgos que no pueden ser implementados dentro del límite del presu-puesto disponible deben esperar la disponibilidad de recursos futuros o, si por cualquier razón algunos o todos los tratamientos restantes son considerados importantes, deberá analizarse el caso para lograr financiación adicional. En todos los casos es importante comparar el costo total de no tomar ninguna acción, contra el aparente ahorro presupuestario.

Las opciones de tratamiento de riesgos deberían considerar los valores y percepciones de los interesados y las formas más apropiadas de comunicarse con ellos.

Las estrategias de tratamiento de riesgos podrían por si mismas introducir nuevos riesgos. Estos riesgos necesitan ser identificados, evaluados, tratados y monitoreados como parte del proceso iterativo.

Si luego de un tratamiento hay un riesgo residual, debería tomarse una decisión sobre si debe retener este riesgo o repetir el proceso.

6.4. preparación e implementación de planes de tratamientoLos planes deberían documentar cómo serán implementadas las opciones escogidas.

Los planes de tratamiento deberían identificar las responsabilidades, las fechas programadas, los resultados esperados de los tratamientos, el presupuesto, las medidas del desempeño y el proceso de revisión a poner en práctica. Los planes también deberían incluir mecanismos para evaluar la implementación de las opcio-nes respecto de criterios de desempeño, las responsabilidades individuales y otros objetivos, y procesos para monitorear los logros respecto de hitos críticos de implementación.

La implementación exitosa del plan de tratamiento del riesgo requiere un sistema de adminis-tración eficaz que especifique los métodos escogidos, asigne responsabilidades individuales por las acciones y las controle con relación a criterios especificados.

7. control y revisión

Es necesario controlar la eficacia de todos los pasos del proceso de gestión de riesgos. Este es un paso importante para la mejora continua.


50

Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades. La auto-evaluación del control provee un medio para la revisión continua de los riesgos y de sus controles.

Es esencial la revisión sobre la marcha para asegurar que el plan de administración se mantenga apropiado. Los factores que podrían afectar la probabilidad y consecuencia de un resultado podrían cambiar, como también los que afectan la conveniencia o costo de las opciones de tra-tamiento. Es en consecuencia necesario repetir el ciclo de gestión de riesgos regularmente.

La revisión es una parte integral de los planes de tratamiento de la administración de riesgos.

El progreso real respecto de los planes de tratamiento de los riesgos provee una medida im-portante de desempeño y debería ser incorporado en el sistema de información, medición y administración de desempeño de la organización.

El control también involucra aprender de los eventos y de sus resultados.

8. documentar y registrar el proceso de gestión de riesgos Debe registrarse en forma adecuada cada etapa del proceso de gestión de riesgos. Deberían documentarse las hipótesis, métodos, fuentes de datos, análisis, resultados y razones para las decisiones.

Los registros de tales procesos son un aspecto importante de un buen gobierno corporativo. Ellos sirven para:

Demostrar que el proceso es conducido apropiadamente. Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos. Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organización.

Proveer a los tomadores de decisiones relevantes de un plan de gestión de riesgos para aprobación y subsecuente implementación.

Proveer un mecanismo y herramienta de responsabilidad. Facilitar el continuo monitoreo y revisión. Proveer una pista de auditoría. Compartir y comunicar información.

Las decisiones concernientes al alcance y métodos de documentación y registro podrían involucrar costos y beneficios; deberían tomarse en cuenta estas razones para mantener la documentación.

Una gestión de riesgos efectiva requiere documentación apropiada y suficiente en cada etapa del proceso, que incluya objetivos, fuentes, administración, tratamiento y plan de acción. Debe contemplar políticas y procedimientos, declaraciones de conformidad, funciones y respon-sabilidades, registros de riesgos y controles, planes de mejoramiento, resultados, monitoreo

51

ANEXO 1

y auditorías.

9. comunicación y consulta

La comunicación y la consulta son importantes en cada paso del proceso de gestión de riesgos. Es importante desarrollar un plan de comunicación tanto para los interesados internos como externos desde la etapa más temprana del proceso. Este plan debería considerar aspectos relativos tanto al riesgo en si mismo, como al proceso para administrarlo.

Comunicación y consulta involucran un diálogo permanente entre los interesados, con es-fuerzos focalizados en la consulta y retroalimentación, más que en un flujo de información de una sola vía desde el tomador de decisiones hacia los interesados.

Es útil un enfoque de equipo de consulta para ayudar a definir el contexto de la comunicación en forma apropiada, e identificar los riesgos eficazmente. Posteriormente se deberán reunir distintas áreas de especialidad en el análisis de riesgos, para asegurar que se consideran los diferentes puntos de vista en la evaluación de los riesgos y para lograr una administración apropiada de cambios durante el tratamiento de estos.

El involucrarse también posibilita que se asuma la ‘propiedad’ de los riesgos por parte de los gerentes y el compromiso de los interesados. Les permite apreciar los beneficios de controles particulares y la necesidad de aprobar y sustentar un plan de tratamiento.

Son importantes las comunicaciones internas y externas eficaces para asegurar que aquellos responsables por implementar gestión de riesgos, y aquellos con un interés establecido, comprendan la base sobre la cual se toman las decisiones y por en qué se requieren deter-minadas acciones.

Las percepciones sobre el riesgo pueden variar debido a diferencias en los valores, necesidades, suposiciones, conceptos y preocupaciones de los interesados, en la medida que se relacionen con el riesgo o los aspectos bajo discusión.

Es probable que los interesados emitan juicios sobre la aceptabilidad de un riesgo, basados en su percepción. Dado que los puntos de vista de los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones del riesgo, y sus percepciones sobre los beneficios, sean identificadas y registradas, y las razones subyacentes comprendidas y consideradas.

La información sobre el desempeño de la gestión de riesgos, particularmente la relativa al progreso en su desarrollo e implementación del plan de gestión de riesgos debe ser comu-nicada a los interesados. Los mecanismos de actualización permanente, medición e informes periódicos son también características del buen gobierno corporativo.

Particularmente es importante la comunicación de las políticas, en la medida en que abarcan desde la infraestructura, hasta la creación de una cultura organizacional alrededor de la ges-tión del riesgo; comprende entre otros aspectos:


52

2 Definiciones tomadas de los documentos: ADMINISTRACION DEL RIESGO ESTANDAR AS/NZ 4360 y de Declaración de Posición: Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial – www.theiia.org

La conformación del equipo de alta dirección que responde por el proceso Promover la toma de conciencia sobre el control y el riesgo Mantener a toda la organización en diálogo permanente Adquirir y compartir experiencias y mejores prácticas en ERM – Consultorías Asegurar mecanismos apropiados de reconocimiento y sanción, en función del riesgo Establecer el manejo de indicadores de riesgo y su inclusión en la evaluación de desempeño.

Las partes interesadas en la comunicación deben ser parte integral de la gestión de riesgo, en razón a su diversidad, percepción y participación, niveles de interés, conocimientos en ERM y la manera como se vean afectadas por una decisión. Entre otras son: El recurso humano de la organización (Directivos, empleados, administradores, asesores, terceros)

Empresas o contrapartes comerciales Sindicatos Agremiaciones a nivel de industria, sector, grupo económico, política Compañías de Seguros Organismos de regulación y entes gubernamentales Clientes Contratistas y proveedores Medios de comunicación Comunidades locales (áreas de influencia) Sociedad en general

ii. deFinicionesPara el propósito de este documento se aplican las siguientes definiciones2:

2.1 consecuenciaEl resultado de un evento expresado en forma cualitativa o cuantitativa, que genera pérdida, daño, desventaja o ganancia.

2.2. costoLos costos tanto directos como indirectos de una actividad involucran un impacto negativo, incluyendo dinero, tiempo, trabajo, interrupción, goodwill, pérdidas políticas e intangibles.

2.3. eventoUn incidente o suceso, que ocurre en un determinado lugar durante un determinado intervalo de tiempo.

2.4. árbol de análisis de causas.Es una técnica que describe el posible rango y secuencia de los resultados que pueden origi-narse de un evento inicial.

5�

ANEXO 1

2.5. análisis de modos de Fallas y eFectos – Failure mode and eFFects analysis (Fmea)

Es un procedimiento mediante el cual se analizan los modos potenciales de fallas en un sis-tema técnico.

2.6. árbol de an álisis de FallasEs un método de ingeniería de sistemas que representa la combinación lógica de varios estados del sistema y las posibles causas que pueden contribuir a un evento específico.

2.7. FrecuenciaEs una medida sobre la rata de ocurrencia de un evento expresado por el número de ocurren-cias en un tiempo dado. Ver también probabilidad.

2.8. amenazaLa fuente de daño potencial o una situación que potencialmente cause pérdidas.

2.9. pérdidaUna consecuencia negativa, financiera o de cualquier otra índole.

2.10. monitoreoVerificar, supervisar, observar o registrar el progreso de una actividad, acción o sistema sobre una base regular, con el fin deidentificarcambios.

2.11. organizaciónUna compañía, firma, empresa o asociación, u otra entidad de tipo legal o de cualquier índole, esto es incorporada o no, pública o privada, que tiene sus propias funciones y admi-nistración.

2.12. probabilidadLa posibilidad de que un evento específico o resultado, medido por la rata de eventos específicos o resultados dentro de un número total de posibles eventos o resultados. La probabilidad es expresada como un número entre 0 y 1, en donde cero indica que es imposible que el hecho ocurra y 1 indica que el evento es cierto.

2.13. riesgo residual Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas de tratamiento tomadas para mitigar del riesgo.

2.14. riesgoLa posibilidad de que algo suceda y que podría tener un impacto sobre los objetivos. Está medido en términos de consecuencias y probabilidad de ocurrencia.

2.15. aceptación del riesgoEs la decisión informada de aceptar las consecuencias y la probabilidad de un riesgo parti-cular.


54

2.16. análisis del riesgoEl uso sistemático de información disponible para determinar con qué frecuencia un determi-nado evento puede ocurrir y la magnitud de sus consecuencias.

2.17. valoración del riesgo.El conjunto de procesos para analizar y evaluar el riesgo.

2.18. evitar el riesgo.Decisión informada de no involucrarse en una situación de riesgo. 2.19. control del riesgoSe refiere a la parte de la administración de riesgo, que involucra la implantación de políticas, es-tándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos.

2.20. ingeniería de riesgosEs la aplicación de principios y métodos de ingeniería para la administración del riesgo.

2.21. evaluación del riesgoEl proceso utilizado para determinar prioridades en la administración del riesgo por la com-paración de niveles de riesgo frente a estándares determinados, límites de niveles del riesgo u otros criterios.

2.22. Financiación el riesgoLos métodos aplicados para financiar la administración del riesgo y las consecuencias finan-cieras del riesgo.

2.23. identiFicación del riesgo.Proceso para determinar QuÉ puede suceder, porQuÉ y cómo.

2.24. administración del riesgoLa cultura, los procesos y las estructuras que están dirigidas hacia una efectiva administración de potenciales oportunidadesy efectosadversos.

2.25. apetito de riesgoEl nivel de riesgo que es aceptable para los accionistas, la junta directiva ó la dirección. Este puede ser establecido con relación a la organización como un todo, para diferentes grupos de riesgos ó en un nivel de riesgo individual.

2.26. proceso de administración del riesgoLa aplicación sistemática de políticas gerenciales, procedimientos y prácticas, en las activida-des para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos.

2.27. reducción del riesgoLa aplicación selectiva de técnicas apropiadas y principios gerenciales para reducir la proba-bilidad de ocurrencia de un evento, sus consecuencias o ambos.

55

3 El término stakeholder puede también incluir las partes interesadas, tal como esta definido en ISO 14050:1998 y en ISO 14004:1996.

ANEXO 1

2.28. retención del riesgoIntencionalmente o no, conservar la responsabilidad por pérdidas o provisiones para pérdidas, al interior de la empresa.

2.29. transFerir el riesgoTransferir total o parcialmente la responsabilidad de la provisión para pérdidas a un tercero a través de la ley, contratos, seguros u otro medio. Transferir el riesgo puede también hacer referencia a mover físicamente el riesgo o parte del mismo a otro sitio.

2.30. tratamiento del riesgo Seleccionar e implementar las opciones apropiadas para reducir el riesgo.

2.31. respuestas a riesgosLos medios a través de los cuales la organización decide gestionar riesgos individuales. Las principales categorías son: tolerar el riesgo; tratar el mismo reduciendo su impacto o posi-bilidad; transferirlo a otra organización o terminar la actividad que lo origina. Los controles internos son una forma de tratar un riesgo.

2.32. análisis de sensibilidadExaminar cómo los resultados del cálculo de un modelo varían cuando los supuestos indivi-duales son modificados.

2.33. stakeHolders3 Son las personas y las organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que ellos mismos pueden ser afectados por una decisión o actividad.

2.34. consejo El término Consejo se refiere al cuerpo de gobierno de una organización, tal como el con-sejo de administración, el consejo de supervisión, el responsable de un organismo o cuerpo legislativo, el comité o miembros de la dirección de una organización sin ánimo de lucro, o cualquier otro órgano de gobierno designado por la organización, a quien pueda reportar funcionalmente el director ejecutivo de auditoría.

2.35. controlCualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.

2.36. deFensorAquel quién apoya y defiende una persona o causa. Por lo tanto, un defensor de la gestión de riesgo promoverá sus beneficios, educará a la dirección de la organización y miembros sobre


56

las acciones que ellos necesitan realizar para su implementación y los animará y apoyará en la realización de esas acciones.

2.37. empresaCualquier organización establecida para alcanzar objetivos determinados.

2.38. FacilitaciónTrabajar con un grupo para hacer más fácil el logro de los objetivos o actividad que el grupo ha acordado alcanzar. Esto envuelve escuchar, retar, observar, cuestionar y apoyar el grupo y sus miembros. No incluye el hacer el trabajo o tomar decisiones.

2.39. marco de gestión de riesgo Totalidad de estructuras, metodologías, procedimientos y definiciones que la organización ha seleccionado para usar en la implementación de su proceso de gestión de riesgos.

2.40. madurez del riesgo Extensión a través de la cual ha sido adoptado y aplicado un enfoque robusto de gestión de riesgo, planificado por la dirección a través de la organización para identificar, evaluar, decidir la respuesta y reportar oportunidades y amenazas que afectan el alcanzar los objetivos de la organización.

2.41. servicios de aseguramiento Un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de due diligence.

2.42. servicios de consultoría Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y estén dirigidos a añadir valor y a me-jorar los procesos de gobierno, gestión de riesgos y control de una organización, sin que el auditor interno asuma responsabilidades de gestión. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitación y el entrenamiento.

57

aplicación de los reFerentes para el ejercicio proFesional de la auditoría

interna en el sector Financiero relacionados con las actividades de aseguramiento y

consultoría en la ermAnexo2reFerente general

reFerentes para aplicación

aseguramiento consultoría

n.° nombre n.° nombre n.º nombre

-2010 planificación

El director ejecutivo responsable de la función de auditoría interna debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de audi-toría interna. Dichos planes deberán ser consistentes con las metas de la organización.

2010

A-1

El plan de trabajo de la activi-dad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección, el Comité de Auditoría y de la junta directiva.

2010

C-1

El Director Ejecutivo responsable de la función de auditoría interna debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejo-rar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización.

Aquellos trabajos que hayan sido aceptados deben ser incluídos en el plan.

2100 naturalezadeltrabajo

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno, utilizando un en-foque sistemático y disciplinado.

-2110 gestiónderiesgos

La actividad de auditoría interna debe asistir a la organización me-diante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.

2110

A-1

La actividad de auditoría interna debe supervisar y evaluar la efi-cacia del sistema de gestión de riesgos de la organización.

2110

C-1

Durante los trabajos de consulto-ría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2110

A-2

La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de infor-mación de la organización, con relación a lo siguiente:

1) Confiabilidad e integridad de la información financiera y operativa,

2) Eficacia y eficiencia de las ope-raciones,

3) Protección de activos, y 4) Cumplimiento de leyes, regu-

laciones y contratos.

2110

C-2

Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significa-tivas en la organización.

continúa


58

reFerente generalreFerentes para aplicación



-2120 control

La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efec-tivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora contínua.

2120

A-1

Basada en los resultados de la evaluación de riesgos, la acti-vidad de auditoría interna debe evaluar la adecuación y eficacia de los controles que compren-den el gobierno, las operaciones y los sistemas de información de la organización. Esto debe incluir lo siguiente:

1) Confiabilidad e integridad de la información financiera y operativa,

2) Eficacia y eficiencia de las operaciones,

3) Protección de activos, y 4) Cumplimiento de leyes, regu-

laciones y contratos.

2120

C-1

Durante los trabajos de con-sultoría, los auditores internos deben considerar los controles compatibles con los objetivos del trabajo y deben estar alertas a la existencia de debilidades de control significativas.

2120

A-2

Los auditores internos deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos, y de que éstos sean consistentes con aquellos de la organización.

2120

C-2

Los auditores internos deben incorporar los conocimientos de los controles obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.

2120

A-3

Los auditores internos deben revisar las operaciones y progra-mas para cerciorarse de que los resultados sean consistentes con los objetivos y metas estableci-dos, y de que las operaciones y programas estén siendo implan-tados o desempeñados tal como fueron planeados.

2120

A-4

Se requiere criterio adecuado para evaluar controles. Los au-ditores internos deben cercio-rarse del alcance hasta el cual la dirección ha establecido crite-rios, indicadores o mediciones adecuados para determinar si los objetivos y metas han sido cumplidos. Si fueran apropiados, los auditores internos deben utilizar dichos criterios en su evaluación. Si no fueran apro-piados, los auditores internos deben trabajar con la dirección para desarrollar criterios de evaluación adecuados.

continuación

continúa

59




-2130 gobierno

La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:

1) Promover la ética y los valores apropiados dentro de la organi-zación.

2) Asegurar la gestión y responsabi-lidad eficaces en el desempeño de la organización.

3) Comunicar eficazmente la informa-ción de riesgo y control a las áreas adecuadas de la organización.

4) Coordinar eficazmente las activi-dades y la información de comuni-cación entre la junta directiva, los auditores internos y externos y la alta gerencia.

2130

A-1

La actividad de auditoría interna debe evaluar el diseño, implan-tación y eficacia de los objetivos, programas y actividades de la organización relacionados con la ética.

2130

C-1

Los objetivos de los trabajos de consultoría deben ser compati-bles con los valores y las metas generales de la organización.

-2020 comunicaciónyaprobación

El director ejecutivo responsable de la función de auditoría interna debe comunicar los planes y requerimien-tos de recursos de la actividad de auditoría interna, incluyendo los posibles cambios significativos, a la alta dirección, al Comité de Auditoría y a la junta directiva para su adecua-da revisión y aprobación. El director ejecutivo responsable de la función de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos.

-2060 InformealcomitédeAuditoría,lajuntadirectivaylaaltadirección

El director ejecutivo responsable de la función de auditoría interna debe informar periódicamente al Comité de Auditoría, la junta directiva y la alta dirección sobre la actividad de auditoría interna en lo referido a pro-pósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones nece-sarias o requeridas por el Comité de Auditoría, la junta directiva y la alta dirección.

continuación

continúa

ANEXO 2


60




-2330 documentacióndelainformación

Los auditores internos deben docu-mentar información relevante que les permita soportar las conclusiones y los resultados del trabajo.

2330

A-1

El director ejecutivo responsable de la función de auditoría interna debe controlar el acceso a la documentación del trabajo. El director ejecutivo responsable de la función de auditoría interna debe obtener aprobación de la dirección superior o del área jurídica antes de dar a conocer tal documentación a terceros, según corresponda.

2330

C-1

El director ejecutivo responsable de la función de auditoría interna debe establecer políticas sobre la custodia y retención de la docu-mentación del trabajo, y sobre la posibilidad de darla a conocer a terceras partes, internas o ex-ternas. Estas políticas deben ser consistentes con las guías de la organización y cualquier regula-ción pertinente u otros requeri-mientos sobre este tema.

2330

A-2

El director ejecutivo responsable de la función de auditoría interna debe establecer requisitos de custodia para la documentación del trabajo. Estos requisitos de retención deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos.

2400 comunicaciónderesultados

Los auditores internos deben comu-nicar los resultados del trabajo.

-2410 criteriosparalacomunicación

Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspon-dientes, las recomendaciones, y los planes de acción.

2410

A-1

La comunicación final de los resultados del trabajo debe incluir la opinión general y/o conclusiones del auditor interno, según corresponda

2410

C-1

Las comunicaciones sobre el pro-greso y los resultados de los tra-bajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.

2410

A-2

Se recomienda a los auditores internos a reconocer en las co-municaciones del trabajo cuan-do se observa un desempeño satisfactorio.

2410A-3

Cuando se envíen resultados de un trabajo a partes ajenas a la organización, la comunicación debe incluir las limitaciones a la distribución y uso de los resultados.

continuación

continúa

61




-2420 calidaddelacomunicación

Las comunicaciones deben ser preci-sas, objetivas, claras, concisas, cons-tructivas, completas y oportunas.

-2421 erroresyomisiones

Si una comunicación final contiene un error u omisión significativos, el director ejecutivo responsable de la función de auditoría interna debe comunicar la información corregida a todas las partes que recibieron la comunicación original.

2600 decisióndeaceptacióndelosriesgosporladirección

Cuando el director ejecutivo res-ponsable de la función de auditoría interna considere que la alta direc-ción ha aceptado un nivel de riesgo residual que pueda ser excesivo para la organización, debe discutir esta cuestión con la alta gerencia. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo responsable de la función de audito-ría interna y la alta gerencia deben informar esta situación a la junta directiva para su resolución.

continuación

ANEXO 2

62

una Herramienta de autodiagnóstico

para la implementación de la administración del riesgo4, por basil orsini

Anexo3

4 Tomado de: Risk Watch - Mature Risk Management By BASIL ORSINI. A benchmarking tool from Human Resources Deve-lopment Canada facilitates assessments of risk management practices in the organization. BASIL ORSINI, CIA, CCSA, CGAP, CFE,es Director de Auditoría Interna del Departamento de Desarrollo de Recurso Humano de Canadá, Gatineau, Quebec.

Una herramienta de comparación del “Human Resources Development Canada” (Desarrollo de Recursos Humanos de Canadá) que facilita la evaluación de las prácticas de administración del riesgo en la organización.

Los auditores internos cada vez más usan evaluaciones de riesgo para planear proyectos de auditoría. A la vez, los gerentes generales se esfuerzan en transformar sus organizaciones en negocios de alto rendimiento, entendiendo que esto requiere cambios en las actitudes frente al manejo del riesgo y las expectativas. Esta transición les da una oportunidad a los auditores de realzar su valor mediante el desarrollo de métodos que relacionen mejor su trabajo con los riesgos claves en el negocio de la organización.

Vinculado a esta página hay un instrumento de diagnóstico que puede ayudar a los gerentes a evaluar la madurez en el manejo del riesgo en sus áreas, dando a los auditores una mejor apreciación de las transiciones involucradas en el medio empresarial para el manejo integra-do del riesgo de negocio, y apoyo en el entendimiento de la compañía de lo que implica la gestión de riesgos.

Desarrollado por “Human Resources Development Canadá” (HRDC), el departamento federal más grande del país, la herramienta de comparación describe un rango de prácticas – tanto deseables como no deseables – en la administración del riesgo. Gerentes y auditores pueden usarla para medir las fortalezas y debilidades de las prácticas de administración del riesgo y desarrollar planes de mejoramiento.

HRDC desarrolló la herramienta mediante un esfuerzo de colaboración con sus analistas de las oficinas regional y nacional. Bajo el mando del grupo de auditoría interno, estos analistas adaptaron los resultados de la investigación internacional consolidada por KPMG Canadá acerca de las me-jores prácticas en la administración del riesgo en organizaciones del sector público y privado.

La herramienta de diagnóstico organiza 20 indicadores de desempeño dentro de un marco holístico de cinco elementos de dirección. El situar a los empleados dentro de un marco ho-lístico que identifica tanto fortalezas como debilidades mejora el diálogo entre el individuo y el aprendizaje de equipo. Esto también promueve un lenguaje común y el entendimiento, que es clave en la transición a un acercamiento integrado. Los gerentes pueden usar la he-

6�

ANEXO �

rramienta de diagnóstico para medir el nivel de maduración de sus áreas, con o sin la activa participación de la auditoría interna.

La herramienta completa contiene cinco niveles progresivos de comportamiento en la ma-durez organizacional para describir cada indicador. Es aplicable a una variedad de riesgos de negocio, incluyendo de programa, operacional y riesgos de proyectos. La herramienta puede ser consultada en línea tanto en inglés como en francés. Los auditores y gerentes pueden adaptar los principios y este marco de diagnóstico para su propia organización.

El instrumento diagnóstico permite a auditores internos relacionar a gerentes y empleados de líneas diferentes de negocio en el desarrollo de un entendimiento colectivo de cómo integrar el manejo del riesgo. El proceso de administración del riesgo da ocasión para que los auditores y sus clientes trabajen juntos en predecir y definir un futuro con pocas sorpresas.

características de nuestra visión Futura de un ambiente de administración integrada del riesgo.

La cultura y filosofía existentes en la administración del riesgo, que ayuda a los gerentes, sucede en un ambiente dinámico. La administración del riesgo estará orientada al futuro y preactiva en contraposición a dirigir crisis, el enfoque incluirá aprovechar oportunidades, no simplemente la evasión del riesgo. No únicamente anticipando y mitigando el riesgo, sino también indicando como se tratan crisis cuando ellas ocurren, y como cambiar crisis por opor-tunidades. Un fuerte sentido de ética y valores debe manifestarse a través de la organización en orden de tener una adecuada gestión del riesgo.

Dar a los empleados capacitación en la gestión del riesgo. Identifican competencias en la gestión del riesgo.

Manejo del riesgo a todos los niveles de la organización. La gestión del riesgo alineada con la contabilidad de la organización. Las funciones y responsabilidades para la gestión del riesgo son claras. Riesgos estratégicos, operacionales y de proyectos están identificados y medidos.

Integración de la gestión del riesgo con los otros procesos administrativos de la organización. Por ejemplo, se encadenan con los valores y la ética, la planeación del negocio, la asignación de recursos, la calidad del servicio al cliente, las revelaciones externas sobre planes y prioridades. Considerar el rango total de riesgos incluyendo financieros y no financieros, ejemplo, riesgos involucrados en administración de proyectos, tecnologías de la información, consecuencias legales, recursos humanos, salud y seguridad, administración del cambio. La organización está adaptada para identificar, mitigar, reportar y comunicar riesgos, hay un apropiado nivel de documentación o diligencias previstas, ante decisiones con implicaciones de riesgo. Hay fuertes comunicaciones a través de la organización en términos de entendi-miento del riesgo y la forma para mitigar éste. La información sobre riesgos es comunicada de una forma transparente.


64

Las herramientas y técnicas de gestión del riesgo están disponibles para, y comúnmente son aplicadas por, empleados. Se da capacitación sobre cómo usar esas herramientas y técnicas.

La organización está adaptada al manejo del riesgo en un ambiente altamente público y político. Las implicaciones legales están consideradas. La credibilidad y reputación de la or-ganización es mantenida

introducción a la Herramienta de medición marco

El desafío de reunir los objetivos con los recursos disponibles nunca ha sido mayor. Una de las llaves para alcanzar estos objetivos es el manejo del riesgo eficiente y eficazmente. Los siguientes indicadores de administración del riesgo ayudan a la organización a medir el gra-do de implementación de la administración del riesgo en sus organizaciones. Estos índices identifican medidas de administración del riesgo. Esta herramienta puede ser usada como una herramienta de auto-diagnóstico, o como una herramienta de entrevista. Contribuye en la planeación porque capacita a los gerentes para enfocarse en ciertas áreas, dada la identi-ficación de fortalezas y debilidades en la organización. La herramienta puede ser usada para identificar riesgos específicos a líneas de negocio, ya sea programa o corporativa. La herra-mienta alienta un acceso a un lenguaje común; no obstante esto, permite variabilidad dentro de la organización, adaptándola a las necesidades de las unidades operativas.

Estos indicadores fueron desarrollados por auditores internos en HRDC con el soporte de KPMG Canadá. El criterio esta basado en mejores prácticas internacionales en administración del riesgo. Cada indicador es medido sobre un rango continuo de 1 (baja madurez) a 5 (alta madurez) que corresponde al nivel de madurez del ambiente de administración del riesgo. Los cinco principales indicadores de administración del riesgo son:

1. cultura/FilosoFía organizacional valoralacontribucióndelosempleadosenlaadministracióndelriesgo.Los em-pleados son alentados y se les reconoce por identificar riesgos y oportunidades, y por la determinación de riesgos que no están siendo manejados

culturadeadministracióndel riesgo. La administración del riesgo es realizada en todos los niveles y está integrada con las prácticas de administración de la organización. Las expectativas individuales y de la organización para la administración del riesgo están alineadas.

papelyresponsabilidadesenelmanejodelriesgo. El papel y las responsabilidades son entendidas y la administración del riesgo está interiorizando en todas las conductas de los empleados.

encadenamientoalosvaloresylaética. Los acercamientos de la organización a la administración del riesgo reflejan ética y valores tales como sensibilidad a consideraciones políticas y legales.

65

ANEXO �

2. liderazgo y compromiso liderazgodelgerentegeneral. Los gerentes generales están comprometidos con el establecimiento de la administración del riesgo a todos los niveles de la organización.

políticaderiesgoymarcodereferenciaparalaadministración. La organización provee una perspectiva multi-disciplinaria para la medición y la comunicación de riesgos estratégicos y operativos.

papelyresponsabilidadesdelgerentegeneral. La administración asumió un papel de liderazgo en la implementación del concepto del arte de la administración del riesgo

3. integración con sistemas y practicas de administración departamental encadenamientoa losnegociosy laplaneaciónoperativa. La administración del riesgo está integrada dentro de la planeación de negocios y de toma de decisiones a niveles corporativos y operacionales

encadenamientoa lamedicióndeldesempeño. La organización supervisa los re-sultados de la medición del riesgo en el tiempo. Se encadenan las medidas estratégicas y operacionales.

encadenamientoalacalidaddelservicio. La administración del riesgo está integrada con las iniciativas de calidad del servicio. La mayor parte de la organización tiene formal-mente adoptadas algunas medidas de calidad.

encadenamientoala informacióndeadministracióndepartamental. Acceso en línea para administrar información mediante sofisticadas herramientas y modelos de soporte en la toma de decisiones disponibles para soportar la medición y supervisión del riesgo.

encadenamientoalacomunicacióninternayretroalimentaciónsobreriesgos. Las mejores prácticas se comparten en medio de las unidades organizacionales en una ma-nera estructurada. Las organizaciones utilizan un rango de medios, incluyendo el Internet, para comunicar la medición del riesgo en el medio organizacional e involucra a todos los empleados en la administración del riesgo.

encadenamientoalacomunicaciónconinversionistas. La organización y sus inver-sionistas reconocen y aceptan que algunos resultados negativos son inevitables y están, sin embargo, comunicados.

4. Habilidades en administración del riesgo competencias en administración del riesgo. La organización está continuamente renovando las competencias en administración del riesgo y es conocida externamente por su capacitación en administración del riesgo.

técnicasenadministracióndelriesgo. Las herramientas y técnicas de administración de riesgo departamentales están integradas con las técnicas de administración del riesgo.

soportedeespecialistas. Existen centros de excelencia para la administración del riesgo con la capacidad de aconsejar públicamente acerca del manejo del riesgo sobre una base integrada por equipos multidisciplinarios.


66

5. reporte y control exploracióndeamenazasyoportunidadesexternas. La organización usa el arte de las metodologías de la exploración ambiental para compartir resultados con los principales inversionistas.

controles. El ambiente de control está encadenado a los objetivos departamentales y al apetito y tolerancia al riesgo. La administración del riesgo se implementó en consideración a la significancía del riesgo, el costo/beneficio de los controles, y la mezcla de los tipos de controles.

justificación. La diligencia prevista en la toma de decisiones se evidencia a través de un aceptable nivel de documentación. Los procesos de la organización para la administración del riesgo sigue el criterio de un cuerpo reconocido.

mediciónysupervisión.La administración mide el funcionamiento contra indicadores, y los resultados son rastreados en el tiempo. La administración desarrolla proyectos para mejorar el funcionamiento, y la acción es tomada como requerido.

67

Fil

oso

Fía/c

ult

ur

a o

rg

an

iza

cio

na

l

niv

el d

e m

ad

ur

ac

ión

12

34

5

val

ora

ció

nd

ela

co

ntr

ibu

ció

nd

elo

sem

ple

ado

sen

la

adm

inis

trac

ión

del

ri

esg

o

Un

alto

niv

el d

e es

cept

icis

mo

exis

ten

te e

n l

a o

rgan

iza-

ción

.

El p

erso

nal p

erci

be m

ensa

jes

mez

clad

os s

obre

la to

lera

ncia

al

rie

sgo

La a

dmin

istr

ació

n no

val

ora

la c

ontr

ibuc

ión

de l

os e

m-

plea

dos

en la

adm

inis

trac

ión

del r

iesg

o.

Los

dire

ctor

es c

onsu

ltan

a

su p

erso

nal

y le

s p

erm

iten

p

arti

cip

ar e

n in

icia

tiva

s d

e ad

min

istr

ació

n de

l rie

sgo.

El

pers

onal

con

trib

uye

a m

ane-

jar e

l rie

sgo

reco

noci

do s

obre

un

a ba

se “

ad h

oc”

La a

dmin

istr

ació

n de

l rie

sgo

es c

onsi

dera

da e

n té

rmin

os d

e re

com

pens

as y

san

cion

es.

El a

mbi

ente

de

trab

ajo

so-

port

a un

ace

rcam

ient

o pr

o-ac

tivo

al m

anej

o de

l rie

sgo.

La

in

form

ació

n d

el r

iesg

o es

co

mp

arti

da.

Un

fu

erte

se

ntid

o de

trab

ajo

en e

quip

o ex

iste

a t

ravé

s de

la

orga

ni-

zaci

ón.

Reco

noci

mie

nto

y si

stem

as

de r

ecom

pens

as a

lient

an a

l p

erso

nal

a m

anej

ar r

iesg

o y

a to

mar

ven

taja

s d

e la

s op

ortu

nida

des.

La d

irecc

ión

se e

ncar

ga d

el

estu

dio

de r

esul

tado

s po

siti

-vo

s y

nega

tivos

.

La d

irec

ció

n al

ien

ta a

su

s em

plea

dos

a id

entif

icar

nue

-vo

s re

tos

y op

ortu

nida

des,

as

í co

mo

lo

s ri

esg

os

qu

e n

o es

tán

apro

pia

dam

ente

m

anej

ados

cu

ltu

rad

ead

min

istr

ació

nd

el

ries

go

El e

nfoq

ue e

s pr

imar

iam

ente

so

bre

la r

espu

esta

a c

risis

y

tiend

e a

ser r

eact

ivo

más

que

pr

oact

ivo.

Las

per

sona

s ti

ende

n a

ser

adve

rsas

al r

iesg

o.

El r

iesg

o se

iden

tific

a pr

ima-

riam

ente

a n

ivel

ope

raci

onal

y

de p

roye

cto.

El

conc

epto

de

adm

inis

trac

ión

del r

iesg

o es

ent

endi

do in

tuiti

vam

ente

y

prac

ticad

o so

bre

una

base

ad

hoc

. U

na a

pro

xim

ació

n ca

utel

osa

es t

omad

a so

bre

toda

la

adm

inis

trac

ión

del

rie

sgo.

La a

dmin

istr

ació

n de

l rie

sgo

se h

ace

pro

activ

amen

te p

ara

antic

ipar

ries

gos y

des

arro

llar

pla

nes

de

mit

igac

ión

. La

ad

min

istr

ació

n d

el r

iesg

o co

nsid

era

ries

gos

emer

gen-

tes

y es

pro

activ

o.

El e

nfoq

ue e

stá

en la

s op

or-

tuni

dade

s, y

no

just

amen

te

en l

a m

itiga

ción

del

rie

sgo.

La

s im

plic

acio

nes

del r

iesg

o so

n co

nsid

erad

as e

n to

das l

as

deci

sion

es im

port

ante

s.

Los

ries

gos

son

man

ejad

os

todo

el t

iem

po. L

as p

erso

nas

son

anim

adas

a se

r inn

ovad

o-ra

s. L

a or

gani

zaci

ón a

lient

a un

a cu

ltura

de

cont

inua

ca-

pac

itac

ión

y p

arti

cip

ació

n.

Los

emp

lead

os e

stán

alt

a-m

ente

com

prom

etid

os e

n lo

s lo

gros

de

la o

rgan

izac

ión

y su

p

apel

en

la a

dmin

istr

ació

n de

l rie

sgo.

La a

dmin

istr

ació

n de

l rie

sgo

es h

echa

a t

odo

nive

l en

la

org

aniz

ació

n,

y es

tá f

uer

-te

men

te i

nteg

rad

o co

n la

s pr

ácti

cas

de a

dmin

istr

ació

n de

la

orga

niza

ción

. La

s ex

-pe

ctat

ivas

ind

ivid

uale

s y

de

la o

rgan

izac

ión

en l

a ad

mi-

nist

raci

ón d

el r

iesg

o es

tán

sinc

roni

zada

s.

pap

ely

re

spo

nsa

bili

dad

es

ene

lman

ejo

del

ri

esg

o

Los

empl

eado

s no

se

ven

a si

m

ism

os c

omo

resp

onsa

bles

de

l m

anej

o de

l ri

esgo

. Lo

s pa

pele

s y

resp

onsa

bilid

ades

no

est

án d

ocum

enta

das y

no

son

clar

as.

El p

apel

y l

as r

esp

onsa

bili-

dade

s de

los

em

plea

dos

en

el m

anej

o de

l ri

esgo

est

án

sien

do e

stab

leci

das

(Ej.

des-

crip

ción

de

trab

ajos

) per

o no

so

n en

tend

idos

o s

egui

dos

en u

na m

aner

a co

nsis

tent

e,

los

indi

vidu

os e

ntie

nden

su

pape

l en

la g

estió

n de

l rie

sgo

intu

itiva

men

te.

Las r

espo

nsab

ilida

des y

com

-pr

omis

os e

n la

adm

inis

tra-

ción

del

rie

sgo

está

n cl

aros

, so

n co

mun

icad

os,

ente

ndi-

dos

y se

guid

os.

La a

dmin

istr

ació

n de

l rie

sgo

está

incl

uida

en

la c

ondu

cta

de lo

s adm

inis

trad

ores

, est

án

emp

od

erad

os

a m

anej

ar

ries

gos.

Las

res

pons

abili

da-

des

de l

os d

irec

tore

s en

el

man

ejo

del

ries

go s

on u

na

part

e in

tegr

al e

n la

med

ició

n de

sus

obj

etiv

os y

con

trat

os

de r

endi

mie

nto.

La a

dmin

istr

ació

n de

l rie

sgo

está

incl

uida

en

la c

ondu

cta

de lo

s em

plea

dos

a to

dos

los

nive

les

de l

a or

gani

zaci

ón.

Todo

s lo

s em

plea

dos

se v

en

a si

mis

mos

com

o ad

min

is-

trad

ore

s d

e ri

esg

o. L

a ad

-m

inis

trac

ión

del

ries

go e

stá

perf

ecta

men

te a

linea

das c

on

toda

s la

s re

spon

sabi

lidad

es

orga

niza

cion

ales

.

enca

den

amie

nto

a

laé

tica

ylo

sva

lore

sN

o ha

y po

lític

as d

e ét

ica

u o

rien

taci

on

es e

spec

ific

as.

Las

decl

arac

ione

s de

pol

ítica

so

n pu

blic

adas

en

una

base

“a

d ho

c”.

No

hay

una

clar

a de

clar

ació

n d

e va

lore

s co

mp

arti

do

s o

prin

cipi

os o

ate

nció

n a

cues

-ti

on

es l

egal

es o

asp

ecto

s po

lític

os.

La o

rgan

izac

ión

tiene

una

de-

clar

ació

n de

étic

a. L

a fil

osof

ía

de a

dmin

istr

ació

n de

l rie

sgo

está

ref

leja

da

en c

ód

igo

s es

crito

s de

dec

lara

cion

es d

e ét

ica

y va

lore

s. L

a fi

loso

fía

esta

ata

da a

con

side

raci

ones

po

lític

as y

lega

les.

Las

pol

íti-

cas e

scrit

as s

on c

omun

icad

as

a tr

avés

de

la o

rgan

izac

ión,

pe

ro s

on a

plic

adas

inco

nsis

-te

ntem

ente

.

Los

prin

cipi

os/o

rien

taci

ones

de

étic

a y

valo

res

y la

s co

n-si

der

acio

nes

leg

ales

/pol

íti-

cas

son

ente

ndid

os p

or l

os

empl

eado

s, y

son

apl

icad

os

cons

iste

ntem

ente

a tr

avés

de

la o

rgan

izac

ión.

La a

prox

imac

ión

a la

adm

i-ni

stra

ción

del

rie

sgo

está

es-

trec

ham

ente

alin

eada

con

los

valo

res

y pr

inci

pios

étic

os.

La é

tica

y lo

s va

lore

s ay

udan

al

adm

inis

trad

or a

tom

ar u

n ba

lanc

eado

ace

rcam

ient

o a

la a

dmin

istr

ació

n de

l rie

sgo

y a

reco

ncili

arlo

con

las f

uerz

as

exte

rnas

de

la c

ompe

tenc

ia.

La é

tica

y l

os v

alor

es r

eco

-n

oce

n co

nsi

der

acio

nes

de

ries

go

y so

n re

gula

rmen

te

los

lleva

dos

afue

ra.

Mej

oram

ient

os s

on h

echo

s.

La é

tica,

val

ores

y s

ensi

bilid

ad

a co

nsid

erac

ione

s leg

ales

/po-

lític

as s

on c

onsi

sten

tem

ente

re

flej

adas

en

las

prá

ctic

as

y ac

cion

es d

e la

org

aniz

a-ci

ón,

y el

ace

rcam

ient

o a

la

adm

inis

trac

ión

del

rie

sgo.

U

na

atm

ósf

era

de

mu

tua

vera

cida

d ex

iste

a t

odos

los

ni

vele

s. P

ocas

infr

acci

ones

o

inci

dent

es o

curr

en

ANEXO �


68

lid

era

zgo

y c

om

pro

mis

o e

n l

a a

dm

inis

tra

ció

n d

el r

iesg

o

lev

el o

F m

atu

rit

y1

23

45

lid

eraz

go

del

g

eren

teg

ener

alEl

man

ejo

del

riesg

o es

una

p

reo

cup

ació

n d

e lo

s g

e-re

ntes

, y

es t

rata

do

info

r-m

alm

ente

. Lo

s co

nce

pto

s de

man

ejo

del

riesg

o es

tán

mal

def

inid

os y

no

bien

en-

tend

idos

.

Las

inic

iativ

as d

e ad

min

istr

a-ci

ón d

el r

iesg

o es

tán

sopo

r-ta

das

por

el g

eren

te g

ener

al

sobr

e un

a ba

se “

ad h

oc”.

Los

ries

go

s so

n t

rata

do

s p

or l

os

ger

ente

s co

n b

ase

en c

onoc

imie

ntos

ad

hoc

a tr

avés

de

la o

rgan

izac

ión.

La

adm

inis

trac

ión

del r

iesg

o es

p

ract

icad

a re

gula

rmen

te a

ni

vel f

unci

onal

/ope

raci

onal

.

La a

dmin

istr

ació

n de

l rie

sgo

es u

na

acti

vid

ad f

orm

al y

re

gula

r de

l ger

ente

gen

eral

. El

ger

ente

gen

eral

iden

tific

a la

s prin

cipa

les á

reas

de

riesg

o y

cond

uce

a la

iden

tific

ació

n y

eval

uaci

ón d

e lo

s rie

sgos

es-

trat

égic

os d

e la

org

aniz

ació

n,

en c

onju

nció

n co

n el

pro

ceso

de

pla

nific

ació

n es

trat

égic

a,

y as

igna

rec

urso

s pa

ra d

irigi

r rie

sgos

.

El g

eren

te g

ener

al e

stá

en

el r

iesg

o. D

efie

nde

y su

per-

visa

el m

arco

de

man

ejo

del

ries

go d

epar

tam

enta

l. Es

tá

visi

ble

men

te i

mp

licad

o en

la

s in

icia

tivas

y p

ráct

icas

de

man

ejo

del r

iesg

o. C

omun

ica

la im

port

anci

a de

l man

ejo

del

riesg

o y

da e

jem

plo.

Des

arro

-lla

pla

nes

de

cont

ing

enci

a pa

ra p

oten

cial

es c

onse

cuen

-ci

as a

dver

sas.

Rec

urso

s ref

le-

jan

prio

ridad

es.

Lide

razg

o en

la

adm

inis

tra-

ción

del

rie

sgo

está

inm

erso

en

to

do

s lo

s n

ivel

es d

e la

o

rgan

izac

ión

. Lo

s ri

esg

os

estr

atég

icos

y o

pera

cion

ales

so

n m

anej

ados

en

una

form

a in

tegr

ada.

polít

icas

de

ries

go

y

elm

arco

de

refe

ren

cia

par

ala

ad

min

istr

ació

n

Sólo

las

polít

icas

de

agen

cias

ce

ntra

les

está

n di

spon

ible

s.

No

hay

una

docu

men

taci

ón

form

al d

e la

s po

lític

as d

e ad

-m

inis

trac

ión

del r

iesg

o a

nive

l de

part

amen

tal.

Alg

unas

po-

lític

as d

e ad

min

istr

ació

n de

l rie

sgo

han

sido

form

alm

ente

do

cum

enta

das

para

man

ejar

rie

sgos

esp

ecífi

cos.

En e

l ám

bito

dep

arta

men

tal

el m

arco

de

adm

inis

trac

ión

del

ries

go e

stá

bien

com

u-ni

cado

, us

ando

un

leng

uaje

co

mún

.

Pres

ente

en

las

pri

ncip

ales

ár

eas

de r

iesg

o, e

stá

sien

do

aplic

ado

a tr

avés

de

la o

rga-

niza

ción

y p

or l

os i

nver

sio

-ni

stas

, es

te m

arco

pre

sent

a lo

s ro

les,

res

pons

abili

dade

s y

prac

tica

s p

ara

la g

esti

ón

del r

iesg

o.

Las

polít

icas

de

adm

inis

tra-

ción

del

rie

sgo

par

a ár

eas

esp

ecíf

icas

de

la o

rgan

i-za

ció

n es

tán

form

alm

ente

do

cum

enta

das,

com

unic

adas

y

segu

idas

.

Met

odol

ogía

s de

ges

tión

de

riesg

o es

tán

disp

onib

les y

son

cons

iste

ntes

con

las

polít

icas

y

prac

ticas

de

adm

inis

trac

ión

de r

iesg

o de

part

amen

tal.

Las a

dher

enci

as a

las p

olíti

cas

de g

estió

n de

l rie

sgo

depa

r-ta

men

tal s

on s

uper

visa

das

y lle

vada

s a

cabo

. U

na m

eto-

dolo

gía

de g

estió

n de

rie

sgo

está

dis

pon

ible

, es

de

fáci

l en

tend

imie

nto

y ad

apta

ble

a va

rios

tip

os d

e ri

esgo

. Se

ti

enen

def

inid

os n

ivel

es d

e rie

sgo

acep

tabl

es p

ara

área

s es

peci

ficas

.

La p

olíti

ca d

e rie

sgo

mue

stra

lo

s ni

vele

s de

rie

sgo

acep

ta-

bles

por

dep

arta

men

tos.

Una

pe

rspe

ctiv

a m

ultid

isci

plin

aria

pa

ra l

a m

edic

ión

y re

spon

-sa

bilid

ad d

e lo

s ri

esgo

s es

-tr

atég

icos

y o

pera

tivo

s es

tá

disp

onib

le.

pap

ely

re

spo

nsa

bili

dad

es

del

ger

ente

gen

eral

El p

apel

y la

s re

spon

sabi

lida-

des

par

a la

adm

inis

trac

ión

del

ries

go n

o es

tán

clar

os.

Las

func

ione

s de

aud

itoría

y

revi

sión

son

vis

tas

com

o lo

s re

spon

sabl

es e

n la

iden

tific

a-ci

ón d

e lo

s rie

sgos

.

Los

espe

cial

ista

s so

n lo

s re

s-p

onsa

bles

de

gest

iona

r lo

s rie

sgos

y t

omar

las

acci

ones

es

est

as á

reas

. Ger

ente

s tan

to

a n

ivel

co

rpo

rati

vo c

om

o o

per

acio

nal

id

enti

fica

n y

re

spon

den

a lo

s ri

esgo

s de

un

a fo

rma

bási

ca e

intu

itiva

(a

d ho

c).

Un

proc

eso

form

al e

stá

dis-

poni

ble

por l

o qu

e el

ger

ente

ge

nera

l as

ume

resp

onsa

bi-

lidad

es p

or l

a an

tici

paci

ón,

sup

ervi

sió

n y

tom

a m

edi-

das

en p

ráct

icas

de

gest

ión

del

ries

go.

Los

ries

gos

son

iden

tific

ados

por

el

gere

nte

gene

ral

sobr

e un

a ba

se c

o-

lect

iva

y d

esar

rolla

pla

nes

de

acc

ión.

Las

resp

onsa

bilid

ades

por

la

gest

ión

del

ries

go s

on b

ien

ente

ndid

as p

or l

os g

eren

tes

a to

dos l

os n

ivel

es d

e la

org

a-ni

zaci

ón. L

a re

spon

sabi

lidad

d

e g

esti

ón d

el r

iesg

o es

tá

form

alm

ente

for

mul

adas

en

regi

stro

s de

acue

rdos

y/o

do-

cum

ento

s de

bue

n go

bier

no

y so

n co

mun

icad

as, a

plic

adas

y

supe

rvis

adas

.

La d

irec

ció

n h

a as

um

ido

un

ro

l d

e lid

eraz

go

en

la

adm

inis

trac

ión

por

el e

sta-

do

de

imp

lem

enta

ció

n d

e lo

s co

nce

pto

s d

el a

rte

de

gest

iona

r los

rie

sgos

y e

s co

-no

cida

com

o un

a in

nova

dora

en

ést

a ár

ea.

Los

ger

ente

s so

n a

men

ud

o lla

mad

os

a pr

opor

cion

ar c

onse

jos

a la

s ag

enci

as c

entr

ales

y o

tras

or

gani

zaci

ones

.

69

ANEXO �

inte

gr

ac

ión c

on o

tro

s si

stem

as

y pr

ác

tic

as

de

ad

min

istr

ac

ión

niv

el d

e m

ad

ur

ez1

23

45

enca

den

amie

nto

a

los

neg

oci

os

yla

pla

nea

ció

n

op

erat

iva

La a

dmin

istr

ació

n de

rie

sgos

n

o e

stá

enca

den

ada

con

los

proc

esos

de

plan

eaci

ón

op

erac

iona

l y

de

neg

oci

o.

La a

dmin

istr

ació

n de

l rie

sgo

no e

s to

mad

a co

mo

par

te

de la

pla

neac

ión

de n

egoc

io

ni d

entr

o de

un

cam

ino

for-

mal

izad

o.

Ries

gos

func

iona

les

son

ma-

neja

dos e

n un

a ba

se “

únic

a”.

El m

anej

o de

l rie

sgo

es to

ma-

do c

omo

part

e de

la p

lani

fi-

caci

ón d

el n

egoc

io/o

pera

cio-

nal

en e

l ni

vel

func

iona

l. La

ge

stió

n de

l rie

sgo

en a

lgun

as

inst

anci

as e

s to

mad

a co

mo

par

te d

e la

pla

neac

ión

del

nego

cio/

oper

acio

nal p

ero

no

es c

onsi

sten

te a

tra

vés

de la

or

gani

zaci

ón.

La a

dmin

istr

ació

n de

l rie

sgo

es u

na p

arte

int

egra

l de

la

plan

eaci

ón e

stra

tégi

ca y

de

nego

cio

a ni

vel d

epar

tam

en-

tal y

ope

raci

onal

. Los

ries

gos

está

n id

enti

fica

do

s en

lo

s pl

anes

ope

raci

onal

es/d

e ne

-go

cio,

y s

e de

sarr

olla

n pl

anes

d

e m

itig

ació

n. L

os r

iesg

os

estr

atég

icos

y o

pera

cion

ales

es

tán

alin

eado

s.

Los

plan

es d

e ne

goci

o/op

e-ra

cion

ales

por

tod

a la

org

a-ni

zaci

ón d

esta

can

cues

tione

s y

ries

gos

que

son

los

más

cr

ític

os p

ara

el é

xito

de

la

org

aniz

ació

n,

su n

ivel

de

prio

ridad

, su

s im

plic

acio

nes

en r

ecur

sos

y la

s m

edid

as

que

redu

cen

la p

roba

bilid

ad

e im

pact

o de

los

rie

sgos

. El

in

gres

o d

e in

vers

ioni

stas

y

clie

ntes

y s

us i

mpl

icac

ione

s,

son

co

nsi

der

ado

s en

lo

s an

ális

is d

e rie

sgo.

Inte

grac

ión

de I

nfor

mac

ión

finan

cier

a y

no f

inan

cier

a es

ut

iliza

da p

ara

la m

edic

ión

de

los

ries

gos

de

la o

rgan

iza-

ción

. U

n ra

ngo

de t

écni

cas

son

usad

as p

ara

la m

edic

ión

de

los

ries

go

s co

mo

par

te

de l

a pl

anea

ción

de

los

ne-

goci

os.

enca

den

amie

nto

a

lam

edic

ión

del

d

esem

peñ

o

La g

esti

ón

del

rie

sgo

no

es c

on

sid

erad

a co

mo

un

a m

edid

a de

des

empe

ño d

e-pa

rtam

enta

l.

La s

uper

visi

ón d

e lo

s rie

sgos

ha

ce p

arte

de

las

med

idas

de

dese

mpe

ño a

niv

el fu

ncio

nal.

Las

med

idas

de

dese

mpe

ño

del

rie

sgo

han

sid

o d

esa-

rrol

lada

s a

nive

l ope

raci

onal

p

ero

no

son

aplic

adas

en

form

a co

nsis

tent

e a

trav

és

de la

org

aniz

ació

n.

Exis

ten

resu

ltad

os d

e d

es-

empe

ño p

ara

la m

edic

ión

de

riesg

o a

nive

l de

proy

ecto

u

op

erac

ión

. Lo

s re

sult

ado

s so

n s

up

ervi

sad

os

con

tra

obje

tivos

. La

info

rmac

ión

es

valo

rada

por

ger

ente

s loc

ales

y

es u

sada

par

a la

tom

a de

d

ecis

ion

es y

la

pla

nea

ción

de

l neg

ocio

.

Exis

ten

res

ult

ado

s d

e la

s m

edid

as d

e rie

sgo

en l

a or

-ga

niza

ción

a n

ivel

est

raté

gico

y

oper

acio

nal.

Los r

esul

tado

s so

n in

terp

reta

dos

con

rela

-ci

ón a

los r

esul

tado

s de

otro

s in

dic

ado

res

corp

ora

tivo

s,

resa

ltad

os c

on s

egui

mie

nto

en e

l tie

mpo

. Es

tos

resu

lta-

dos

son

com

part

idos

en

una

form

a bá

sica

. Las

med

idas

de

riesg

o se

ref

inan

sob

re u

na

base

en

curs

o.

Los r

esul

tado

s de

las m

edid

as

de r

iesg

o so

n se

guid

as e

n el

ti

emp

o, l

as m

edic

ione

s es

-tr

atég

icas

y o

pera

tivas

est

án

enla

zada

s. L

os r

esul

tado

s de

la

s m

edid

as d

e ri

esg

o so

n us

ados

par

a re

tirar

neg

ocio

s po

r los

rie

sgos

eva

luad

os. L

a in

form

ació

n es

tá r

ealm

ente

ac

cesi

ble

por m

edio

de

sist

e-m

as d

e in

form

ació

n.

enca

den

amie

nto

al

niv

eld

ese

rvic

ioEl

man

ejo

del

ries

go n

o es

co

nsid

erad

o en

la re

aliz

ació

n de

mej

oras

a l

a en

treg

a de

se

rvic

ios.

La e

valu

ació

n de

ries

go e

s he-

cha

cons

ider

ando

opc

ione

s de

ent

rega

de

serv

icio

a n

ivel

de

pro

yect

o y

oper

acio

nal.

Esto

no

es h

echo

de

form

a co

nsi

sten

te a

tra

vés

de

la

orga

niza

ción

.

La g

esti

ón d

el r

iesg

o si

em-

pre

se

incl

uye

com

o p

arte

d

el p

roce

so d

e n

ego

cio

e in

icia

tiva

s d

e m

ejor

a en

la

entr

ega

de s

ervi

cios

. El

per

-so

nal

ha s

ido

entr

enad

o en

la

apl

icac

ión

de t

écni

cas

de

eval

uaci

ón d

e ri

esgo

con

si-

dera

ndo

opci

ones

.

Los

riesg

os h

an s

ido

iden

ti-

fica

dos

para

los

pri

ncip

ales

pr

oces

os d

e en

treg

a de

ser

vi-

cio

y so

n bi

en d

ocum

enta

dos

y en

tend

idos

a tr

avés

de

la o

r-ga

niza

ción

. C

ontr

oles

apr

o-p

iado

s en

rel

ació

n co

n lo

s rie

sgos

est

án d

ispo

nibl

es.

La m

ayor

par

te d

e la

org

a-n

izac

ión

tie

ne

ado

pta

das

fo

rmal

men

te m

edid

as d

e ca

lidad

com

o IS

O90

00.

Los

riesg

os h

an si

do id

entif

icad

os

com

o pa

rte

de e

se p

roce

so d

e ac

redi

taci

ón.

co

nti

nú

a


70

inte

gr

ac

ión c

on o

tro

s si

stem

as

y pr

ác

tic

as

de

ad

min

istr

ac

ión

niv

el d

e m

ad

ur

ez1

23

45

enca

den

amie

nto

a

lain

form

ació

n

de

adm

inis

trac

ión

d

epar

tam

enta

l

Info

rmac

ión

limit

ada

está

di

spon

ible

par

a ay

udar

en

la

eval

uaci

ón d

e rie

sgo.

La i

nfo

rmac

ión

op

erat

iva

exis

tent

e pa

ra a

sist

ir co

n la

ev

alua

ció

n d

e ri

esg

o va

ría

en g

rado

s po

r la

s un

idad

es

de

la o

rgan

izac

ión.

La

in-

form

ació

n e

s u

sual

men

te

reco

lect

ada

sobr

e un

a ba

se

inde

pend

ient

e.

La i

nfor

mac

ión

exis

te a

alto

n

ivel

par

a la

org

aniz

ació

n co

mo

un to

do, p

ero

con

limi-

tada

cap

acid

ad d

e de

talla

rla.

Info

rmac

ión

oper

ativ

a co

m-

plem

enta

ria e

stá

loca

lmen

te

ubic

ada

La i

nfor

mac

ión

de r

esul

ta-

dos

es f

ácilm

ente

acc

esib

le

por

toda

la o

rgan

izac

ión

en

sist

emas

de

info

rmac

ión.

La

info

rmac

ión

es u

sada

en

un

proc

eso

bási

co d

e m

edic

ión

de r

iesg

os.

Acc

eso

en l

ínea

a i

nfor

ma-

ción

adm

inis

trat

iva

med

iant

e so

fist

icad

as h

erra

mie

nta

s de

sop

orte

de

deci

sion

es y

m

od

elo

s d

isp

on

ible

s p

ara

sopo

rtar

la

eval

uaci

ón y

su-

perv

isió

n de

l rie

sgo

enca

den

amie

nto

a

lac

om

un

icac

ión

in

tern

ay

retr

oal

imen

taci

ón

so

bre

rie

sgo

s

No

hay

cana

les d

e co

mun

ica-

ción

for

mal

dis

pues

tos

para

re

port

ar e

vent

os d

e rie

sgo

Las

com

unic

acio

nes

inte

rnas

de

rie

sgo

se d

an p

rinc

ipal

-m

ente

com

o cu

mpl

imie

nto

a la

legi

slac

ión,

la re

gula

ción

y

la p

olíti

ca in

tern

a.

Hay

com

unic

ació

n “a

d ho

c”

sobr

e ev

ento

s de

ries

go d

en-

tro

de l

as u

nida

des

orga

ni-

zaci

onal

es p

ara

la t

oma

de

deci

sion

es

Los g

eren

tes t

iend

en a

trab

a-ja

r po

r se

para

do c

on a

lgun

a in

tera

cció

n.

Hay

co

mun

icac

ión

dir

ecta

y

tran

spar

ente

a t

odo

nive

l en

la

org

aniz

ació

n s

ob

re

riesg

os y

acc

ione

s to

mad

as.

Los

gere

ntes

pro

veen

retr

oa-

limen

taci

ón s

obre

la g

estió

n de

l rie

sgo

dent

ro d

e su

s jer

ar-

quía

s. A

lgo

de i

nfor

mac

ión

se c

ompa

rte

a tr

avés

de

la

orga

niza

ción

.

La i

nfor

mac

ión

de

ges

tión

d

el r

iesg

o e

s co

mp

arti

da

entr

e la

s un

idad

es o

rgan

iza-

cion

ales

. Los

em

plea

dos

son

mot

ivad

os a

dis

cutir

mej

ores

pr

áctic

as y

ens

eñar

lecc

ione

s.

esfu

erzo

s pr

o-ac

tivos

se

ha-

cen

par

a co

mp

arti

r nu

evas

id

eas

y le

ccio

nes

apre

ndid

as

dent

ro d

e la

org

aniz

ació

n.

Las m

ejor

es p

ráct

icas

se

com

-p

arte

n en

tre

las

un

idad

es

org

aniz

acio

nale

s d

e fo

rma

estr

uctu

rada

. Un

gran

ran

go

de m

edio

s (c

omo

Inte

rnet

) es

usa

do

par

a co

mu

nic

ar

even

tos

de r

iesg

o a

toda

la

orga

niza

ción

, e

invo

lucr

ar a

to

dos

los

em

ple

ados

en

la

gest

ión

del

riesg

o. L

a in

for-

mac

ión

sobr

e m

ejor

es p

ráct

i-ca

s es

inte

grad

a y

fáci

lmen

te

acce

sibl

e.

enca

den

amie

nto

a

lac

om

un

icac

ión

co

n

inve

rsio

nis

tas

Los

inve

rsio

nist

as h

an s

ido

iden

tifi

cado

s, p

ero

no h

ay

un

a co

mu

nic

ació

n f

orm

al

o co

noci

mie

nto

de s

us n

e-ce

sida

des

de i

nfor

mac

ión

o to

lera

ncia

al r

iesg

o.

Se d

an c

omun

icac

ione

s “a

d ho

c” c

on lo

s in

vers

ioni

stas

y

hay

algú

n en

tend

imie

nto

de

sus

nece

sida

des

de in

form

a-ci

ón y

tole

ranc

ia a

l rie

sgo.

La

info

rmac

ión

es c

omun

icad

a so

bre

la b

ase

de “

nece

sito

co

noce

r”

Proc

esos

y m

arco

s ha

n si

do

impl

emen

tado

s pa

ra r

egul

ar

la c

om

un

icac

ión

co

n l

os

inve

rsio

nist

as (

acci

oni

stas

) so

bre

ries

go y

op

erac

ione

s y

tole

ran

cia

al r

iesg

o.

La

info

rmac

ión

es c

ompa

rtid

a ab

iert

amen

te c

on l

os i

nver

-si

onis

tas

sobr

e un

a ba

se d

e to

tal t

rans

pare

ncia

y e

s fá

cil-

men

te a

cces

ible

en

un fo

rma-

to “

amig

able

al u

suar

io”.

Las

estr

ateg

ias,

ob

jeti

vos,

ri

esgo

s y

táct

icas

de

la o

r-g

aniz

ació

n p

ara

ges

tio

nar

lo

s rie

sgos

y l

a to

lera

ncia

al

ries

go s

on e

fect

ivam

ente

y

efic

ien

tem

ente

co

mu

nic

a-do

s a

los

inve

rsio

nist

as.

La

orga

niza

ción

reg

ular

men

te

rep

ort

a su

des

emp

eño

en

la g

esti

ón

del

rie

sgo.

Re-

tro

alim

enta

cio

nes

de

los

inve

rsio

nist

as s

on o

bten

idas

e

inco

rpor

adas

en

el c

iclo

de

plan

eaci

ón d

el r

iesg

o.

La o

rgan

izac

ión

y su

s in

ver-

sion

ista

s re

cono

cen

y ac

ep-

tan

que

algu

nos

resu

ltad

os

nega

tivo

s so

n in

evit

able

s y

está

n p

revi

amen

te,

com

u-

nica

dos.

La a

ten

ció

n a

la m

edic

ión

de

la g

esti

ón

del

rie

sgo

y lo

s in

tere

ses

de lo

s in

vers

io-

nis

tas

está

n ó

pti

mam

ente

ba

lanc

eado

s. L

a or

gani

zaci

ón

tien

e al

ta c

redi

bilid

ad a

los

oj

os d

e lo

s in

vers

ioni

stas

con

re

spec

to a

la a

dmin

istr

ació

n de

l rie

sgo.

co

nti

nu

ac

ión

71

ANEXO �

Ha

bil

ida

des

en l

a a

dm

inis

tra

ció

n d

el r

iesg

o

niv

el d

e m

ad

ur

ez1

23

45

co

mp

eten

cias

en

ad

min

istr

ació

nd

el

ries

go

Exis

te p

oca

o ni

ngun

a in

for-

mac

ión

a ce

rca

de r

eque

ri-

mie

ntos

de

com

pete

ncia

s de

ad

min

istr

ació

n d

el r

iesg

o.

La g

estió

n de

l rie

sgo

no s

e p

erci

be

com

o un

a co

mp

e-te

ncia

form

al. E

l con

cept

o de

ad

min

istr

ació

n de

l rie

sgo

no

esta

bie

n en

tend

ido.

Las

com

pete

ncia

s en

con

o-

cim

ient

o d

e ri

esg

o se

han

id

enti

fica

do

y el

hue

co d

e ha

bilid

ades

se

ha e

stab

leci

-do

. Se

sion

es d

e co

ncie

ncia

se

han

real

izad

o pe

ro p

oca

o ni

ngun

a ca

paci

taci

ón fo

rmal

ha

sid

o da

da.

Educ

ació

n en

el m

anej

o de

l ri

esgo

tie

ne a

lta

prio

rida

d.

El h

ueco

de

habi

lidad

es e

stá

sien

do

ate

nd

ido

. R

equ

e-ri

mie

nto

s d

e ca

pac

itac

ión

está

n si

end

o en

cau

sad

os.

H

ay u

n “c

ruce

-fér

til”

ent

re

espe

cial

ista

s y

gere

ntes

.

Las c

ompe

tenc

ias y

la c

apac

i-ta

ción

en

gest

ión

del r

iesg

o so

n un

com

pone

nte

inte

gral

de

los

pla

nes

de e

nseñ

anza

in

div

idu

al.

Los

emp

lead

os

han

sid

o en

tren

ado

s y

los

huec

os d

e ha

bilid

ades

ate

n-d

ido

s. L

a ca

pac

itac

ión

en

ges

tió

n d

el r

iesg

o es

un

a pa

rte

inte

gral

del

pro

gram

a d

e ca

pac

itac

ión

dep

arta

-m

enta

l..

Las

may

ores

inv

ersi

ones

es-

tán

en e

l des

arro

llo d

el p

er-

sona

l. La

org

aniz

ació

n es

tá

cont

inu

amen

te r

eno

van

do

las

com

pete

ncia

s re

quer

ida

en l

a ge

stió

n de

l ri

esgo

. La

or

gani

zaci

ón e

s con

ocid

a po

r su

cap

acit

ació

n en

ges

tión

de

rie

sgo.

técn

icas

en

ges

tió

n

del

rie

sgo

Lim

itad

as t

écni

cas

y he

rra-

mie

ntas

est

án d

isp

on

ible

s pa

ra l

a co

nduc

ción

de

aná-

lisis

de

riesg

os. L

os g

eren

tes

tien

den

a us

ar s

us p

ropi

os

acer

cam

ient

os in

divi

dual

es.

Las

técn

icas

lim

itad

as s

e fo

caliz

an e

n ár

eas e

spec

ífica

s (p

or

ej.

ries

go

fin

anci

ero,

rie

sgo

ambi

enta

l, se

gurid

ad

ocup

acio

nal

y sa

lud,

adm

i-ni

stra

ción

de

proy

ecto

s de

te

cnol

ogía

de

info

rmac

ión)

.

Ger

ente

s ac

ced

en a

var

ios

mod

elos

ana

lític

os,

técn

icas

e

inst

rum

ento

s d

e to

ma

de

dec

isió

n q

ue

inte

gra

n in

form

ació

n fin

anci

era

y no

fi

nanc

iera

par

a an

ális

is d

e rie

sgo.

Las

her

ram

ient

as s

on

utili

zada

s co

n el

sop

orte

de

espe

cial

ista

s. L

os e

spec

ialis

-ta

s en

tiend

en lo

s be

nefic

ios

y lim

itac

ione

s de

las

her

ra-

mie

ntas

y m

odel

os

Hay

un

a g

ama

bie

n d

esa-

rrol

lada

y a

mpl

ia d

e in

stru

-m

ento

s de

apo

yo e

n la

tom

a d

e d

ecis

ion

es y

mo

del

os

tota

lmen

te e

nte

nd

ido

s y

usad

os p

or t

odo

el

per

so-

nal.

El p

erso

nal e

ntie

nde

los

ben

efic

ios

y lím

ites

de

las

herr

amie

ntas

y m

odel

os. L

as

herr

amie

ntas

son

una

par

te

inte

gral

del

aná

lisis

del

ries

go

hec

ho

com

o so

po

rte

par

a la

tom

a de

dec

isio

nes.

Más

h

erra

mie

nta

s so

fist

icad

as

está

n di

spon

ible

s. H

ay tr

ans-

fere

nci

a d

e co

no

cim

ien

to

entr

e lo

s es

peci

alis

tas

y lo

s ge

rent

es.

Las

herr

amie

ntas

de

gest

ión

del

ries

go e

stán

int

egra

das

con

las

técn

icas

y h

erra

mie

n-ta

s d

e ad

min

istr

ació

n d

e-pa

rtam

enta

l. Ex

iste

n fu

erte

s la

zos

con

los

sist

emas

de

in-

form

ació

n de

ges

tión

depa

r-ta

men

tal.

Las

herr

amie

ntas

y

mod

elos

son

eva

luad

os p

e-rió

dica

men

te y

act

ualiz

ados

co

n ba

se e

n la

s más

reci

ente

s te

cnol

ogía

s.

sop

ort

ed

ees

pec

ialis

tas

Los

esp

ecia

lista

s n

o es

tán

disp

onib

les

para

pro

veer

los

anál

isis

de

riesg

o qu

e re

quie

-re

n lo

s ge

rent

es p

ara

sopo

r-ta

r la

tom

a de

dec

isio

nes.

Los

esp

ecia

lista

s re

aliz

an

el a

nális

is d

e ri

esgo

bás

ico

de l

as o

pcio

nes

de l

a di

rec-

ción

par

a ap

oyar

la t

oma

de

deci

sion

es,

en r

esp

uest

a a

requ

erim

ient

os e

spec

ífico

s y

com

o pa

rte

de s

us m

anda

tos

de c

ontr

ol i

nter

no.

Los

es-

peci

alis

tas

bási

cam

ente

son

us

ados

esp

orád

icam

ente

. Los

ge

rent

es e

ntie

nden

cua

ndo

nece

sita

n so

port

e

Los

espe

cial

ista

s so

n co

noci

-do

s en

tod

a la

org

aniz

ació

n y

son

a m

enu

do

llam

ado

s po

r los

ger

ente

s par

a pr

ovee

r an

ális

is y

con

sejo

con

resp

ec-

to a

la

gest

ión

de e

vent

os

de

ries

go

esp

ecíf

ico

s. L

os

esp

ecia

lista

s d

an s

ervi

cio

s d

e m

aner

a o

po

rtu

na.

Lo

s ge

rent

es s

on c

onci

ente

s de

có

mo

usar

mej

or e

l sop

orte

de

los

espe

cial

ista

s.

Los

reto

s y

el p

apel

de

los

expe

rtos

con

sejo

s de

los

es-

peci

alis

tas

son

valo

rado

s po

r to

dos

los

nive

les

de la

adm

i-ni

stra

ción

. Lo

s es

peci

alis

tas

son

vist

os c

omo

la p

rinci

pal

man

era

de in

icia

r el

cam

bio.

El

los

tiene

n el

con

ocim

ient

o de

pro

gram

as y

ope

raci

ones

, y

pued

en a

plic

ar h

erra

mie

n-ta

s m

ás a

vanz

adas

. Lo

s ge

-re

ntes

est

án f

amili

ariz

ados

co

n el

gru

po d

e he

rram

ient

as

disp

onib

les.

Exi

sten

cen

tro

s d

e ex

ce-

len

cia

par

a la

ges

tió

n d

el

ries

go

con

la h

abili

dad

de

acon

seja

r so

bre

even

tos

de

gest

ión

del

ries

go,

con

una

bas

e in

tegr

ada

de e

quip

os

mul

tidi

scip

linar

ios.

Lo

s es

-pe

cial

ista

s tie

nen

un a

mpl

io

ente

nd

imie

nto

en a

sunt

os

estr

atég

icos

, ope

raci

onal

es y

fu

ncio

nale

s. L

os e

spec

ialis

tas

goza

n de

rec

onoc

imie

nto

al

exte

rior

de la

org

aniz

ació

n.


72

rep

or

te y

co

ntr

ol

niv

el d

e m

ad

ur

ez1

23

45

exp

lora

ció

n

de

amen

azas

y

op

ort

un

idad

es

exte

rnas

Se h

acen

in

vest

igac

ion

es

ambi

enta

les

no f

orm

ales

. La

eval

uaci

ón d

e op

ortu

nida

des

y am

enaz

as e

xter

nas

se h

ace

con

base

s in

form

ales

.

Las

inve

stig

acio

nes

ambi

en-

tale

s se

hac

en c

on b

ases

li-

mita

das.

Hay

poc

a o

ning

una

agre

gaci

ón d

e re

sult

ados

.

Las

inve

stig

acio

nes

ambi

en-

tale

s se

hac

en r

egul

arm

ente

so

bre

sopo

rtes

de

plan

eaci

ón

estr

atég

ica.

Los

res

ulta

dos

del a

mbi

ente

exp

lora

do s

on

entr

ada

de l

plan

est

raté

gico

y

son

cons

ider

ado

s us

ual-

men

te p

or lo

s ge

rent

es.

Los

resu

ltad

os d

e la

s in

ves-

tiga

cion

es a

mbi

enta

les

son

revi

sado

s en

el

tiem

po.

Se

hace

n an

ális

is d

e lo

s pa

tro

-ne

s y

tend

enci

as y

est

os s

on

usad

os c

omo

entr

adas

en

los

proc

esos

de

plan

eaci

ón.

La o

rgan

izac

ión

usa

las

más

re

cien

tes

met

odol

ogía

s pa

ra

inve

stig

acio

nes a

mbi

enta

les.

Lo

s re

sult

ados

se

com

part

en

con

los

prin

cipa

les

inve

rsio

-ni

stas

(acc

ioni

stas

).

co

ntr

ole

sLo

s co

ntro

les

exis

tent

es n

o es

tán

unid

os a

los

obje

tivos

co

rpo

rati

vos

o a

pet

ito

al

riesg

o. N

o ha

y cr

iterio

s pa

ra

eval

uar

cuan

do la

s pr

áctic

as

de

ges

tió

n d

el r

iesg

o so

n ef

icie

ntes

y e

fect

ivas

.

Los

con

tro

les

son

usa

do

s so

bre

una

base

em

píric

a pa

ra

resp

onde

r a

nuev

os r

iesg

os

y a

cam

bios

am

bien

tale

s. E

l co

sto/

bene

fici

o de

los

con

-tr

oles

es

cons

ider

ado

sobr

e un

a ba

se e

mpí

rica.

Los

cont

role

s ha

n si

do e

s-ta

blec

idos

par

a re

flej

ar l

os

obje

tivos

y e

l ape

tito

al r

ies-

go. E

l cum

plim

ient

o de

eso

s co

ntro

les

es s

uper

visa

do y

m

edid

o pa

ra c

ada

func

ión.

El

co

sto

/ben

efic

io d

e lo

s co

ntr

ole

s es

co

nsi

der

ado

regu

larm

ente

en

la i

mp

le-

men

taci

ón d

e pr

ácti

cas

de

adm

inis

trac

ión

del r

iesg

o.

Los

cont

role

s pu

esto

s es

tán

desa

rrol

lado

s tan

to p

ara

pre-

veni

r co

nsec

uenc

ias

nega

ti-

vas

lo m

ism

o qu

e pa

ra p

ro-

mov

er r

esul

tado

s po

siti

vos.

El

sig

nifi

cado

del

rie

sgo

lo

mis

mo

que

el c

osto

/ben

efic

io

de lo

s con

trol

es s

on c

onsi

de-

rado

s en

la im

plem

enta

ción

de

pra

ctic

as d

e ge

stió

n de

l rie

sgo.

El a

mbi

ente

de

cont

rol

está

en

cade

nado

a l

os o

bjet

ivos

d

epar

tam

enta

les

y el

ap

e-ti

to a

l ri

esg

o. L

a g

esti

ón,

d

el r

iesg

o se

im

ple

men

tó

cons

ider

ando

al

sign

ific

ado

del r

iesg

o, e

l cos

to/b

enef

icio

de

los

con

trol

es y

la

mez

cla

de l

os t

ipos

de

cont

rol.

Las

herr

amie

ntas

est

án p

uest

as

para

med

ir la

rep

rese

ntat

i-vi

dad

de lo

s rie

sgos

, cal

cula

r el

cos

to/b

enef

icio

de

los c

on-

trol

es y

est

able

cer

la m

ezcl

a ap

ropi

ada

de c

ontr

oles

.

just

ific

ació

nN

o ha

y ju

stif

icac

ión

de l

as

deci

sion

es o

es

inco

mpl

eta.

Se p

rese

nta

ju

stif

icac

ión

empí

rica

de la

s de

cisi

ones

e

incl

uye

do

cum

enta

ción

de

supu

esto

s, m

étod

os,

fuen

te

de d

atos

y r

esul

tado

s.

Do

cum

enta

ción

ap

rop

iada

de

las

dec

isio

nes

esta

fác

il-m

ente

dis

pon

ible

en

pap

el

y fo

rmat

os e

lect

róni

cos

y es

ap

ropi

ado

en l

ínea

con

los

co

ntro

les,

pol

ítica

s y

proc

e-di

mie

ntos

.

El a

lcan

ce d

e la

doc

umen

-ta

ción

for

mal

est

á at

ado

a la

sig

nifi

canc

ía d

el r

iesg

o y

la d

ocum

enta

ción

es

acce

-si

ble

a la

org

aniz

ació

n co

n fr

ecue

ncia

par

a su

perv

isió

n,

tom

a de

dec

isio

nes

y en

tre-

nam

ient

o or

gani

zaci

onal

.

Los

proc

esos

de

la o

rgan

iza-

ción

(in

cluy

endo

la

gest

ión

del

ries

go)

sigu

en f

orm

ales

cr

iter

ios

de c

alid

ad d

e un

a in

stit

ució

n re

cono

cida

por

ej

. C

umpl

ir IS

O y

sat

isfa

cer

está

ndar

es d

e do

cum

enta

-ci

ón IS

O.

med

ició

ny

su

per

visi

ón

No

se ti

ene

un m

arco

de

me-

dici

ón p

ara

eval

uar l

as p

ráct

i-ca

s de

ges

tión

del r

iesg

o.

El m

arco

de

eval

uaci

ón e

xist

e pa

ra m

edir

el p

rogr

eso

en la

im

plem

enta

ción

de

la g

es-

tión

del r

iesg

o. E

l crit

erio

se

ha s

ido

desa

rrol

lado

y e

sta

gene

ralm

ente

ace

ptad

o po

r la

adm

inis

trac

ión.

El p

rog

reso

en

la

imp

le-

men

taci

ón

de

la g

esti

ón

del r

iesg

o ha

sid

o ev

alua

do.

Indi

cado

res p

ara

med

ir re

sul-

tado

s, c

omo

cons

ecue

ncia

de

l mej

or m

anej

o de

l rie

sgo,

ha

n si

do d

esar

rolla

dos.

La in

form

ació

n ha

sid

o re

co-

gida

par

a m

edir

resu

ltad

os

alca

nza

do

s, c

om

o c

on

se-

cuen

cia

del

mej

or

man

ejo

del r

iesg

o. L

a In

form

ació

n no

es

tá d

ispo

nibl

e en

una

bas

e de

ten

denc

ias.

El f

unci

onam

ient

o es

med

i-do

con

tra

indi

cado

res

y lo

s re

sult

ados

son

rast

read

os e

n el

tie

mpo

. Lo

s pl

anes

de

ac-

ción

son

des

arro

llado

s pa

ra

mej

orar

el

func

iona

mie

nto,

y

acci

ones

se

tom

an c

uand

o se

req

uier

e. L

os i

ndic

ador

es

de

fun

cio

nam

ien

to y

las

pr

ueba

s pat

rón

son

refin

adas

y

pues

tas

al d

ía e

n un

a ba

se

en c

urso

.

7�

cobittabla de resumenAnexo4

objetivos de control para la inFormación y tecnologías aFines

controles de proceso

procesos

pc1 Definir objetivos y metas del proceso

pc2 Definir el propietario del proceso

pc3 Diseñar un proceso repetible

pc4 Definir roles y responsabilidades

pc5 Definir políticas, planes y procedimientos

pc6 Definir mejoramiento en el desempeño del proceso

controles de aplicación

aplicación

Ac1 Preparar y autorizar datos fuente

Ac2 Recolectar e ingresar datos fuente

Ac3 Verificar que los datos son completos, auténticos y exactos

Ac4 Mantener la validez e integridad del procesamiento

Ac5 Revisar y reconciliar datos de salida y manejar errores

Ac6 Verificar la integridad y autenticidad de las transacciones

controles genéricos de control para los procesos de tecnología de inFormación

74

dominio proceso

criterios de inFormación

recursos de ti

e e c i a c r p a t F d

plan

eaci

ón

yo

rgan

izac

ión

PO1 Definir un plan estratégico de sistemas P S X X X X X

PO2 Definir la arquitectura de información P S S S X X

PO3 Determinar la dirección tecnológica P S X X

PO4 Definir la organización y sus relaciones P S X

PO5 Administrar las inversiones (en TI) P P S X X X X

PO6 Comunicar la dirección y objetivos de la gerencia P S X

PO7 Administrar los recursos humanos P P X

PO8 Asegurar el apego a disposiciones externas P P S X X X

PO9 Evaluar riesgos S S P P P S S X X X X X

PO10 Administrar proyectos P P X X X X

PO11 Administrar calidad P P P S X X

Ad

qu

isic

ión

e

imp

lem

enta

ció

n

AI1 Identificar soluciones de automatización P S X X X

AI2 Adquirir y mantener software de aplicación P P S S S X

AI3 Adquirir y mantener la arquitectura tecnológica P P S X

AI4 Desarrollar y mantener procedimientos P P S S S X X X X

AI5 Instalar y acreditar sistemas de información P S S X X X X X

AI6 Administrar cambios P P P P S X X X X X

controles generales de tecnología de inFormación

tabla resumen

criterios de inFormación recursos de ti

e EFECTIVIDAD p RECURSOS HUMANOS

e EFICIENCIA A SISTEMAS DE INFORMACIÓN

c CONFIDENCIALIDAD t TECNOLOGÍA

I INTEGRIDAD f INSTALACIONES

A DISPONIBILIDAD d DATOS

c CUMPLIMIENTO

r CONFIABILIDAD

75

dominio proceso

criterios de inFormación

recursos de ti

e e c i a c r p a t F d

entr

ega

de

serv

icio

s y

sop

ort

e

DS1 Definir niveles de servicio P P S S S S S X X X X X

DS2 Administrar servicios de terceros P P S S S S S X X X X X

DS3 Administrar desempeño y capacidad P P S X X X

DS4 Asegurar continuidad de servicio P S P X X X X X

DS5 Garantizar la seguridad de sistemas P P S S S X X X X X

DS6 Identificar y asignar costos P P X X X X X

DS7 Educar y capacitar a usuarios P S X

DS8 Apoyar y orientar a clientes P X X

DS9 Administrar la configuración P S S X X X

DS10 Administrar problemas e incidentes P P S X X X X X

DS11 Administrar la información P P X

DS12 Administrar las instalaciones P P X

DS13 Administrar la operación P P S S X X X X

mo

nit

ore

o M1 Monitorear el proceso P S S S S S S X X X X X

M2 Evaluar lo adecuado del control interno P P S S S S S X X X X X

M3 Obtener aseguramiento independiente P P S S S S S X X X X X

M4 Proporcionar auditoría independiente P P S S S S S X X X X X

tabla resumen

criterios de inFormación recursos de ti

e EFECTIVIDAD p RECURSOS HUMANOS

e EFICIENCIA A SISTEMAS DE INFORMACIÓN

c CONFIDENCIALIDAD t TECNOLOGÍA

I INTEGRIDAD f INSTALACIONES

A DISPONIBILIDAD d DATOS

c CUMPLIMIENTO

r CONFIABILIDAD

ANEXO 4

rol de la auditoria interna y la gestión de riesgos

Documents