Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
I. INTRODUCCIÓN 4
I. Introducción
El siguiente manual considera todas las mejores prácticas establecidas por el Instituto
de auditores internos internacional, la asociación de auditores de sistemas de
información, la asociación de examinadores de fraudes certificados y la experiencia
práctica obtenida en distintas industrias y empresas nacionales y extranjeras.
Este manual está compuesto de secciones que se integran para establecer un modelo
de gestión de riesgos. En una primera parte se presenta la definición de riesgos, los
tipos de riesgos de acuerdo al nivel jerárquico de quien debe supervisarlo y gestionarlo
y todo lo concerniente con el proceso general de gestión de riesgos. Luego se presenta
la metodología desarrollada para las empresas, desde la identificación del riesgo, su
evaluación por impacto y probabilidad, el resultado final de la evaluación y el método
establecido para jerarquizar los distintos procesos y subprocesos de negocio.
Finalmente, se establece los lineamientos generales para la identificación y valoración
de los controles que mitigan los riesgos identificados, así como un proceso general de
evaluación para la administración, los auditores y el oficial de cumplimiento.
1. Universalidad
El modelo requiere de universalidad base. Esto es, se requiere determinar o identificar
un universo sobre el cual aplicar la identificación y evaluación de riesgos. Esta
característica, permite asegurar que todas las actividades relevantes y que generan
valor al negocio, han sido consideradas en la evaluación y gestión de los riesgos. Para
esto, se considera como elemento base los procesos de negocio, ya que esto permite
abstraer la mirada de unidades de negocio específicas, y concentrar la mirada en el
cumplimiento de objetivos transversales de la organización.
2. Jerarquía de riesgos
La jerarquía de los riesgos corresponde a la clasificación de los riesgos que enfrenta la
entidad, de acuerdo al nivel jerárquico del responsable o responsables de gestionarlo.
A modo de ejemplo, los riesgos que requieren de definiciones y decisiones por parte
del Directorio y la Alta Administración, son definidos como estratégicos. A su vez, los
riesgos que se identifican en las actividades diarias, y que son gestionados por
personal de línea, son definidos como operacionales.
Los riesgos estratégicos, son aquellos que han sido establecidos por la Dirección de la
compañía, y que representan un potencial daño a la organización como un todo, ya sea
debilitando su posición negociadora, su sustentabilidad, afectando el cumplimiento de
objetivos estratégicos, perdiendo eficiencia operativa y/o financiera o generando un
daño al entorno y/o al personal. Estos riesgos si bien son identificados, descritos y
gestionados por la Dirección y la Alta Gerencia, se evalúan en base a los resultados de
los riesgos que existen a nivel operacional en conjunto con factores de riesgos del
entorno de la compañía.
Los riesgos operacionales son aquellos eventos potenciales que pueden generar un
daño a la organización en las actividades diarias de la empresa. Estos son gestionados
por los responsables de cada proceso y subproceso, quienes deben asegurar que
estos se encuentran bajo niveles de exposición aceptables. Estos riesgos a su vez han
sido clasificados en base a sus características propias y en base a la unidad
responsable de monitorearlos de forma independiente. Esta clasificación puede incluir:
Riesgo Operativo
Riesgo de Fraude
Riesgo de Información
Riesgos por incumplimiento normativo
intolerables. Las mejoras propuestas a los controles deben ser tratadas de forma
urgente por la Administración.
Estos valores son asignados de acuerdo a las evaluaciones de auditoría interna de los
últimos 3 años, asignándoles una ponderación de 20% al año −3; un 35% al año −2 y
un 45% al año −1. En los casos en que el subproceso analizado no ha sido evaluado
en los últimos 3 años, corresponde asignar el valor más alto de la evaluación (Valor 3)
b) Cambios en los subprocesos
Este factor permite incorporar en el análisis la ocurrencia de cambios en los
subprocesos o cambios que ocurrirán con alta probabilidad en el próximo periodo. El
valor asignado a este factor dependerá del impacto del cambio en el subproceso,
considerando para esto los siguientes criterios:
Valor 0 (Sin cambios) = No han existido cambios en el último periodo evaluado
y no se prevén cambios para el próximo periodo
Valor 1 (Cambios marginales) = Han ocurrido o se esperan cambios
marginales en el subproceso. No se estiman cambios de responsables de
actividades claves, sistémicos, en políticas o en procedimientos.
Valor 2 (Cambios importantes) = Han ocurrido o se esperan cambios en el
subproceso, relacionados con actualizaciones de procedimientos, sistemas o
estructura organizacional de nivel medio y/o bajo.
Valor 3 (Cambios estructurales) = Han ocurrido o se esperan cambios
significativos en el subproceso, relacionados con cambios en sistemas, políticas,
varios procedimientos y/o en la estructura organizacional de nivel gerencial.
Estos valores son asignados por las unidades de control en conjunto con los dueños de
procesos y validados por la Alta Gerencia.
c) Importancia del Subproceso
Este factor incorpora la visión de la Alta Dirección al modelo de gestión de riesgos,
asignándole valores de acuerdo a la relevancia del subproceso en los objetivos y metas
definidos como prioritarios para el periodo a evaluar. Para incorporar este factor se
requiere que en conjunto con la Dirección y Gerencia General, se defina un valor a
cada subproceso de acuerdo a los siguientes criterios:
Valor 0 (Sin relevancia) = El subproceso no esta directa ni indirectamente
relacionado con los objetivos estratégicos del negocio para el periodo evaluado.
Valor 1 (Relevancia Baja) = El subproceso está indirectamente relacionado con
los objetivos estratégico del negocio.
Valor 2 (Relevante) = El subproceso está directamente relacionado con uno o
mas objetivos estratégicos del negocio.
Valor 3 (Relevancia Crítica) = El subproceso está directamente relacionado con
uno o mas objetivos estratégicos del negocio. Una falla en el subproceso tiene
un efecto crítico e inmediato en el logro de los objetivos.
2. Medidas de control
El sistema de control interno es la combinación eficiente de condiciones ambientales y
actividades de control, que tienen por finalidad asegurar el cumplimiento de los
objetivos, la eficiencia de los procesos, el cumplimiento normativo, la protección de los
recursos de la compañía y la sustentabilidad del negocio.
El sistema de control interno, se compone de medidas tomadas por los distintos niveles
de la organización que son clasificadas como:
Controles Directivos
Controles Preventivos
Controles Detectivos / Correctivos
Los controles directivos, permiten establecer conductas deseadas y dar a conocer las
conductas no aceptadas por la compañía. Entre este tipo de controles se encuentran
las políticas, procedimientos, manuales, instructivos, reuniones, medidas de difusión de
buenas prácticas entre otras. El establecimiento de estos controles es la base para un
adecuado ambiente de control y cultura organizacional, y es la base sobre la cual el
resto de las actividades de control se implementan.
Los controles preventivos, son implementados con la finalidad de mitigar la
probabilidad de ocurrencia de riesgos en los procesos de negocio. Por lo tanto su
principal función es evitar la materialización de los riesgos identificados.
Los controles detectivos / correctivos, están diseñados para que en la eventualidad
de que un riesgo se materialice, los responsables del proceso puedan conocer de
forma oportuna e implementar las medidas correctivas pertinentes. Principalmente, este
tipo de controles permite minimizar el impacto de los riegos.
Criterios de Impacto
Criterios de Probabilidad
Tipo de Cambio
Empresa exportadora
Clima
Empresa agrícola