COLEGIO DE CONTADORES

PUBLICOS DE LIMA

IDENTIFICACIN, EVALUACIN Y
TRATAMIENTO DE RIESGOS Bajo el Modelo
COSO ERM (Enterprise Risk Management)
Expositor: Mag. CPC. Mario Vergara Silva

DIRECCION DE CERTAMENES Y CONFERENCIAS

 MARCO CONCEPTTUAL Y
ANTECEDENTES DEL RIESGO
..\Anexo RIESGOS EN CASA.pdf

2
 RIESGO EN LA ANTIGUEDAD LOGO

Desde la antigedad el hombre ha tomado riesgos, por

el gusto de los juegos de azar. Evidencia de esto se
encuentra en la Biblia, cuando los soldados de Poncio
Pilato jugaron en las vestiduras de Jess a los dados.
Igual los GRIEGOS buscaban respuestas a hechos
futuros y consultaban e ORCULO DE DELFOS.
Por otro lado, la tribu de los ASIPU observaban los
presagios de los Dioses, y luego registraban todo y
evaluaban los puntos a favor o en contra, para luego
recomendar la alternativa ms favorable. Este vendra
ser el primer caso conocido de ANALISIS DE RIESGOS
estructurado.
Igual los GRIEGOS buscaban respuestas a hechos
futuros y consultaban e ORCULO DE DELFOS.
3
Luego del Descubrimiento de Amrica y la obtencin de
riquezas, los exploradores y hombres de negocios,
desarrollaron habilidades para pronosticar resultados no
previstos.
Se incorpor el concepto de PROBABILIDAD. Tal es as
que GALILEO (1564 A 1642), analiza, a travs de sus
obras, la frecuencia de diversas combinaciones y posibles
resultados al tirar los dados.
Tiempo despus se propiciaron aplicaciones, para riesgos
de seguros, inversiones, pronstico de tiempo, estrategia
de guerra, etc.
A mediados del SIGLO XVIII en Londres emergen los
SEGUROS MARITIMOS.
Anexo Eval Riesgos ARQUITECTURA INCA pdf.pdf

Anexo Comentarios Reales de los Incas GDLV Pag 389 a 393.pdf

4
 LOGO
DEFINICION DE RIESGO

La palabra RIESGO proviene del Italiano RISICARE, que

significa Desafiar, retar, enfrentar, atreverse. En el
Diccionario Espaol Latino se define como Peligro,
Tentativa, exponerse a un peligro, lanzarse.
Riesgo es la probabilidad de prdida
Riesgo es incertidumbre
Riesgo es la desviacin del resultado actual con relacin
al resultado esperado; o que el Resultado sea diferente
al esperado
Riesgo es la posibilidad de ocurrencia de un evento que
puede afectar el cumplimiento de los objetivos

5
RIESGO EMPRESARIAL Y SUS
ORIGENES

6
 EL RIESGO Y EL SECTOR ASEGURADOR

Uno de los campos donde ms se ha utilizado y

desarrollado el concepto riesgo es en el de seguros, debido
a que tratan de riesgos puros que enfrentan individuos y
negocios.
El manejo del riesgo a travs de un asegurador se inici en
el transporte martimo.
Este tipo de contratos, aunque costosos, constituyeron el
inicio del mercado de seguros, y despus paso a otros
campos, como el seguro de vida.
El desarrollo industrial trajo consigo un incremento de los
riesgos en las empresas, debido a los contantes cambios y a
la diversidad de materiales, productos, herramientas,
procesos, con el cual el sector asegurador creci.

7
 EL RIESGO Y LOS INSTRUMENTOS
FINANCIEROS
En las ltimas dcadas se han desarrollado INSTRUMENTOS
FINANCIEROS, entre los que destacan los Derivados
Financieros, tales como: OPCIONES, FUTUROS Y SWAPS,
diseados para proteger las inversiones ante las fluctuaciones
de los PRECIOS, LAS TASAS DE CAMBIO, TASAS DE
INTERES, COMMODITIES, etc, y que requieren en muchos
de casos, medir el riesgo de los INSTRUMENTOS
FINANCIEROS, utilizando una serie de probabilidades.
El acuerdo de BASILEA en 1975 fue alcanzado por las
autoridades de SUPERVISION BANCARIA de las 10
potencias mundiales de entonces, a travs de los aos ha
expedido varios documentos en los que incluye directrices
sobre el manejo de los riesgos de crdito, de tasa de inters,
de liquidez y el riesgo operativo.
8
EL RIESGO DESDE LA PERSPECTIVA DE
CONTROL ORGANIZACIONAL
En la poca de la REVOLUCION INDUSTRIAL la
Administracin se centraba en la Eficiencia del trabajador
como recurso bsico para la produccin, el control se
ejerca en forma estricta sobre el EMPLEADO, basndose
en la Divisin del Trabajo y en la Especializacin de las
tareas, con el fin de evitar desviaciones de lo planeado y
disminuir los Riesgos.
Con FAYOL, al dividir la funcin Administrativa en
PLANEACION, ORGANIZACIN, DIRECCION,
EJECUCION Y CONTROL, se establece la importancia de
este ltimo, pero se le ubica AL FINAL DEL PROCESO
ADMINISTRATIVO como una accin posterior. Esto impide
pensar en la prevencin como elemento de Control, que
permite anticiparse a los Riesgos, analizndolos y
definiendo
9
acciones necesarias para evitarlos.
Posteriormente, a nivel internacional se han
propuesto varios Modelos de Control, que incluye el
COSO a partir de 1992.
Para todos los casos, de acuerdo con el recuento
de los desarrollos presentados a nivel mundial
sobre el TEMA DEL RIESGO, se puede concluir que
la humanidad siempre ha estado inquieta con el
futuro y con los riesgos que ste le depara, y ha
intentado encontrar desde diferentes disciplinas la
forma de manejarlos con el fin de disminuir su
ocurrencia o contrarrestar sus efectos.

10
 RIESGOS GENERADOS EN LA
EMPRESA
Las Empresa al ejecutar sus procesos en busca del cumplimiento
de sus objetivos, pueden verse abocadas a un sin numero de
RIESGOS PROPIOS, ESPECIFICOS e INDIVIDUALES: estos
riesgos son llamados:
Riesgos Inherentes, No Sistemticos
Anexo RIESGOS INUNDACIONES Open Plaza sigue sin abrir sus puertas en Piura a casi un mes de
inundacin.pdf
Anexo RIESGOS INUNDACIONES RIPLEY SAGA y RENZO COSTA Marzo 2017.pdf

Riesgo de Reputacin Anexo RIESGO REPUTACIONAL - Grupo Gloria 2017.pdf

Riesgo Estratgico, De mercado y Riesgos de Precios
Los incrementos en las tasas de inters
El riesgo de liquidez y el Riesgo de crdito
Riesgos asociados al PAS, la regin y la ciudad de ubicacin
Anexo Riesgos Pais AMERICA LATINA 2014 a 2017 JP MORGAN.pdf

12 de Ago 2017 Donald Trump no descarta la opcin militar en Venezuela.pdf

11
 LOGO
NIVELES DE RIESGOS EN LA EMPRESA
NIVEL DEL RIESGO DE LA EMPRESA
FACTOR DE RIESGO

BAJO ALTO
Situacin de la Economa del Pas en la que Buena Mala
opera

El tipo de la industria en la que est localizada Establecida y madura. Nueva. Susceptible de

Poco influenciada por cambios externos
factores externos

Sistema de gestin de la empresa Conservador Agresivo

El entorno de control de la empresa Fuertes controles Dbiles controles
Opiniones en Informes de Auditoras anteriores Opinin Limpia o Sin No hubo auditoras
Salvedades anteriores, y si las hubo se
emitieron: Opinin Con
Salvedades u Opinin
Negativa

Rotaciones en la alta direccin Pocas Muchas

Posicin Financiera y de Slida Dbil
Operaciones

Reputacin de los propietarios Buena Mala

Localizacin de la empresa Gran Ciudad Pequea Ciudad

12
TERMINOLOGA DE ADMINISTRACIN DE RIESGOS
(SEGN EL ESTNDAR AUSTRALIANO NEOZELANDS)
Aceptacin de riesgo Contexto externo
Actitud de Riesgo Contexto interno
Actividades de Control Controlar
Administracin de Riesgos Control de riesgo
Amenaza Costo de los controles
Anlisis de Riesgo Criterios de Riesgo
Anlisis cualitativo Establecer el contexto
Anlisis cuantitativo Evaluacin de Riesgos
Anlisis de sensibilidad Evento
Comunicacin y Consulta Evitar un riesgo
Consecuencia (Impacto) Financiamiento de riesgos
Frecuencia
SEPARATAS PARA ALUMNO 19 ago 2017\Separata 03
Terminologa de Administracin de Riesgos 13
ESTANDAR AS NZS.pdf
 Fuente de Riesgo Probabilidad
Gestin de Riesgos Proceso Gestin de Riesgos
Identificacin de riesgos Propietario de Riesgo
Juicio sobre controles Reduccin de riesgos
Mapa de Riesgo Retencin de riesgos
Marco Gestin de Riesgos Riesgo
Monitoreo Riesgo mximo aceptable
Nivel de Riesgo Riesgo residual
Prdida Supervisin
Perfil de Riesgo Tomador de decisiones
Plan de accin Transferir riesgos
Plan de Gestin de Riesgos Tratamiento de riesgos
Poltica Gestin de Riesgos Vulnerabilidad.
Anexo MATRIZ RIESGOS Construtora BESALCO Proyecto
14
LINEA AMARILLA.xls
PROYECTO DE MATERIALIDAD DEL
IASB 2016

15
 IMPORTANCIA RELATIVA

Los EEFF de acuerdo a las normas, deben elaborarse

teniendo presente la Importancia Relativa de la
informacin que ha de proporcionarse. Los trminos
Importancia Relativa, Significativo y Material, surgen con
frecuencia en la auditoria y son de uso general en la
profesin contable.
La evaluacin de qu es lo que efectivamente rene la
condicin de significativo, requiere la puesta en juego del
criterio profesional, de tal manera que los EEFF ofrezcan
una imagen fiel y razonable.
La Importancia Relativa de alguna partida del Estado de
Situacin Financiera puede medirse en relacin al Rubro
al que pertenece o al Total del Activo.
16
Documento de Prctica de las NIIF: Proyecto de Norma
PN/2015/8 (Aplicacin de la Materialidad o Importancia
Relativa a los Estados Financieros)

El objetivo de este Proyecto de Documento de Prctica de

las NIIF Aplicacin de la Materialidad o Importancia
Relativa a los Estados Financieros, es proporcionar guas
para ayudar a la gerencia a aplicar el concepto de
materialidad o importancia relativa a los estados
financieros con propsito de informacin general
preparados de acuerdo con las NIIF. La informacin es
material o tiene importancia relativa si su omisin o
expresin inadecuada pudiera influir en las decisiones que
los usuarios adoptan a partir de la informacin financiera
de una Empresa emite. Anexo Proyecto de Materialidad del IASB.pdf
Anexo Respuesta del IASB a Comentarios PROYECTO DE MATERIALIDAD.pdf

17
 RIESGOS DE AUDITORIA:
INHERENTE, DE CONTROL Y
DETECCIN

18
 RIESGO DE AUDITORIA
Durante los trabajos de planificacin y ejecucin de la
Auditora, el auditor toma muchas decisiones que van
desde la estrategia general hasta los procedimientos
especficos de Auditora aplicados durante las Pruebas
aplicadas a los Controles Internos y a los Estados
Financieros. En estas decisiones, el factor ms
significativo es la evaluacin de los RIESGOS Principales
que puedan afectar a los EEFF.
La expresin Riesgo General de Auditora, se emplea
para describir el riesgo de que el auditor concluya y opine
que los EEFF estn presentados razonablemente cuando
en realidad no lo estn, o el riesgo de que estando
presentados razonablemente, concluya y opine que no lo
estn.
19
El objetivo del auditor es conseguir el mayor nivel de
certeza posible de que su opinin es correcta, lo que
implica disminuir el Riesgo de Auditora al menor nivel.
Los Auditores reconocen que es imposible eliminar
completamente el Riesgo, y establecen un nivel
mximo que ellos creen que es posible tolerar.

20
TRES COMPONENTES DEL RIESGO
DE AUDITORA
a. Riesgo Inherente: se define como la susceptibilidad
del saldo de una cuenta o de un tipo de operacin, se
encuentre expuesta a errores que podran ser
importantes, sin estar relacionado directamente con los
efectos de los Controles Internos correspondientes.
Dicho Riesgo es propio de la operatividad y naturaleza
del negocio y sus transacciones realizadas.

El Riesgo Inherente est influenciado por la naturaleza

de las cuentas de los EEFF o clase de transacciones y
por otros factores:

21
1. Caractersticas del saldo de una cuenta o tipo de
operacin :
Los clculos complejos tienen ms probabilidad de
error que los clculos simples
La caja es ms susceptible de robo que un
inventario de carbn
Las cuentas consistentes en cantidades derivadas
de una estimacin contable tienen un mayor riesgo
que la efectuada rutinariamente
2. Condiciones que no estn sujetas al control de la
empresa, es decir, factores ajenos a ella. Como son:
los cambios en las condiciones de los negocios,
nuevas disposiciones legales y otros factores
econmicos.
22
b. Riesgo de Control: es el riesgo de que puedan existir
errores materiales y no puedan ser detectados por los
procedimientos de Control Interno implementados en la
Empresa. Es decir, es el riesgo de que el saldo de una
partida contable o clase de transacciones contengan
errores materiales o significativos, y no hayan sido
detectados y corregidos con oportunidad por los
Sistemas de Control Interno Contable.

c. Riesgo de Deteccin: es el riesgo de que los

Procedimientos de Auditora seleccionados no detecten
errores o irregularidades existentes en los EEFF.

23
A diferencia de los Dos Riesgos mencionados
anteriormente, el Riesgo de Deteccin es totalmente
CONTROLABLE por la labor del AUDITOR , y depende
exclusivamente de la forma en que se diseen y llevan a
cabo los procedimientos de auditora.
Al igual que el Riesgo de Control puede disminuir la
existencia de altos niveles de Riesgo Inherente, el Riesgo
de Deteccin es la ltima y nica posibilidad de disminuir
altos niveles de Riesgos Inherentes y Riesgos de Control.
Los factores que determinan el Riesgo de Deteccin estn
relacionados con:
La ineficacia de un procedimiento de auditora aplicado
La mala aplicacin de un procedimiento de auditora
Problemas de definicin de alcance y oportunidad en un
procedimiento de auditora
24
 NIVEL DE RIESGO DE AUDITORIA
El Riesgo de Deteccin muy probablemente tendr un
efecto directo sobre la cantidad de EVIDENCIA que se
deba obtener durante las PRUEBAS SUSTANTIVAS.
Como es de esperarse, se requiere ms evidencia
cuando el Riesgo de Deteccin es menor, y viceversa.
Existe una relacin inversa entre el RIESGO DE
DETECCION y el nivel del RIESGO INHERENTE y
RIESGO DE CONTROL. Por ejemplo, cuando el RIESGO
INHERENTE y RIESGO DE CONTROL tienen un Nivel
Alto, los niveles aceptables del RIESGO DE DETECCION
necesitan ser Bajos para reducir el RIESGO DE
AUDITORIA a un Nivel aceptablemente Bajo.

25
 LOGO
A continuacin se muestra un resumen de las
relaciones entre el RIESGO DE CONTROL con el
RIESGO DE DETECCIN y el Diseo de Pruebas
Sustantivas:
NIVEL EVALUACION DE RIESGO INHERENTE Y RIESGO DE CONTROL

ALTO MEDIO BAJO

NIVEL ACEPTABLE DE RIESGO DE DETECCION

BAJO MEDIO ALTO

PRUEBAS DE VALIDACION DE SALDOS

Ms Efectivo NATURALEZA Menos

Efectivo
Fin de Ao OPORTUNIDAD Durante el ao

Muestra Mayor EXTENSION Muestra Menor

26
Marco Conceptual y Antecedentes del
CONTROL INTERNO

27
 LOGO

CONTROL INTERNO COSO

28
 ANTECEDENTES DEL LOGO
CONTROL INTERNO
Desde pocas primitivas, el ser humano,
por la necesidad de controlar sus
pertenencias, cosechas y ganados, lleg
a establecer Procedimientos de
CONTROL.
Hoy en da, en el mundo empresarial, la
evolucin de las compaas, impulsada
por avances tecnolgicos y la
globalizacin de los mercados, ha
conllevado al incremento en el volumen
de operaciones y movimiento continuo de
activos, lo que ha obligado a establecer
procedimientos de control adecuados,
que asegure la correcta proteccin de sus
activos y patrimonio. 29
 DEFINICIONES DE CONTROL INTERNO LOGO

En 1936, el AICPA (American Institute of Certified Public

Accountants) desarrollo el primer acercamiento en torno
al control interno al sealar en el estudio Evaluacin y
Juicio del auditor en relacin con el control interno
Contable, lo siguiente: El termino verificacin y
Control Interno se usa para describir aquellas
medidas y mtodos adoptados dentro de la
organizacin para salvaguardar el efectivo y otros
activos y para verificar la exactitud de los registros.
En 1940, la SEC (Securities and Exchange Commission)
reconoci en el reglamento S-X la importancia de la
evaluacin del Control Interno sealando que el auditor
poda evaluar el sistema de Control interno de las
compaas inscritas en esa comisin.

30
 LOGO
En 1941, dicho reglamento (emitido por la SEC)
fue reformulado para requerir a los auditores
que al fijar el alcance de su trabajo deberan
brindar consideracin al sistema de verificacin
y control interno.

En 1947, el AICPA emiti la declaracin

tentativa sobre normas de auditoria, su
importancia y alcance en las que fueron
definidas las normas de auditoria generalmente
aceptadas agrupados en normas generales,
normas de trabajo de campo, y normas para el
informe.

31
 LOGO
En 1949, el estudio Internal Control
Elements publicado por el AICPA defini el
control interno de la manera siguiente:
El control interno comprende el plan de
organizacin y todos los mtodos y
procedimientos que en forma coordinada se
adoptan en un negocio para salvaguardar sus
activos, verificar la exactitud y la confiabilidad de
su Informacin financiera, promover la eficiencia
operacional y fomentar la adherencia a las
polticas prescritas por la administracin

32
 LOGO
En la dcada de los 70, el AICPA creo la comisin
sobre responsabilidades de los auditores es decir la
COMISIN COHEN con el propsito de desarrollar las
conclusiones y recomendaciones relacionadas con las
responsabilidades del auditor independiente.

En 2003 el consejo de informacin financiera del

ICAEW emiti el Smith report (guidance on audit
committees). Despus fue divulgado el Tyson report
que se enfoc sobre los aspectos de reclutamiento de
directores no ejecutivos. Las recomendaciones
incluidas en Smith report estuvieron referidas al rol y
las responsabilidades del COMIT DE AUDITORIA y
sus relaciones con la junta de directores en la
compaa pblica.
33
 LOGO

En 2004 el FRC (Financial Reporting Council del Reino

Unido) public la Gua Turnbull y el marco de
referencia de evaluacin para propsito de la seccin
404 (a) de la ley Ley Sarbanes- Oxley con el fin de
ayudar a las compaas registradas en el SEC de los
estados unidos.

En 2005, el FRC divulgo la Gua Turnbull sobre control

interno en la que hace referencia a las
responsabilidades del Directorrio en proceso de
revisin de la efectividad del control interno

34
 DEFINICION DE CONTROL INTERNO LOGO

Un proceso efectuado por el Directorio, la Gerencia y el

personal en general, diseado para proveer certeza
razonable que se estn alcanzando los objetivos
estratgicos en lo referente a:
Eficiencia y eficacia de las operaciones
Confiabilidad de los reportes financieros
Cumplimiento de las leyes y regulaciones vigentes.
El control interno incluye el plan de organizacin y todas
las medidas adoptadas dentro de una empresa para
salvaguardar sus activos, verificar la correccin y
confiabilidad de sus reportes contables, promover la
eficiencia operacional y la adhesin a las polticas
gerenciales establecidas.
35
 LOGO
RESPONSABILIDAD DE LOS CONTROLES:
LEY N 26887 (LGS) - ART. 190
RESPONSABILIDAD
En el Per, el Gerente General responde ante la sociedad,
los accionistas y terceros, por los daos y perjuicios que
ocasione por el incumplimiento de sus obligaciones, dolo,
abuso de facultades y negligencia grave. El Gerente es
particularmente responsable, entre otros aspectos, por:
Numeral 2: El establecimiento y mantenimiento de una
estructura de control interno diseada para proveer una
seguridad razonable de que los activos de la sociedad estn
protegidos contra uso no autorizado y que todas las
operaciones son efectuadas de acuerdo con autorizaciones
establecidas y son registradas apropiadamente.

36
CONTROL INTERNO (Modelos Actuales de Control)
LOGO

COSO-COMMITTEE OF SPONSORING ORGANIZATIONS OF

THE TREADWAY COMMISSION (1992 2004 - 2016)
CADBURY-UK CADBURY COMMITTEE, INTERNAL CONTROL
WORKING GROUP, INSTITUTE OF CHARTERED
ACCOUNTANTS IN ENGLAND AND WALES (1992)
COCO CRITERIA OF CONTROL BOARD: THE CANADIAN
INSTITUTE OF CHARTERED ACCOUNTANTS (1995)
COBIT- CONTROL OBJECTIVES FOR INFORMATION AND
RELATED TECHNOLOGY (1996 - 2016)
AS/NZS 4360:1999 Estndar Australiano NeoZelandes de
Administracin de Riesgos Anexo 01 ESTANDAR AUSTRALIANO ASNZ 4360 Ao1999.pdf
AS/NZS 4360: 2004
AS/NZS ISO-2009
SA/SNZ HB 436: 2013

37
Control interno COSO I, COSO II y COSO III
Committee of Sponsoring Organization
of the Treadway Commission

C O S O

38
 LOGO
COSO I
MISION
El COSO I tiene como misin proporcionar
liderazgo de pensamiento a travs de la creacin
de estructuras y orientaciones generales sobre la
Gestin del Riesgo Empresarial, el control interno
y la disuasin del fraude diseado para mejorar el
desempeo organizacional, la gestin y reducir el
alcance del fraude en las organizaciones.

39
 LOGO
COSO I
ANTECEDENTES
1947 Declaracin tentativa de las normas de auditoria,
su alcance y su aceptacin general
1948 Comisin para estudiar el control como una
doctrina importante. Existe la necesidad de establecer el
control interno
1985 se form la comisin nacional para emisin de
informes fraudulentos
1988 Se crea la Comisin TREADWAY es la que va a
dar vida al Sistema COSO
1992 COSO public el MARCO INTEGRAL DE
CONTROL INTERNO

40
COSO I LOGO

COSO (COMMITTE OF SPONSORING

ORGANIZATIONS OF THE TREADWAY COMISSION)

EL COMIT DE ORGANIZACIONES PATROCINADORAS de

la Comisin TREADWAY (COSO) est integrado por:

AICPA (Instituto Americano de Contadores Pblicos

Certificados)
AAA (Asociacin de Docentes Contables de los EEUU)
IIA (Instituto de Auditores Internos)
FEI (Instituto de Ejecutivos de Finanzas)
IMA (Instituto de Contadores Gerenciales)

41
 LOGO
ORGANIZACIONES PATROCINADORAS
de la Comisin TREADWAY

42
 LOGO
COSO I
OBJETIVOS
Establecer una definicin comn de CI que responda a
las necesidades de las distintas partes
Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas
y el CI
Facilitar un modelo en base al cual las empresas y
otras entidades puedan evaluar sus sistemas de CI
Definir un nuevo marco conceptual del control interno
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el
control interno

43
COSO I LOGO

CINCO COMPONENTES
AMBIENTE DE CONTROL
Marca el comportamiento en una organizacin. Tiene
influencia directa en el nivel de concientizacin del personal
respecto al control.
EVALUACION DE RIESGOS
Mecanismos para identificar y evaluar riesgos para alcanzar
los objetivos de trabajo, incluyendo los riesgos particulares
asociados con el cambio.
ACTIVIDADES DE CONTROL
Acciones, Normas y Procedimientos que tiende a asegurar
que se cumplan las directrices y polticas de la Direccin
para afrontar los riesgos identificados.
44
 LOGO
COSO I

INFORMACIN Y COMUNICACIN
Sistemas que permiten que el personal de la entidad
capte e intercambie la informacin requerida para
desarrollar, gestionar y controlar sus operaciones.

SUPERVISIN
Evala la calidad del control interno en el tiempo. Ya que
es importante determinar si dichos Controles estn
operando en la forma esperada y si es necesario hacer
modificaciones

45
 LOGO
COSO I
Cubo COSO Anexo 02 SEPARATA RESUMEN COSO I 1992 English.pdf

46
 LOGO
COSO I
ESTRUCTURA COSO I

47
 LOGO

El nuevo marco amplia la visin del riesgo a eventos negativos

o positivos, o sea, las AMENAZAS Y OPORTUNIDADES; a la
localizacin de un nivel de tolerancia al riesgo; as como al
manejo de estos eventos mediante portafolios de riesgos.
ANTECEDENTE
2001 COSO inici un proyecto con el objeto de desarrollar un
marco reconocido de administracin integral de riesgos.
2004 El proyecto culmin con la publicacin, por parte del
Committee del Enterprise Risk Management - Integrated
Framework (COSO II) y sus Aplicaciones Tcnicas asociadas.
Actualmente la mayora de las organizaciones adoptan este
nuevo enfoque que les permite mejorar sus prcticas de control
interno con un enfoque de riesgos.

48
 LOGO
COSO II

GESTION DE RIESGOS
Es un proceso efectuado por el Directorio de una
Compaa, las Gerencias Ejecutivas y el resto del
personal diseado para:
Identificar eventos potenciales que puedan afectar
los objetivos de una Empresa
Gestionar sus riesgos dentro de lo aceptable; y
Proporcionar una seguridad razonable sobre el logro
de los objetivos

49
 LOGO
COSO II
OBJETIVOS
Operacionales
Vinculados al uso eficaz y eficiente de los recursos
de la empresa, al desempeo financiero, la
productividad, la calidad, las prcticas ambientales,
y la innovacin y satisfaccin de empleados y
clientes.
Cumplimiento
Cumplimiento de las leyes y regulaciones a las que
est sujeta la Compaa. La Empresa debe
desarrollar sus actividades en funcin de las leyes y
normas especficas
50
 LOGO
COSO II

Informacin
Preparacin de reportes para uso de la
organizacin y los accionistas, teniendo en cuenta
la veracidad, oportunidad y transparencia.

Estratgicos
Direccionados al alto nivel, es decir, alineados a la
misin y a la visin de la entidad.

51
 COSO II LOGO

VENTAJAS DE LA GESTIN DE RIESGOS

Mejora las decisiones de respuesta al riesgo ya que
proporciona informacin para identificarlos y permite
seleccionar entre las posibles alternativas las respuestas
a ellos.
Permite al Directorio y a la Gerencia de la empresa, tener
una visin global del riesgo y accionar los planes para su
correcta gestin.
Reduce las sorpresas y las prdidas operativas ya que
las entidades consiguen mejorar su capacidad para
identificar los eventos potenciales.
Identifica y gestiona la diversidad de riesgos en la
empresa.
52
 LOGO
COSO II
ESTRUCTURA DE CONTROL INTERNO
OCHO COMPONENTES
1) AMBIENTE DE CONTROL
Sirve como la base fundamental para los otros
componentes del ERM, dndole disciplina y estructura.
Dentro de la empresa sirve para que los empleados
creen conciencia de los riesgos que se pueden
presentar en la empresa.
2) ESTABLECIMIENTO DE OBJETIVOS
La empresa debe tener una meta clara que se alineen
y sustenten con su visin y misin, pero siempre
teniendo en cuenta que cada decisin conlleva un
riesgo que debe ser previsto por la empresa
53
 LOGO
COSO II
3) IDENTIFICACION DE EVENTOS
Se debe identificar los eventos que afectan los objetivos
de la organizacin aunque estos sean positivos,
negativos o ambos, para que la empresa los pueda
enfrentar y proveer de la mejor forma posible.

4) EVALUACION DE RIESGOS
Los riesgos se analizan considerando su probabilidad e
impacto como base para determinar cmo deben ser
administrados. Los riesgos son evaluados sobre una
base inherente y residual bajo las perspectivas de
probabilidad (posibilidad de que ocurra un evento) e
impacto (su efecto debido a su ocurrencia)

54
COSO II LOGO

5) ACTIVIDADES DE CONTROL
Son las polticas y procedimientos para asegurar que las
respuesta al riesgo se lleve de manera adecuada y
oportuna.
6) RESPUESTA AL RIESGOS
Una vez evaluado el riesgo la gerencia identifica y
evala posibles repuestas al riesgo en relacin a las
necesidades de la empresa. Las respuestas al riesgo
pueden ser:
Evitarlo: se discontinan las actividades que generan
riesgo.
Reducirlo: se reduce el impacto o la probabilidad de
ocurrencia o ambas.
55
 LOGO
COSO II
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porcin del
riesgo.
Aceptarlo: no se toman acciones que afecten el impacto
y probabilidad de ocurrencia del riesgo

7) INFORMACION Y COMUNICACION
La informacin es necesaria en todos los niveles de la
organizacin para hacer frente a los riesgos
identificando, evaluando y dando respuesta a los
riesgos.
Debe existir una buena comunicacin con los clientes,
proveedores, reguladores y accionistas.

56
 LOGO
COSO II

8) MONITOREO
Sirve para monitorear que el proceso de administracin
de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a travs de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinacin de ambas formas

57
 LOGO
COSO II

Cubo COSO II

58
 LOGO
COSO II

Principios Fundamentales

Los 17 principios fundamentales de COSO II

2013 (asociados a 5 Componentes de
Control Interno)

59
 LOGO
COSO II
AMBIENTE DE CONTROL

Principio 1: Demostrar compromiso con la integridad y

valores ticos.
Principio 2: El consejo de administracin ejerce su
responsabilidad de supervisin del control interno.
Principio 3: Establecimiento de estructuras, asignacin
de autoridades y responsabilidades.
Principio 4: Demuestra su compromiso de reclutar,
capacitar y retener personas competentes.
Principio 5: Retiene a personal de confianza y
comprometido con responsabilidades de control interno.

60
 LOGO
COSO II
EVALUACION DE RIESGOS

Principio 6: Se especifican objetivos claros para

identificar y evaluar riesgos para el logro de los objetivos.
Principio 7: Identificacin y anlisis de riesgos para
determinar cmo se deben mitigar.
Principio 8: Considerar la posibilidad del fraude en la
evaluacin de riesgos.
Principio 9: Identificar y evaluar cambios que podran
afectar significativamente el sistema de control interno.

61
 LOGO
COSO II
ACTIVIDADES DE CONTROL

Principio 10: Seleccin y desarrollo de actividades de

control que contribuyan a mitigar los riesgos a niveles
aceptables.
Principio 11: La organizacin selecciona y desarrolla
actividades de controles generales de tecnologa para
apoyar el logro de los objetivos.
Principio 12: La organizacin implementa las
actividades de control a travs de polticas y
procedimientos.

62
 LOGO
COSO II
INFORMACION Y COMUNICACIN

Principio 13: Se genera y utiliza informacin de

calidad para apoyar el funcionamiento del control
interno.
Principio 14: Se comunica internamente los objetivos
y las responsabilidades de control interno.
Principio 15: Se comunica externamente los asuntos
que afectan el funcionamiento de los controles
internos.

63
 LOGO
COSO II
ACTIVIDADES DE MONITOREO

Principio 16: Se lleva a cabo evaluaciones sobre la

marcha y por separado para determinar si los
componentes del control interno estn presentes y
funcionando.
Principio 17: Se evala y comunica oportunamente
las deficiencias del control interno a los responsables
de tomar acciones correctivas, incluyendo la alta
administracin y el consejo de administracin.

64
 LOGO
RELACION ENTRE COSO I Y COSO II

65
 LOGO

La ampliacin del ao 2014 permiti corregir

aspectos del marco original, no limitndose a la
fiabilidad de la informacin financiera sino que
deba abarcar adems a todo tipo de informacin.
Se consider oportuno sealar que los objetivos
fueran operativos, de Reporting o de cumplimiento
operativo.

66
 LOGO
COSO III
ANTECEDENTES
1992 COSO presenta la primera versin del
Marco Integrado de Control Interno

2004 COSO ERM

2013 COSO lanza una versin actualizada que

permitir que las empresas desarrollen y
mantengan efectiva y eficientemente sistemas
de control interno.

67
COSO III LOGO

FACTORES
Variacin de los modelos de negocio como
consecuencia de la globalizacin.
Mayor necesidad de informacin a nivel interno debido
a los entornos cambiantes.
Incremento del nmero y complejidad de las normativas
aplicables al mundo empresarial a nivel internacional.
Nuevas expectativas sobre la responsabilidad y
competencias de los gestores de las organizaciones.
Incremento de expectativas de grupos de inters en la
prevencin y deteccin del fraude.
Aumento del uso de nuevas tecnologas.
Exigencias en la fiabilidad de la informacin reportada.
68
 LOGO
COSO III

OBJETIVOS
Ampliar su aplicacin al expandir los objetivos
operativos y de emisin de informes.
Permitir una MAYOR COBERTURA de los
RIESGOS a los que se enfrentan actualmente las
organizaciones.
Actualizar el contexto de la aplicacin del control
interno a muchos cambios en las empresas y
ambientes operativos
Aclarar los requerimientos del control interno.

69
 LOGO
COSO III
VENTAJAS DE COSO III
Globalizacin de mercados y operaciones.
Cambio continuo y mayor complejidad en los
negocios.
Mayor demanda y complejidad en leyes, reglas,
regulaciones y estndares.
Expectativas de competencias y responsabilidades.
Uso y mayor nivel de confianza en tecnologas que
evolucionan rpidamente.
Expectativas relacionadas con prevenir, desalentar y
detectar el fraude.
70
 LOGO
COSO III
CINCO NUEVOS COMPONENTES

1. GOBIERNO Y CULTURA DEL RIESGO

El Gobierno del riesgo establece el tono de la
organizacin, reforzando la importancia y
estableciendo responsabilidades de supervisin
para la gestin del riesgo empresarial. La
cultura se refiere a los valores ticos, los
comportamientos deseados y la comprensin
del riesgo en la entidad.

71
 LOGO
COSO III

2. RIESGO, ESTRATEGIA Y FIJACIN DE

OBJETIVOS
La gestin del riesgo empresarial, la estrategia
y el establecimiento de objetivos trabajan
juntos en el proceso de planificacin
estratgica. Se establece un apetito de riesgo
y se alinea con la estrategia; Los objetivos de
negocio ponen en prctica la estrategia
mientras sirven como base para identificar,
evaluar y responder al riesgo.

72
 LOGO
COSO III
3. RIESGO EN EJECUCIN
Los riesgos que pueden afectar el logro de la
estrategia y los objetivos empresariales deben
ser identificados y evaluados. Los riesgos se
priorizan por gravedad en el contexto del apetito
por el riesgo. A continuacin, la organizacin
selecciona las respuestas de riesgo y toma una
visin de cartera de la cantidad de riesgo que ha
asumido. Los resultados de este proceso se
informan a las principales partes interesadas en
el riesgo.

73
 COSO III LOGO

4. INFORMACIN SOBRE RIESGOS, COMUNICACIN

Y PRESENTACIN DE INFORMES
La Gestin de Riesgos Empresarial requiere un
proceso continuo de obtencin y distribucin de la
informacin necesaria, tanto de fuentes internas como
externas, que fluyen por toda la Empresa.
5. SEGUIMIENTO DE LA GESTIN DE RIESGO
EMPRESARIAL
Al supervisar el rendimiento de la gestin de riesgos,
una Compaa puede considerar cun bien funcionan
los componentes de Gestin de Riesgo Empresarial a
lo largo del tiempo y a la luz de cambios sustanciales.

74
 LOGO
COSO III
Los 23 Principios que comprenden son:
1. Ejercicios de Supervisin del Riesgo de la Junta
Directiva
El consejo de administracin supervisa la estrategia y
lleva a cabo las responsabilidades de gestin de
riesgos para apoyar a la administracin en el logro de
la estrategia y los objetivos de negocio.
2. Establecimiento del Gobierno y Modelo operativo
La organizacin establece estructuras de gobierno y
funcionamiento en la bsqueda de la estrategia y
objetivos de negocio.

75
COSO III LOGO

3. Define Comportamientos Organizativos Deseados

La organizacin define los comportamientos deseados
que caracterizan los valores centrales de la entidad y
las actitudes hacia el riesgo.
4. Demuestra Compromiso con la Integridad y la tica
La organizacin demuestra un compromiso con la
integridad y los valores ticos.
5. Hace cumplir la rendicin de cuentas
La organizacin responsabiliza a los individuos en
todos los niveles por la gestin del riesgo empresarial y
se hace responsable de proporcionar normas y
orientacin.
76
COSO III LOGO

6. Atrae, Desarrolla y Conserva a Individuos

Talentosos
La organizacin est comprometida a construir
capital humano en alineacin con la estrategia y los
objetivos de negocio.
7. Considera el riesgo y el contexto empresarial
La organizacin considera los posibles efectos del
contexto empresarial en el perfil de riesgo.
8. Define el apetito de riesgo
La organizacin define el apetito por el riesgo en el
contexto de la creacin, preservacin y realizacin
del valor.
77
COSO III LOGO

9. Evala Estrategias Alternativas

La Empresa evala las estrategias alternativas y el
impacto en el perfil de riesgo.
10. Considera el riesgo al establecer objetivos de
negocio
La organizacin considera el riesgo mientras
establece los objetivos de negocio en varios niveles
que alinean y apoyan la estrategia.
11. Define Variacin Aceptable en el Desempeo
La organizacin define la variacin aceptable en el
desempeo en relacin con la estrategia y los
objetivos del negocio (Tolerancia de Riesgo).
78
 COSO III LOGO

12. Identifica el riesgo en la ejecucin

La organizacin identifica el riesgo en la ejecucin que
afecta el logro de los objetivos del negocio.

13. Valora la gravedad del riesgo

La organizacin evala la gravedad del riesgo.

14. Prioriza los riesgos

La organizacin prioriza los riesgos como base para
seleccionar las respuestas a los riesgos.

79
 LOGO
COSO III

15. Identifica y Selecciona las Respuestas al Riesgo

La organizacin identifica y selecciona respuestas al
riesgo.

16. Evala el Riesgo en la Ejecucin

La organizacin evala los resultados del
desempeo operacional y considera el riesgo.

17. Desarrolla un portfolio de riesgo

La organizacin desarrolla y evala una vista de
portafolio del riesgo.

80
 LOGO
COSO III

18. Utiliza informacin relevante

La organizacin utiliza informacin que respalda la
gestin de riesgos empresariales.
19. Aprovecha los sistemas de informacin
La organizacin aprovecha los sistemas de
informacin de la entidad para apoyar la gestin del
riesgo empresarial.
20. Comunica Informacin sobre Riesgos
La organizacin utiliza canales de comunicacin para
apoyar la gestin de riesgo empresarial.

81
COSO III Anexo 07 Separata Documento COSO III 2016 Traduccin Libre Mario Vergara
LOGO
ESPAOL Marzo 2017.pdf

21. Informes sobre Riesgo, Cultura y Rendimiento

La organizacin informa sobre el riesgo, la cultura y
el desempeo en mltiples niveles de la entidad y en
toda la entidad.

22. Monitoreo del Cambio Sustancial

La organizacin identifica y evala cambios internos
y externos que pueden afectar sustancialmente la
estrategia y los objetivos del negocio.

82
 LOGO

DIFERENCIAS entre
COSO I, II y III

83
 LOGO

Diferencias COSO I COSO II COSO III

Titulo Marco integrado de Marco integrado de Marco integrado de control interno
control interno administracin de riesgo
empresarial
Objetivos Eficacia y eficiencia Mejora las decisiones de Mejora de la agilidad de los
de las operaciones respuesta al riesgo. sistemas de gestin de riesgos
Confiabilidad de la Permite a la direccin de la para adaptarse a los entornos
informacin empresa tener una visin global Mayor confianza en la
financiera del riesgo. eliminacin de riesgos y
Cumplimiento de las Identifica y gestiona la consecucin de objetivos
leyes, reglamentos y diversidad de riesgos en la Mayor claridad en cuanto a la
normas que sean empresa informacin y comunicacin.
aplicables
Componentes Tiene 5 Componentes: Tiene 8 Componentes: Tiene 5 Componentes:

1. Ambiente de Control 1. Ambiente Interno 1. Gobierno y cultura del riesgo

2. Evaluacin de 2. Establecimiento de Objetivos 2. Riesgo, estrategia y fijacin de
Riesgos 3. Identificacin de Eventos objetivos
3. Actividades de 4. Evaluacin de Riesgos 3. Riesgo en ejecucin
Control 5. Respuesta a los Riesgos 4. Informacin sobre riesgos,
4. Informacin y 6. Actividades de Control comunicacin y presentacin de
Comunicacin 7. Informacin y Comunicacin informes
5. Supervisin 8. Supervisin o Monitoreo 5. Seguimiento de la gestin de
riesgos empresariales
PRINCIPIOS Tiene 17 Principios Tiene 23 Principios
84
 LOGO
COSO ERM 2004
Es la sigla de COSO Enterprise Risk Management y data del
ao 2004. Naci como complemento de COSO que se
public el ao 1993 y que era fundamentalmente para control
interno. COSO se actualiz y sistematiz el ao 2013 con 17
principios.
COSO ERM tiene su foco en riesgos e incluye las estrategias,
lo que COSO no considera.
APLICACIN PRCTICA DEL ERM

Matriz de Impacto (Por rea) - GRUPO FACCIA.pdf

INFORME AVANCE MEYCOR COSO ENP N 01-01-2009 MVS.pdf

INFORME AVANCE MEYCOR COSO ENP N 02-01-2009 MVS.pdf

Plan de ACTIVIDADES ADOP RESOLUC 458 ENP.pdf

CUESTIONARIO DIAGNOSTICO SITUACIONAL ONP.doc

85
 LOGO
COSO ERM 2016

Entre 2004 y 2016 los negocios cambiaron y se hicieron

ms complejos incluyendo los riesgos, lo que llev a la
revisin y actualizacin del framework 2004 llevando a
COSO ERM propuesto 2016.

COSO ERM tiene lo siguiente que no tiene COSO

COSO ERM incluye las estrategias.
COSO ERM incluye establecimientos de objetivos, la
identificacin de eventos y la respuesta a los riesgos.

86
 COSO ERM 2016 LOGO

PRINCIPALES CAMBIOS DE COSO ERM 2016 CON COSO

ERM 2004
Tiene un enfoque ms amplio y explica ms claramente
la relacin con la estrategia.
Se sistematiza su contenido estructurndolo en 23
principios.
Lo relaciona con la misin y visin de la empresa.
La Estrategia y Riesgos se relacionan desde el proceso
de planificacin estratgica, su ejecucin y control.
El monitoreo toma ms importancia.
Relaciona el riesgo con la performance obtenida por la
empresa en sus distintos niveles.

87
 LOGO
COSO ERM 2016

Refuerza la accountability en los distintos niveles.

El apetito de riesgo pasa a ser una parte importante y
su relacin con las estrategias.
Debe relacionarse los riesgos al formular los objetivos
de la empresa.
Prioriza los riesgos.
Enfatiza el uso de informacin relevante.
Considera la evolucin de las tecnologas.
Se hace cargo de la globalizacin de los mercados.

88
 LOGO
BASILEA
ACUERDOS DE BASILEA

Los acuerdos de Basilea se refiere a una serie de

acuerdos de supervisin bancaria
(recomendaciones en relacin a regulacin
bancaria) emitidos por el comit de Basilea de
supervisin bancaria (BCBS)

Los acuerdos han sido tres: Basilea I, Basilea II y

Basilea III

89
 LOGO
BASILEA I

En 1988, el Comit de Basilea, hizo pblico el

primero de los Acuerdos de Basilea, que no era
ms que un conjunto de recomendaciones, con un
objetivo comn: fijar un lmite para el valor de los
crditos que puede conceder una entidad bancaria
en funcin de su capital propio. Esas
recomendaciones limitaron la capacidad de
apalancamiento de las entidades bancarias en
12,5 veces el valor de los recursos propios de la
entidad.

90
 LOGO
BASILEA II

Sin embargo, ese lmite fijado en Basilea I no tena en

cuenta la capacidad de devolucin del prestatario, es decir,
el lmite de crdito a conceder, de 12,5 veces los recursos
propios de cada entidad, era el mismo si se prestaba a
personas o entidades de gran solvencia que a otros con
mayor riesgo de recuperacin de la inversin. En definitiva,
no se tena en cuenta el riesgo de crdito.
La principal limitacin del acuerdo de Basilea I es que es
insensible a las variaciones de riesgo y que ignora una
dimensin esencial: la de la calidad crediticia y, por lo
tanto, la diversa probabilidad de incumplimiento de los
distintos prestatarios. Es decir, consideraba que los
crditos tenan la misma probabilidad de incumplir.

91
 LOGO
BASILEA II
Para solventar este inconveniente, en 2004, el Comit
de Basilea volvi a proponer un nuevo conjunto de
recomendaciones, basadas en los llamados tres pilares
de Basilea II.

LOS TRES PILARES

Los requisitos mnimos de capital

El proceso de supervisin de la gestin de los
fondos propios
La disciplina de mercado

92
 LOGO
BASILEA III
Los Acuerdos de Basilea III (Basilea III) se refieren a
un conjunto de propuestas de reforma de la regulacin
bancaria, publicadas a partir del 16 de diciembre de
2010.
Basilea III es parte de una serie de iniciativas,
promovidas por el Foro de Estabilidad Financiera
(FSB, Financial Stability Board por sus siglas en
ingls) y el G-20, para fortalecer el sistema financiero
tras la crisis de las hipotecas subprime. Se trata de la
primera revisin de Basilea II y se llev a cabo a lo
largo de 2009, entrando en ejecucin a partir del 31
de diciembre de 2010.

93
BASILEA III LOGO

Dentro del marco de la Unin Europea, los acuerdos de

Basilea III se transponen jurdicamente en las normas de la
Directiva 2013/36/UE (CRD IV) y el Reglamento UE N
575/2013 (CRR) de requisitos de capital
La reforma de Basilea III incluye los siguientes elementos:
Aumento de la calidad del capital.
Mejora de la captura de los riesgos de determinadas
exposiciones.
Aumento del nivel de los requerimientos de capital.
Constitucin de colchones de capital.
Introduccin de una ratio de apalancamiento.
Mejora de la gestin del riesgo, del proceso supervisor y
la disciplina de mercado (estndar de liquidez).

94
QUE ES COBIT? LOGO

CONTROL OBJECTIVES FOR INFORMATION

TECHNOLOGIES (OBJETIVOS DE CONTROL PARA
TECNOLOGAS DE INFORMACIN).
COBIT (1996), es precisamente un modelo para
auditar la gestin y control de los sistemas de
informacin y tecnologa, orientado a todos los
sectores de una organizacin, es decir,
administradores IT, usuarios y por supuesto, los
auditores involucrados en el proceso. Es un modelo
de evaluacin y monitoreo que enfatiza en el control
de negocios y la seguridad IT y que abarca controles
especficos de IT desde una perspectiva de negocios.

95
 LOGO
LEY SARBANES OXLEY
Tambin conocida como el Acta de Reforma de la
Contabilidad Pblica de Empresas y de Proteccin al
Inversionista, es la ley que regula las funciones
financieras contables y de auditoria y penaliza en una
forma severa, el crimen corporativo.
La Ley Sarbanes Oxley nace con el fin de monitorear
a las empresas que cotizan en bolsa, evitando que las
acciones de las mismas sean alteradas de manera
dudosa. Su finalidad es evitar fraudes y riesgo de
bancarrota, protegiendo al inversor. Esta ley, afecta a
todas las empresas que cotizan en NYSE (Bolsa de
Valores de Nueva York), as como a sus filiales

96
 LIMITACIONES DEL CONTROL LOGO
INTERNO (ERM)
Si bien ERM provee beneficios importantes, existen limitaciones:
En la toma de decisiones pueden fallar los juicios humanos
Las decisiones sobre cmo responder al riesgo y como
establecer controles requieren considerar los costos y beneficios
relacionados.
Pueden ocurrir interrupciones a causa de fallas humanas tales
como errores o equivocaciones simples
Los controles pueden ser eludidos por colusin de dos o ms
personas,
El Directorio o la Gerencia, tiene la capacidad de pasar por
encima de las decisiones de ERM. Esas limitaciones imposibilitan
que el Directorio y la Gerencia tengan seguridad absoluta
respecto al logro de los objetivos de la entidad. INF AUI GP N 628-12-2016
Auditora de Cumplimiento PROYECTO IMPALA - NEWR TDS 877 (al 30 de Noviembre de 2016).pdf

97
 LOGO
PRACTICAS DE BUEN GOBIERNO

Antecedentes
A principios de los noventa se suscit una fuerte
presin para fortalecer las prcticas de buen gobierno
corporativo en el mundo, debido a que los
inversionistas demandaban una mayor participacin en
los rganos administrativos de las sociedades. Sin
embargo, el gobierno corporativo pas a tener singular
importancia a raz de la crisis asitica de fines del siglo
pasado, resultado de lo cual se generaron nuevos
enfoques e instrumentos de gobierno corporativo.

98
GOBIERNO LOGO

CORPORATIVO:

Es el proceso de Supervisin de una Empresa, sobre

sus resultados, productividad, efectividad, eficiencia,
tica y la habilidad para gerenciar los riesgos que
pueden amenazar el Negocio. Comprende el conjunto
de principios y normas que regulan el diseo,
integracin y funcionamiento de los rganos de
gobierno de la empresa, como son los tres poderes
dentro de una sociedad: los Accionistas, Directorio y la
Gerencia.
99
Implementacin LOGO

Los Miembros del DIRECTORIO establecen el proceso

de Gobierno a travs de polticas emitidas, las cuales
definen los roles del Directorio, Gerentes, Auditores
internos, y otros . El rol del Directorio es Supervisar las
actividades de los Gerentes, y con la asistencia de los
auditores, asegurar la confiabilidad del sistema de
control interno de la organizacin. El Gerente es
responsable del establecimiento, administracin, y
mantenimiento de los controles internos.

100
 LOGO
Principio 22: Cdigo de tica y
Conflictos de Inters.
La Empresa cuenta con un Cdigo de tica que es
exigible a sus directores, gerentes, funcionarios y
dems colaboradores de la compaa, el cual
comprende criterios ticos y de responsabilidad
profesional, incluyendo el manejo de potenciales
casos de conflictos de inters. La Empresa adopta
medidas para prevenir, detectar, manejar y revelar
conflictos de inters que puedan presentarse. Los
directores se abstienen de votar o participar en
cuestiones
Anexo 04 CODIGO DE BUEN GOBIERNO CORPORATIVO SMV.pdf

Anexo 02 INF AUI GRUPO ZARA N 1412-12-2016 Seguimiento al Proveedor CONSORCIO LOGISTICO VALERA EIRL- GRUPO
ZARA (Al 31 de Julio del 2016) MVS.pdf

101
 LOGO
APROBACION DEL CODIGO DE BUEN
GOBIERNO CORPORATIVO
La Superintendencia del Mercado de Valores (SMV),
mediante Resolucin N 012-2014-SMV/01, aprob el
nuevo Reporte sobre el Cumplimiento del Cdigo de Buen
Gobierno Corporativo para las Sociedades Peruanas.
Este reporte sustituir el anexo incluido en la memoria
anual y en los prospectos de oferta pblica denominado
Informacin sobre el Cumplimiento de los Principios de
Buen Gobierno para las Sociedades Peruanas.
El nuevo reporte ser aplicado a partir de la presentacin
de la memoria anual del ejercicio 2014, y para el caso de
los prospectos de oferta pblica, a partir del 1 de enero del
2015.
Anexo 05 Hiper Reporte de GOB CORP AUSTRAL GROUP.pdf

102
 LOGO

La SMV reconoce que la adopcin del Cdigo de Buen

Gobierno Corporativo para las Sociedades Peruanas es
voluntaria; sin embargo, para aquellos titulares de valores
inscritos en el Registro Pblico del Mercado de Valores
resulta relevante conocer el grado de adhesin de los
emisores de tales valores a dichos principios, se dispone que
stos brinden dicha informacin al mercado en el orden y
formato establecido por la SMV.

La Superintendencia del Mercado de Valores (SMV) aprob el

nuevo Cdigo de Buen Gobierno Corporativo para las
Sociedades Peruanas, cuya finalidad es mejorar la percepcin
de las sociedades annimas entre los inversionistas y
promover el desarrollo de las empresas peruanas.

103
 LOGO

El reglamento pone especial nfasis en la dinmica de la JGA,

el Directorio y la alta Gerencia; as como en la implementacin
de una adecuada GESTION DE RIESGOS y SCI, indicando
quines son los responsables de liderarlos y monitorearlos.
De esta manera, el nuevo cdigo se encuentra dividido en
cinco pilares:
Derechos de los Accionistas,
La Junta General de Accionistas,
El Directorio y la Alta Gerencia,
Riesgo y Cumplimiento, y
Transparencia de la informacin.
Adems, incluye dos anexos de principios complementarios,
uno para las empresas de propiedad del Estado (EPE) y otro
para las sociedades familiares.
104
 LOGO

La SMV presidi el Comit de Actualizacin de Principios

de Buen Gobierno para las Sociedades Peruanas que
determin este nuevo cdigo, y estuvo integrado por 14
instituciones y gremios empresariales entre pblicos y
privados representativos del mercado de valores peruano
y del sector empresarial del pas.
El nuevo cdigo publicado hoy reemplaza al que estaba
vigente desde julio del 2002, y funciona como una gua
para todas las sociedades annimas del pas, sobre todo
para aquellas con valores inscritos en el Registro Pblico
del Mercado de Valores de la SMV.
Anexo DIARIO GESTION 10 Ago 2017 GOB CORP.jpg

105
Control interno en el sector pblico
Resolucin de Contralora N 320-2006-CG
La Contralora General de la Repblica, en 2006 aprob, mediante Resolucin
de Contralora N 320-2006-CG, las Normas de Control Interno, las cuales
fueron elaboradas en armona con los conceptos y enfoques COSO.
SCI COSO SECTOR PUBLICO\RESOLUCION 458 CGR 2008.pdf

Resolucin de Contralora General N 458-2008-CG

Contralor General autoriza aprobar la Gua para la Implementacin del
Sistema de Control Interno de las entidades del Estado, la misma que
present algunas dificultades en su adopcin. Tal es as, que con fecha 22 de
Junio de 2009, se emite el DECRETO DE URGENCIA N 0672009, en el cual
la Presidencia del Consejo de Ministros evalu las dificultades de las unidades
ejecutoras, identificando los siguientes factores que no hicieron posible la
implementacin del Control Interno: Que existen 3,980 unidades ejecutoras, no
se cuentan con personal idneo ni suficiente para el adecuado cumplimiento de
las funciones en la administracin pblica, falta de personal capacitado en la
implementacin del Control Interno que hace que las unidades ejecutoras
contraten a Consultores y Sociedades de Auditoria, no se cuenta con
presupuesto adecuado para su implementacin, entre otros.

106
Control interno en el sector pblico
RESOLUCION DE CONTRALORIA N 149-2016-CG
Hoja informativa N'00022-2016-CG/PEC de la Gerencia central de
Planeamiento Estratgico recomienda la aprobacin del proyecto de Directiva,
"implementacin del Sistema de Control interno en las entidades del Estado"; el
artculo 6 de la Ley N' 27785, Ley Orgnica del sistema Nacional de control y
de la contralora General de la Republica. \RESOLUC CONTRALORIA N 0149-2016
Implementacin SCI COSO ERM.pdf

Directiva N 013-2016-CG/GPROD
Por otro lado, el 14 de Mayo de 2016, se aprob la Directiva N 013-2016-
CG/GPROD denominada Implementacin del Sistema de Control Interno en la
entidades del Estado, cuyo texto forma parte integrante de la presente
Resolucin. Las entidades que se encuentren en proceso de implementacin
de su Sistema de Control Interno se adecuarn al modelo previsto en la
Directiva aprobada por la presente Resolucin.

RESOLUCION DE CONTRALORIA N 004-2017-CG: GUIA DE

IMPLEMENTACION Y FORTALECIMIENTO DEL CONTROL INTERNO
COSO 2017. Aprobada el 18 de Enero de 2017.
RC 004 2017 CG Guia Implementacion y fortalecimiento del Control Interno 2017.pdf
107
METODOLOGIA PARA IDENTIFICAR
RIESGOS

108
FASES PARA LA IDENTIFICACIN Y
GESTIN DE RIESGOS
El Modelo recomendado para la Identificacin, Anlisis,
Tratamiento y Gestin de Riesgos es el basado en los
estndares Australiano Neozelands: AS-NZS HB 436-
2013 / AS-NZS ISO 31000-2009 / AS-NZS 4360-2004 / AS
NZ 4360:1999

Adems se considera para la base de fundamento, los

Modelos vigentes de GESTION DE RIESGO
EMPRESARIAL (ERM) emitidos por el Comit COSO de la
Comisin Treadway.
:
COSO II ERM 2004: Gestin de Riesgo Empresarial
COSO III: Gestin de Riesgo Empresarial, Alineacin
del Riesgo con la Estrategia y el Desempeo 2016
109
La Gestin de Riesgos visto como un proceso continuo y
permanente dentro de las Empresas que han adoptado el
Modelo de Control Interno ERM, incluye un conjunto de
Fases que se describen a continuacin. Algunas son
secuenciales y otras implican el desarrollo de actividades en
paralelo. Para cada Fase se detalla la entrada y salida del
proceso y las actividades.

110
FASE I: ESTABLECER EL CONTEXTO
El proceso ocurre dentro de la estructura del contexto
estratgico, organizacional y de administracin de riesgos de
una organizacin. Esto necesita ser establecido para definir los
parmetros bsicos dentro de los cuales deben administrarse
los riesgos y para proveer una gua para las decisiones dentro
de estudios de administracin de riesgos ms detallados. Esto
establece el alcance para el resto del proceso de administracin
de riesgos.

111
Consideraciones que apoyan la cultura para la
gestin del riesgo

Para apoyar una cultura en Gestin del Riesgo Integral, se

ha establecido una estructura, polticas y procedimientos
en donde la participacin de la Alta Direccin y del
personal son el factor ms importante para el desempeo
de dicha gestin, lo que permitir llevar a cabo una
adecuada administracin de los riesgos, una mejora
continua en los procesos Integrales y el cumplimiento de la
regulacin local.
Para apoyar la cultura de Gestin del Riesgo Integral, se
han considerado los siguientes aspectos:

112
1. El uso de un lenguaje comn de riesgos mediante
definiciones de trminos a usar, programas de
capacitacin e informacin al personal, sobre la
normativa, prctica, objetivos y medidas
establecidas por la Gestin del Riesgo Integral.
2. Promover la responsabilidad personal de quienes
estn involucrados en los procesos Integrales para
que participen en la identificacin de los riesgos,
as como la deteccin de nuevas amenazas.
3. Facilitar el desarrollo y comunicacin de las
estrategias para el riesgo Integral.

113
4. Crear conciencia al personal sobre el impacto que
tienen la correcta ejecucin de sus actividades y que los
resultados de las mismas deben ser confiables y
oportunos.
5. Comunicar a todo el personal sobre las polticas y
procedimientos establecidos para cumplir y
desempear la Gestin del Riesgo Integral.
6. Incluir peridicamente estas obligaciones en la agenda
de las reuniones gerenciales para mantener el impulso
sobre el tema y usar la gestin de riesgos como efectiva
herramienta para la toma de decisiones.

114
 LOGO

7. Promover el uso progresivo del anlisis de riesgo

documentado en la gestin de proyectos, y previo a la
implantacin de nuevos procesos o actividades.
8. Difundir que cuenta con una Gestin de Riesgos Integral. De
este modo se incrementa la confianza de los mismos frente
a otras opciones. Por lo cual, se propone una mejora
continua de su Sistema de Control Interno, que se refleja en
el siguiente esquema:

115
Consideraciones para definir la estrategia de
mitigacin de riesgo integral

La estrategia de mitigacin de los riesgos

Integrales, tiene como objetivo mantener el nivel
del riesgo Integral, que afectan a los procesos, en
un nivel aceptable.
Se deber asegurar la continuidad y garantizar la
operacin de los procesos crticos y de apoyo y
evitar prdidas econmicas originadas por la
materializacin de eventos de prdida.

116
Revisiones de la Metodologa

El marco de la Gestin del Riesgo Integral, contar

con una revisin anual, o cuando lo requiera por
diversos factores tales como; cambios en la normativa
o recomendaciones del mercado. En tales casos la
iniciativa de plantear la revisin la har AUDITORIA
INTERNA.

117
identificacin de los Procesos y Subprocesos

Se determinar quin es el responsable de llevar adelante

cada subproceso. Este ser quien evaluar los riesgos del
mismo (llamado evaluador).
El responsable del Proceso al que corresponden los
subprocesos ser quien los valide en primera instancia en
cuanto a la completitud y razonabilidad de los juicios y
propuestas.

11
8
 FASE II: IDENTIFICAR RIESGOS
La utilizacin de cuestionarios de chequeo permite identificar
situaciones de riesgo a travs del conocimiento individualizado
de sus factores de riesgo y del tratamiento global de los
mismos. Su llenado nos ayuda a identificar anomalas o
carencias preventivas en el rea en que se aplica, las cuales,
a partir de su nivel de implicacin y carcter determinante
respecto al riesgo en cuestin, nos permite categorizar el
estado o grado de control y, por consiguiente, priorizar la
implantacin de las medidas de prevencin y/o proteccin
pertinentes.

119
Mapeo de procesos
Tambin llamado FLUJOGRAMAS representa los pasos
que se siguen en un proceso con el fin de determinar su
funcionamiento. Ella hace posible familiarizarse con los
aspectos tcnicos de los procesos, lo cual permite
entenderlos con mayor claridad, al igual que se facilita la
identificacin de sus RIESGOS INHERENTES.
Esta herramienta nos permitir generar ideas sobre los
posibles eventos negativos que puedan presentarse, como
demoras por cuellos de botella, debilidades o ausencia de
controles, fraudes, errores, accidentes, etc.
Una vez identificado los Riesgos, se debe proceder a
identificar las CAUSAS, las PROBABILIDADES DE
OCURRENCIA y el IMPACTO.
120
Inspeccin
Una inspeccin puede ser ms valiosa y descubrir riesgos
mucho mejor que con cualquier otra herramienta no
podran detectarse.
Con la inspeccin se recoge informacin y se comprueba
en forma fsica la manera en cmo se llevan a cabo las
actividades, el estado de los equipos, de las instalaciones,
de los edificios, y la manera en cmo se prestan los
servicios y atienden a los clientes. Previo a la inspeccin,
se debe realizar un anlisis de los documentos referentes
al lugar o proceso a inspeccionar y efectuar una entrevista
al responsable.
Al finalizar la inspeccin nos reunimos con el responsable
del rea o proceso analizado, para compartir sus
resultados, aclarar o precisar detalles y establecer la lista
definitiva de Riesgos identificados.
121
Analisis de Estados Financieros y otra informacin de
la empresa
El anlisis de los EEFF e Informacin adicional de la
Empresa es una base importante que permite ampliar el
proceso de IDENTIFICACIN DE RIESGOS. Para realizar
este anlisis se utiliza el estudio de indicadores
financieros, tales como rentabilidad, liquidez, nivel de
endeudamiento, rotacin de inventarios o de cartera, y el
anlisis de tendencias.
El anlisis de informacin adicional de la empresa incluye
el estudio de documentos que pueden ayudar a identificar
Riesgos, si se revisan con cuidado, documentos tales
como: contratos, manuales de procesos, informes de
auditora, publicidad, quejas y reclamos, etc.

122
Metodologa para la identificacin y evaluacin
Cualitativa de Riesgos
Los responsables de procesos y subprocesos tienen
la obligacin de efectuar la identificacin y evaluacin
de los riesgos que puedan afectar que de
materializarse tendran efecto negativo.
A tales fines dentro del plazo que se le asigne
debern elaborar la Planilla de Identificacin de
Riesgos del o los Subprocesos asignado para
revisin. Toda sta informacin ser validada por el
responsable del proceso.
El responsable del subproceso tendr como insumos
para identificar las amenazas lo siguiente:
123
 Su Conocimiento y de su personal
Informacin descriptiva del proceso.
Diagrama de Flujo del proceso en caso de existir.
Registro de Eventos de prdida asociados al
subproceso en caso de existir.
Para los riesgos de la categora tecnolgica deber
tomarse como bsicos los que identifique el Comit de
Seguridad dentro de la Gestin de Riesgos basado en la
Norma ISO 27001.
En este sentido, los riesgos identificados por el
responsable del subproceso como de seguridad debern
integrarse, si corresponde, al anlisis de riesgos basado en
la Norma ISO 27001.
124
Para los riesgos de la categora cumplimiento que se
refieren especialmente a polticas, procedimientos y
contratacin de servicios de terceros, demandas de
terceros y atencin a requerimientos de autoridad
deber contarse con el apoyo de los Asesores
Legales en la elaboracin de tratamientos.

125
Clasificacin de Riesgos

Los riesgos a incluir en el anlisis correspondern a

las siguientes categoras:

Riesgo Estratgico
Riesgo Operativo
Riesgo Financiero
Riesgo de Cumplimiento
Riesgo de Tecnologa

126
1. Riesgo Estratgico:
Se asocia con la forma en que se administra la entidad.
El manejo del riesgo estratgico se enfoca en asuntos
globales relacionados con la misin y el cumplimiento
de los objetivos estratgicos, la clara definicin de
polticas y el diseo y conceptualizacin de la entidad
por parte del Directorio.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones de la Alta Direccin (Titular y Gerencia
General)
Ejemplo: Errores en la ejecucin de procesos
cumpliendo rdenes de jefaturas contradictorias, Falta
de involucramiento de la Alta Direccin con las
iniciativas tecnolgicas.
127
2. Riesgo Operativo
Comprende los riesgos relacionados tanto con la parte
operativa como tcnica de la entidad, incluye riesgos
provenientes de deficiencias en los sistemas de
informacin, en la definicin de los procesos, en la
estructura organizacional, en la desarticulacin entre
dependencias, lo cual conduce a ineficiencias,
oportunidades de corrupcin e incumplimiento de los
compromisos institucionales.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones de la Gerencia responsable del
proceso afectado.
Ejemplo: Incendio, Fraude Interno, Robo de bienes de la
Compaa.
128
3. Riesgo Financiero
Se relacionan con el manejo de los recursos de la
entidad e incluye, la ejecucin presupuestal, la
elaboracin de los estados financieros, los pagos,
manejos de excedentes de tesorera y el manejo sobre
los bienes. De la eficiencia y transparencia en el manejo
de los recursos, as como su interaccin con las dems
reas, depender en gran parte el xito o fracaso de
toda entidad.
La existencia de estos riesgos a nivel inaceptable puede
requerir acciones del Directorio, segn corresponda.
Ejemplo: Falta de efectivo para atender pagos; aumento
no previsto del valor del dlar

129
El riesgo financiero se puede dividir en:
a) Riesgo de Mercado: Se define como el riesgo que
sobre las inversiones ejercen los movimientos en las tasas
de inters, los movimientos de precio, la liquidez del
mercado, entre otros.
b) Riesgo de Crdito: Se define como el riesgo de una
inversin debido al deterioro crediticio del emisor de un
valor, o de la capacidad de pago de la estructura o
instrumento en s.
c) Riesgo Operacional: Se define como el riesgo de
prdida derivado de la ejecucin, liquidacin o
transferencia de una operacin financiera, que puede
involucrar desde un simple depsito hasta un derivado
financiero.

130
La administracin de inversiones financieras, implica
mantener un equilibrio entre riesgo y retorno.
El riesgo financiero cuenta con tcnicas especficas.
Sin embargo debern identificarse los riesgos
genricos que pueden afectar a la empresa e
integrarlos al Mapa de Riesgos General.

131
4. Riesgos de Cumplimiento
Se asocian con la capacidad de la Empresa para
cumplir con los requisitos legales, contractuales,
polticas, normas, cdigos de tica y en general con
su compromiso ante la comunidad.

La existencia de estos riesgos a nivel inaceptable,

puede requerir la participacin de Asesores
Legales. Ejemplo: Incumplimiento de un proveedor
aprovechando un contrato mal redactado.

132
5. Riesgos de Tecnologa
Se asocian con la capacidad de la entidad para que la
tecnologa disponible satisfaga sus necesidades
actuales y futuras y soporte el cumplimiento de su
misin.
La existencia de estos riesgos a nivel inaceptable puede
requerir la participacin del rea de SISTEMAS.
Ejemplo: Fallo de un sistema informtico.
La clasificacin de cada amenaza la realizar el
responsable del subproceso que la identifica. Dicha
clasificacin ser luego revisada por personal de
AUDITORIA INTERNA quien la podr ajustarla en caso
de entender que no fue correctamente clasificada.
Se estima que en forma inicial dicha clasificacin es
suficiente al definir un nivel para las amenazas.
133
Identificacin de Riesgo Integral a nivel de Subproceso
Una de las formas de identificar con la consulta efectiva a
los dems Jefes y/o Gerentes participantes en el proceso,
y as determinar lo siguiente:
Existencia de actividades crticas en el subproceso.
Acontecimientos (Riesgos) que han afectado el
cumplimiento de los objetivos y actividades.
Existencia de medidas de control para mitigar los
riesgos identificados.
Existencia de servicios proporcionados por terceros.
Existencia de probabilidad de demandas de
trabajadores, afiliados.
Existencia de sistemas, aplicativos y activos vulnerables.
134
Tambin puede pensarse en los agentes que
ocasionan esas amenazas para completar la lista de
amenazas:
Qu puede fallar de la tecnologa usada en el
subproceso?
Qu dao puede originarse en actitudes, errores y
acciones de funcionarios?
Qu dao puede originarse en actitudes, errores y
acciones de personal del proveedor o terceros?
Qu eventos naturales pueden afectar al subproceso?
Qu circunstancias polticas, legales o econmicas
pueden afectar al subproceso?

135
Para lograr la participacin de los dems trabajadores que
conocen el Subproceso, el responsable del mismo podr
usar las tcnicas siguientes: tormenta de ideas, tcnica
Delphi, cuestionarios y encuestas, reuniones grupales,
anlisis FODA, uso de diagramas de flujo de proceso. Las
mismas buscan la participacin de modo de obtener
diversas visiones del mismo punto.

a) Tormenta de ideas. El equipo de trabajo deber

realizar esta tcnica con personal de diversas funciones o
niveles con el propsito de aprovechar el conocimiento
colectivo del grupo y desarrollar una lista de
acontecimientos relacionados.

136
b) Tcnica Delphi. Es una tcnica que permite llegar a un
consenso entre expertos en una determinada materia. Los
expertos en riesgos participan en esta tcnica de forma
annima. Un facilitador emplea un cuestionario para
solicitar ideas acerca de los riesgos importantes de la
entidad.
Las respuestas obtenidas son luego resumidas y enviadas
nuevamente a los expertos para que realicen comentarios
adicionales.
c) Cuestionarios y encuestas: Los cuestionarios abordan
una amplia gama de cuestiones que los participantes
debern considerar, centrando su reflexin en los factores
internos y externos que han dado, o pueden dar lugar, a
eventos negativos. Las preguntas pueden ser abiertas o
cerradas, segn sea el objetivo de la encuesta.
137
d) Entrevistas. Entrevistar a participantes experimentados
e interesados en la materia de riesgos as como aquellos
funcionarios involucrados en los principales procesos.

e) Anlisis de debilidades, amenazas, fortalezas y

oportunidades (FODA). Esta tcnica permite, a travs del
anlisis interno (fortaleza y debilidades) y del anlisis
externo (amenazas y oportunidades), determinar e
identificar algunos riesgos vinculados al entorno de la
entidad y a los aspectos de la organizacin que puedan
afectar las polticas y estrategias de la entidad.

138
f) Diagramas de flujo de procesos. El anlisis del
flujo de procesos implica normalmente la
representacin grfica y esquemtica de un proceso,
con el objetivo de comprender las interrelaciones
entre las entradas, tareas, salidas y responsabilidades
de sus componentes. Una vez realizado este
esquema, los acontecimientos pueden ser
identificados y considerados frente a los objetivos del
proceso.

139
Redaccin, Cantidad y Calidad de Riesgos a
Identificar
El rea de AUDITORIA INTERNA debe contar con un
Instructivo de aplicacin de evaluacin de riesgos.
All se incluye el Modelo de Planilla Borrador de
identificacin de Riesgos.
Dicho instructivo incluir una lista de modelos de amenaza
genrica y orientativa que sirvan de ejemplo.
Las mismas tratan que el evaluador vea que la amenaza
es la accin que puede afectar el objetivo y no la
consecuencia o el agente que lo ocasiona.
Ejemplo: Mala imagen pblica no es una amenaza sino la
consecuencia de algo que pas, una amenaza que se
concret.
140
La amenaza podra ser robo y mal uso de informacin
de aportantes. Una vez difundida tiene entre otras
consecuencias efecto negativo sobre la imagen
pblica.
Tampoco constituye una amenaza algo que es
claramente una falla de un control.

Por ejemplo: El personal no sabe usar un equipo

extinguidor de incendio es en realidad una
vulnerabilidad que ser explotada por la amenaza
Incendio Adicionalmente se debe recomendar que la
amenaza sea clara, para asegurar que las medidas de
control a proponer sean efectivas.
141
Dentro del enfoque de mejora progresiva, se definir una
cantidad de riesgos esperable por Subproceso a identificar
en el primer ciclo de evaluacin. El mismo se recomienda
que sea en el entorno de cinco riesgos por cada
subproceso (independiente de la cantidad de objetivos del
subproceso identificados).
Sin embargo, se deber dejar constancia que dicha
cantidad propuesta es orientativa, si un responsable de
identificacin considera que por su gravedad debe incluir
algn riesgos adicional podr hacerlo.
Tambin deber indicar que en un primer ciclo de
evaluacin se espera que los riesgos a identificar sean
ms bien genricos. Esto refiere al nivel de detalle de los
mismos.

142
Inventario de Riesgos
A partir de la identificacin de riesgos realizada, se
deber implementar un Inventario de riesgos que
permita su seguimiento.
En sucesivos ciclos se entregar al evaluador para
que lo tenga en cuenta en cuanto a los riesgos
identificados, los que podr variar en sus valuaciones.
Este informe se obtendr a partir del sistema
informtico, una vez cargados y valorados todos los
riesgos.
El mismo detallar la informacin identificada de cada
riesgo en el ciclo de evaluacin anterior.

143
FASE III: ANALIZAR RIESGOS
Esta fase comprende lo siguiente:
1) Analizar las amenazas identificadas en trminos de
probabilidades e impacto.
2) Identificar y valuar los controles mitigantes relacionados.
El anlisis debe considerar el rango de impactos
potenciales y cun probable es que ocurran esas
consecuencias negativas segn las escalas definidas en la
fase contexto.
El impacto, la probabilidades y el juicio de los controles
al ser combinadas determinaran un valor para priorizar los
riesgos en fases posteriores. La aplicacin de una
metodologa uniforme para todos los riesgos, permite su
comparacin. Los objetivos de anlisis son focalizar en los
riesgos mayores, y proveer datos para asistir en las etapas
de evaluacin y tratamiento de los riesgos. 144
Medicin de Riesgos y Controles
Una vez identificada el conjunto de amenazas, las
mismas deben priorizarse. Esto se justifica en que
dado que los recursos son escasos debe definirse un
esquema que defina cuales deben atenderse primero.
El anlisis de riesgo tendr diversos grados de
refinamiento dependiendo de la informacin
disponible.
A efectos de iniciar el proceso se usar una escala de
juicios cualitativos. Es decir, se definir diversas
opciones entre las cuales se elegir la que se estime
que ms se ajusta a la amenaza concreta.

145
Cantidad de Niveles de Juicio
Deben definirse cuantas posibles opciones de opinin se
establecen para cada una de las dos mediciones
(probabilidad e impacto). Para ello se establecen cinco
valores para la probabilidad de ocurrencia y cinco para el
impacto o consecuencia en caso de ocurrencia.
Esto permite a quien evala considerar entre los extremos
superiores e inferiores varios valores que permitan una
distribucin ms afinada.
Por lo tanto, al tratarse de un cuadro de 5 x 5, existan
veinticinco opciones para distribuir adecuadamente todas
las amenazas de la entidad. Asimismo evita la
concentracin en una sola zona media que luego haga
ms compleja la priorizacin.
146
Criterios Cualitativos para determinar la
PROBABILIDAD de los Riesgos
Para determinar la probabilidad de ocurrencia de los
riesgos Integrales, identificados en los procesos, se debe
establecer 5 niveles de probabilidad de ocurrencia:
Si bien pueden existir eventos ms frecuentes (error de
digitacin en un sistema) que otros (incendio), se toma
como referencia bsica la ocurrencia efectiva de la
amenaza en el espacio de tiempo definido en la
descripcin.
Para determinar en qu nivel debe ubicarse cada amenaza
segn la escala que se presenta, a continuacin el
evaluador debe tener en cuenta lo siguiente:

147
 Escala de Probabilidad
Nivel Probabilidad de Descripcin
ocurrencia del
evento
5 Casi certeza Hay una casi certeza de que este
evento ocurrir Las condiciones son
altamente propicias para ocasionar su
materializacin.
Existe una gran probabilidad de que
dicho evento ocurra ms de doce
veces al ao.
4 Muy Frecuente Puede ocurrir por lo menos dos veces
al ao.
3 Frecuente Puede ocurrir por lo menos una vez al
ao. Las condiciones son
medianamente favorables para
permitir su ocurrencia
2 Ocasional Puede ocurrir por lo menos una vez
cada dos aos o ms.
1 Rara vez Puede ocurrir por lo menos una vez
cada diez aos o ms. No existen
condiciones que permitan su
ocurrencia

148
Criterios Cualitativos para determinar el nivel
de IMPACTO de los Riesgos
Medicin del Impacto de la amenaza:
La concrecin efectiva de la amenaza tendr un efecto
negativo sobre uno o ms objetivos que se pretendan
cumplir. Sea que ocurra demoras en la obtencin del
resultado (tiempo), o que lo obtenido no sea lo
esperado (calidad) o requiera destinar ms recursos
(costo), existe en ltima instancia un efecto de prdida
financiera.
Sin embargo, ante la imposibilidad de cuantificar
efectivamente dicha prdida en valor monetario se
usarn por parte del evaluador un conjunto de criterios
para la evaluacin.

149
 Escala de Impacto

Nivel IMPACTO

5 Catastrfico

4 Alto

3 Moderado

2 Menor

1 Insignificante

150
Nivel Impacto Descripcin
5 Muy Alta No se puede cumplir con los objetivos del Negocio, el no
cumplimiento compromete a la Empresa, puede ser
sancionada, se pueden dar prdidas financieras muy altas,
prdidas de imagen, y no cumplimiento de
responsabilidades. Compromete la imagen de la
organizacin. Se hace pblico. Por ej.; Incendio grave, robo
o alteracin de las bases de datos crticas. Puede obligar a
activar el Plan de continuidad de negocio por un periodo de
tiempo prolongado.
4 Alta Requiere tratamiento, correccin inmediata, en las reas
afectadas,
Los procesos afectados son crticos
Se requiere de asistencia para la correccin, se representan
prdidas financieras medias, de imagen y pueden existir
debilidades en los procesos operativos y consecuencias
legales. Ocasiona una prdida de informacin significativa.
Requiere rehacer los trabajos para volver a la situacin
anterior. Altos costos de recursos para reparar la situacin
3 Moderado Prdidas de alguna capacidad de operacin, La duracin del
efecto negativo no llega a afectar la operativa diaria, aunque
puede ser percibido por terceros.
La Compaia se ve expuesta a prdidas financieras u
operativas moderadas.
Determina procedimientos de investigaciones internas
2 Menor Los tratamiento de ayuda o correccin, se realiza de manera
inmediata,
Genera algunas prdidas financieras o de imagen,
Los procesos afectados no son crticos y los compromisos de
la Empresa hacia los terceros o internamente no se ven
comprometidos.
Un suceso que afecta las operaciones pero se resuelve a
nivel del rea involucrada.
La interrupcin no supera una hora. Ocasiona algn trabajo
para restaurar la situacin
1 Insignificante No hay dao, ni prdida financiera, ni de imagen, ni de
potenciales problemas operativos o de cumplimiento legal
bajo.
Se trata de un caso puntual con prdidas poco significativas,
Se soluciona rpidamente sin que queden consecuencias.

151
Criterios para juicio sobre las Actividades de Control
La organizacin realiza un conjunto de actividades usando
recursos internos y externos, define polticas y
procedimientos, orientados a:

1. Disminuir la probabilidad de que una amenaza ocurra

(Controles preventivos).
2. Detectar en caso de que est ocurriendo para minimizar
la prdida deteniendo su efecto daino (Controles
detectivos).
3. Si el evento ocurri minimizar la prdida ocurrida y su
efecto perjudicial (Controles correctivos).

152
El rea evaluada deber identificar los controles
actualmente vigentes de modo de determinar su suficiencia
ante la amenaza asociada.
Para ello el evaluado debe considerar lo siguiente:
a) Para qu se hace esta actividad de control?
b) Se aplica en la prctica en forma consistente y se
puede demostrar?
c) Puede requerir mejoras o nuevos controles
complementarios para disminuir el efecto daino del
riesgo?
En el proceso de enfrentar riesgos con controles, el
evaluador deber reportar los controles que a su juicio no
estn aportando valor a la Empresa, tales como:

153
a) Son ms costosos que el beneficio que aportan.
b) No se ha podido asociar a ninguna de las amenazas
que pueden afectar los procesos del rea.
Para ello deber tener en cuenta, antes de autorizar su
eliminacin, que no est siendo usado para mitigar riesgos
de otra rea.
El juicio a emitir es sobre el conjunto de actividades de
control asociadas al riesgo.
Por ejemplo si para un riesgo hay tres controles, el control
A se estima Adecuado segn la escala siguiente, pero los
controles B y C deben mejorarse, el juicio Global debe ser
A mejorar. El evaluador deber clarificar esta situacin
mediante comentarios.

154
 Actividades de CONTROL

Puntaje Evaluacin de Descripcin

los controles
4 Adecuados Los controles se aplican en forma
consistente y la evidencia de su
aplicacin se encuentra debidamente
documentada. Se estima que no requiere
agregarse nuevos controles.
2 A mejorar Si bien existen controles, no son
suficientes para mitigar la amenaza.
Pueden fortalecerse e incluirse nuevos
controles. La evidencia de su aplicacin
es baja.
1 A implementar No existen controles para la amenaza
evaluada. O los que
existen se aplican en forma inconsistente

155
FASE IV: EVALUAR RIESGOS
Consiste en comparar el nivel de riesgo detectado durante
el proceso de anlisis contra el nivel de Riesgo Mximo
Aceptable que define el DIRECTORIO.
Esto posibilita que los riesgos sean ordenados como para
identificar las prioridades de acciones para mitigar los
riesgos.

Mapa de Riesgos
El mapa de riesgos se emplea tambin como una
herramienta para representar grficamente la
probabilidad de ocurrencia y el impacto para cada uno
de los riesgos identificados y a los que se encuentra
expuesta la empresa.

156
El rea de AUDITORIA INTERNA con la informacin sobre la
evaluacin cualitativa que contienen las Matrices de Riesgos y
Controles obtendr para anlisis, el Mapa de Riesgos el cual
incluye los riesgos Integral identificados.
Dicho Mapa se deber analizar de la siguiente forma:
Uno que incluya todos los Procesos y reas que por
consiguiente sea el mapa general de riesgos de la empresa
Un Mapa de Riesgos para cada rea organizativa de la
empresa que incluya las amenazas identificadas de todos los
procesos en que participa como responsable.
Un Mapa de Riesgos para un proceso especfico que se
desee analizar y que pueda incluir actividades de ms de un
rea.

157
 Puntuacin de la gravedad de la Consecuencia
5 4 3 2 1
Puntaje de Probabilidad
Casi Certeza 5 A A A A M

Probable 4 A A A M M

Posible 3 A A M M B

Improbable 2 A M M B B

Raro 1 A B B B B

158
Explicacin grfica:
Nivel Bajo de Probabilidad de Ocurrencia + Nivel Bajo de
Impacto
En la seccin de color amarilla se sitan los puntos que
representan aquellos riesgos que cuentan con una probabilidad de
ocurrencia e impacto medio.
Requieren un monitoreo permanente ante la posibilidad de que
cambie su estatus.
Nivel Medio de Probabilidad de Ocurrencia + Nivel Medio de
Impacto
La seccin de color rojo contiene aquellos riesgos que tienen una
alta probabilidad de ocurrir y que de materializarse el impacto puede
poner en peligro la continuidad del proceso Integral:
Nivel Alto de Probabilidad de Ocurrencia + Nivel Alto de
Impacto
El objetivo del mapa de riesgos es visualizar los riesgos Integrales,
en la grfica aquella que requieren atencin urgente (alta
probabilidad de ocurrencia y alto impacto), as como determinar
aquellos de prioridad menor que deben ser monitoreados.
159
ndice de Exposicin al Riesgo
A efectos de poder categorizar los riesgos por su criticidad,
se define lo siguiente:
o ndice de Exposicin al Riesgo= Probabilidad X Impacto
Juicio sobre A. Control

o En la medida que a los diversos juicios emitidos se les

asocia un puntaje a travs de una planilla excel, es
posible calcular dicho ndice.
o Segn las escalas definidas la probabilidad de
ocurrencia varia de 1 (Rara vez) a 5 (Casi certeza), el
Impacto tambin de 1 (Insignificante) a 5 (Muy Alto).
o Las escalas de los controles varia de 1 (A Implementar)
a 4 (Adecuado).

160
o Por consiguiente para un riesgo la peor situacin y de
mayor exposicin seran 25 (5 X 5/1) ya que con
mximo nivel de riesgo los controles no son adecuados.
o En el otro extremo tenemos un ndice de exposicin de
0,25 (1 X1/4), el que la probabilidad e impacto toman
(1) punto cada uno y los controles son adecuados (4).
o En ese entorno de puntajes 0,25 a 25 se ubican todos
los riesgos identificados y valuados.
o Este ndice significa que toda accin orientada a
disminuir el numerador (probabilidad y/o impacto
menores) y/o a aumentar el denominador (mejoras a los
controles) disminuir la exposicin al riesgo.

161
o La exposicin al riesgo deber calcularse para los
objetivos de cada subproceso y a su vez para el propio
subproceso y para cada rea.
o Se efectuar en un estado inicial usando promedio
simple (l considerar que todos los riesgos que pueden
afectar al mismo objetivo tienen el mismo peso.)
o El rea de riesgo deber monitorear los ndices de
Exposicin al Riesgo de las diversas reas e identificar
casos que requieran mejorar el nivel de exposicin
mediante medidas, que disminuyan el valor del ndice.

162
163
Riesgo mximo aceptable
La Empresa a travs del DIRECTORIO definir cuales riesgos
son inaceptables. Estos niveles se determinaran en forma previa
a la evaluacin del riesgo y podrn ser revisados a propuesta
del rea e control.

Se establece que superan el nivel de Riesgo aceptable para la

empresa aquellos que correspondan al rea roja del Mapa de
Riesgos:
Con probabilidad de ocurrencia definida como: 5-Casi
certeza, 4-Muy Frecuente o 3 Frecuente.
Con Impacto estimado de 5 Muy Alta o 4 Alta o 3 Moderado.
Cuyas actividades de control asociadas se definieron como A
mejorar o A implementar

164
El Riesgo es el producto numrico de la probabilidad por
impacto
La evaluacin es el juicio sobre los controles

Se indican con una X los casos en que se estima que el

nivel de riesgo supera lo Aceptable.
Para esos casos el responsable del rea deber
obligatoriamente proponer mejoras a los controles
orientadas a fortalecerlos.

165
Fig. Esquema Conceptual del RMA

166
FASE V: TRATAR RIESGOS
Se define una estrategia de mejora del Sistema de Control
Interno, optimizando el uso de recursos con soluciones
costo/efectivas para mitigar los riesgos inaceptables.

Aceptar y monitorear los riesgos de baja prioridad. Para

otros riesgos, desarrollar e implementar un plan de
administracin especfico que incluya definicin de
recursos.

Las acciones de tratamiento propuestas podrn ser evitar

el riesgo, reducir, transferirlo o mitigarlo. Debern, cuando
estn implantadas, dejar el nivel del riesgo por debajo del
RMA.

167
Tratamientos de Mejora ante los Riesgos
Las propuestas efectuadas podran ser de los siguientes
tipos:
o Aquellas en las cuales el responsable del subproceso
puede emprender accin inmediata y no tienen costo
monetario (por ejemplo disponer que el personal guarde
bajo llave los documentos al terminar la jornada).
o Acciones que teniendo costo sern ejecutadas por el
responsable del subproceso y su personal. Las mismas
requerirn la autorizacin correspondiente y la
asignacin de fondos.
o Acciones que deben ser ejecutadas por otra rea (por
ejemplo el responsable de un subproceso requiere que
su personal realice capacitacin o un nuevo sistema
informtico).
168
Los 4 tipos de acciones a ejecutar se pueden clasificar
del siguiente modo:

Una vez que esta actividad est implantada, deber tener

la validacin del responsable que lo solicit sobre la
efectividad de la solucin.

1. Evitar el riesgo
2. Reducir los riesgos
3. Compartir o transferir el riesgo
4. Aceptar el riesgo
Anexo MAPEO DE RIESGOS CORPORATIVOS 2017 - COLD IMPORT.xls

169
Riesgo Residual
Ejemplo de aplicacin y Riesgo Residual
La seleccin de tratamientos incluir un anlisis de cmo
los mismos disminuyen la probabilidad y/o el impacto a
niveles aceptables.
En efecto para un riesgo que superaba el Riesgo Mximo
Aceptable (RMA) se propusieron mejoras a los controles
(por ejemplo para disminuir la probabilidad de ocurrencia).
Al decidir aceptar e implantar esa propuesta de nuevos
controles debe determinarse que el nivel de exposicin al
riesgo (suponiendo que ese control ya funcionara)
disminuye a un nivel que no es 0 (cero), pero que es
menor que el Riesgo mximo Aceptable.

170
Ejemplo: El riesgo de que una queja de un Cliente o no
tenga seguimiento es juzgado como Frecuente (3 puntos) y
de impacto Muy Alto (5 puntos).
Esto da 15 puntos de producto.
A su vez el control actual se juzga como A mejorar ya
que si bien se hace algn seguimiento, el mismo no se
aplica en todos los casos ni se informa.
Se proponen los siguientes tratamientos:
Asignar un nmero de la queja (disminuye la
probabilidad)
Registrar las quejas y asignarle plazo y responsable de
seguimiento (disminuye la probabilidad)
Envi de una comunicacin al beneficiario si la queja no
es respondida en tiempo (disminuye el impacto)
171
Las tres medidas son propuestas porque se estima que
pueden disminuir para ese riesgo la probabilidad de que
ocurra a Ocasional (2 puntos) y el impacto a Menor (2
puntos) y controles Aceptables.
Como se puede notar en el ejemplo 2 x 2 = 4 < 15 nivel
donde se comienza a considerar los riesgos como no
aceptables.
Es claro que el nivel de riesgo de 4 puntos significa que el
riesgo no desapareci, queda un nivel de riesgo residual,
lo que ocurre que se considera tolerable.

172
FASE VI: MONITOREAR Y REVISAR
Monitorear y revisar el desempeo del sistema de
Administracin de Riesgos y los cambios que podran
afectarlo.
Las actividades de monitoreo se basaran en el
seguimiento de la informacin ingresada por las reas en
el sistema informtico. A partir de all se obtienen reportes
sobre la evaluacin y seguimiento de tratamientos.
Tambin forman parte del monitoreo las acciones
peridicas que se efecten para identificar amenazas no
previstas originalmente.
Mediante sucesivos ciclos se puede ir mejorando, y
tendiendo a lograr mediciones cada vez ms objetivas de
la efectividad de los controles.

173
Los responsables de cada rea y los evaluadores y
validadores de la misma pueden ver la informacin
cargada en el software y generar reportes y graficas de sus
propios procesos y subprocesos. Esto permite un
seguimiento de las situaciones graves (riesgos que
superan el riesgo mximo aceptable, segn el mapa de
riesgos) y de los dems riesgos menores.
El rea de AUDITORIA INTERNA pueden ver la
informacin integral, por ejemplo el Mapa de Riesgos de
toda la Compaa para informar al DIRECTORIO.
Tambin mediante el software se pueden registrar los
proyectos de mejora con sus responsables y monitorear el
cumplimiento al definir una fecha prevista de terminacin.

174
Apoyo para la Auditora del Riesgo Integral
El rea de control recibir copia de los informes de los
Auditores externos con las observaciones que cada rea
realice en ejercicio del cumplimiento de su Plan de
Trabajo. Deber evaluar las observaciones all realizadas
de modo de apoyar al rea en el cumplimiento de las
mismas, dentro de los procedimientos definidos por el
presente Manual.

Informes sobre Riesgo Integral

Poltica sobre Riesgos Integral para Reconocimiento de la
importancia del tema

175
Posicin ante el riesgo
La empresa adopta una posicin prudente ante los riesgos.
Tomando como referencia las escalas de medicin de
probabilidad e impacto definidas, se fija lo siguiente:
Se considerar que superan el Riesgo Mximo Aceptable,
aquellas potenciales amenazas que no contando con
controles adecuados asociados tienen definida:
o Probabilidad Casi certeza con Impacto Moderado o
superior
o Probabilidad Muy frecuente con Impacto Alto o superior
o Probabilidad Frecuente con Impacto Muy Alto
Una vez identificadas situaciones de este tipo y validadas por
el rea responsable debern emprenderse acciones para
disminuir el nivel de exposicin al riesgo a niveles aceptables.
Las amenazas que estn por debajo del Riesgo Mximo
Aceptable debern ser igualmente monitoreadas.
176
FASE VII: COMUNICAR Y CONSULTAR
Comunicar y consultar con interesados internos y externos
segn corresponda en cada etapa del proceso de
administracin de riesgos y concerniendo al proceso como
un todo.

El DIRECTORIO debe estar informado de los avances del

proceso de Gestin de Riesgos. Cada responsable de
procesos y subprocesos as como sus supervisores
siguiendo la escala jerrquica, asumen la responsabilidad
de mantener los riesgos dentro de los niveles aceptables,
para lo cual debe recibir la informacin especfica sobre los
riesgos que gestiona.

177
 LOGO

CASO INTEGRAL para el reconocimiento de

Riesgos Empresariales y Sus Niveles Caso
EMPRESA CERVECERA PET SHOP BOYS
S.A.
Casos Empresariales de Identificacin,
Evaluacin y Tratamiento de Riesgos segn
ESTANDAR AUSTRALIANO NEOZELANDES y
COSO ERM
PT de IDENTIFICACION DE RIESGOS COSO ERM Cerveceria PET SHOP BOYS S A (Al 19 de Agosto del
2017).xls
Enunciado Caso Practico CERVECERA PET SHOP BOYS S.A. Mario Vergara Silva.doc

178
Expositor: Mag. CPC. Mario Vergara Silva

179