Manual de Gestión Integral de Riesgos

Manual de Riesgos Integrados

Gestión de Riesgos de Negocio, Auditoria y Cumplimiento

Miguel Angel Diaz Bahamondes

Versión Julio 2015

Miguel Angel Diaz Bahamondes 1

 Manual de Gestión Integral de Riesgos

Contenido

I. INTRODUCCIÓN 4

II. EL PROCESO DE GESTIÓN DE RIESGOS 5

1. UNIVERSALIDAD 5
2. JERARQUÍA DE RIESGOS 5
3. PONDERACIÓN DE LOS PROCESOS DE NEGOCIO 5
4. UNIFORMIDAD EN LA ASIGNACIÓN DE IMPACTO Y PROBABILIDAD DE LOS RIESGOS 6
5. NIVEL ACEPTABLE E INTOLERABLE DE RIESGOS 6
6. IDENTIFICACIÓN DE DUEÑO DE PROCESO 6
7. IDENTIFICACIÓN DE RESPONSABLE DE CONTROL 6

III. DEFINICIÓN DE UNIVERSALIDAD 7

IV. JERARQUÍA Y CLASIFICACIÓN DE RIESGOS 8

V. FACTORES DE PONDERACIÓN DE PROCESOS Y SUBPROCESOS 9

1. DEFINICIÓN DE FACTORES PONDERADORES 9
A) RESULTADOS DE AUDITORÍAS INTERNAS PREVIAS 9
B) CAMBIOS EN LOS SUBPROCESOS 10
C) IMPORTANCIA DEL SUBPROCESO 10

VI. IDENTIFICACIÓN DE RIESGOS 11

1. IDENTIFICACIÓN DE RIESGOS ESTRATÉGICOS 11
2. IDENTIFICACIÓN DE RIESGOS OPERACIONALES 11
A) DAÑOS AL “PATRIMONIO DE LA COMPAÑÍA” 12
B) IDENTIFICACIÓN DE EVENTOS 12
C) DEFINICIÓN DEL RIESGO 12

VII. EVALUACIÓN DE RIESGOS 13

1. EVALUACIÓN DE RIESGOS OPERACIONALES 13
2. EVALUACIÓN DE RIESGOS ESTRATÉGICOS 13
A) EVALUACIÓN DE RIESGOS ESTRATÉGICOS EXTERNOS. 14
B) RIESGOS ESTRATÉGICOS INTERNOS 14
C) RIESGOS ESTRATÉGICOS MIXTOS 15

VIII. NIVEL ACEPTABLE E INTOLERABLE DE RIESGO 15

IX. SISTEMA DE CONTROL INTERNO 16

1. RESPONSABILIDAD POR EL SISTEMA DE CONTROL INTERNO 16
A) RESPONSABILIDAD DE LA DIRECCIÓN 16
B) RESPONSABILIDADES DE LA ADMINISTRACIÓN 16
C) RESPONSABILIDAD DE AUDITORIA INTERNA 17
D) RESPONSABILIDAD DEL OFICIAL DE CUMPLIMIENTO 17
2. MEDIDAS DE CONTROL 17
3. EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO 18

Miguel Angel Diaz Bahamondes 2

 Manual de Gestión Integral de Riesgos

X. PRIORIZACIÓN DE LOS PROCESO Y SUBPROCESOS 19

1. DETERMINAR RIESGOS RELEVANTES 19
2. APLICACIÓN DE FACTORES DE RIESGOS 19
3. EVALUACIÓN DE RIESGOS EN EL SUBPROCESO 19
4. DETERMINACIÓN DEL VALOR DE PRIORIZACIÓN DEL SUBPROCESO 19

ANEXO 1: DESCRIPCIÓN DE RIESGOS ESTRATÉGICOS 21

ANEXO 2: MATRIZ DE EVALUACIÓN DE RIESGOS 22

CRITERIOS DE IMPACTO 23
CRITERIOS DE PROBABILIDAD 23

ANEXO 3: DRIVERS RIESGOS ESTRATÉGICOS EXTERNOS 24

TIPO DE CAMBIO 24
CLIMA 24

Miguel Angel Diaz Bahamondes 3

 Manual de Gestión Integral de Riesgos

I. Introducción
El siguiente manual considera todas las mejores prácticas establecidas por el Instituto
de auditores internos internacional, la asociación de auditores de sistemas de
información, la asociación de examinadores de fraudes certificados y la experiencia
práctica obtenida en distintas industrias y empresas nacionales y extranjeras.

Este manual está compuesto de secciones que se integran para establecer un modelo
de gestión de riesgos. En una primera parte se presenta la definición de riesgos, los
tipos de riesgos de acuerdo al nivel jerárquico de quien debe supervisarlo y gestionarlo
y todo lo concerniente con el proceso general de gestión de riesgos. Luego se presenta
la metodología desarrollada para las empresas, desde la identificación del riesgo, su
evaluación por impacto y probabilidad, el resultado final de la evaluación y el método
establecido para jerarquizar los distintos procesos y subprocesos de negocio.
Finalmente, se establece los lineamientos generales para la identificación y valoración
de los controles que mitigan los riesgos identificados, así como un proceso general de
evaluación para la administración, los auditores y el oficial de cumplimiento.

El objetivo final de este documento es presentar un procedimiento estándar para la

gestión de riesgos, que debe ser adaptado a la realidad de cada negocio, y de acuerdo
a las necesidades de la Dirección y Administración del Negocio.

Miguel Angel Diaz Bahamondes 4

 Manual de Gestión Integral de Riesgos

II. El proceso de Gestión de Riesgos

El proceso de gestión de riesgos puede ser definido como la integración de juicio
profesional y metodologías específicas para identificar los eventos que pueden afectar
el cumplimiento de los objetivos de la empresa, así como a su patrimonio, generando
un daño potencial que debe ser administrado por la dirección y administración de la
empresa.
Este proceso debe tener como característica principal el ser sistemático, es decir la
capacidad de retroalimentarse de sus propios resultados, ajustando periódicamente los
elementos que lo componen, con la finalidad de apoyar la toma de decisiones en todos
los niveles organizacionales y en la asignación eficiente de recursos de supervisión y
control.
El procesos expuesto en este documento está diseñado para apoyar tanto a la gestión
de riesgos para toma de decisiones como a las unidades de control independientes.
El modelo requiere cumplir con algunas características específicas para satisfacer los
objetivos antes mencionados, las cuales se han incorporado en las distintas etapas del
proceso. Estas características son:

1. Universalidad
El modelo requiere de universalidad base. Esto es, se requiere determinar o identificar
un universo sobre el cual aplicar la identificación y evaluación de riesgos. Esta
característica, permite asegurar que todas las actividades relevantes y que generan
valor al negocio, han sido consideradas en la evaluación y gestión de los riesgos. Para
esto, se considera como elemento base los procesos de negocio, ya que esto permite
abstraer la mirada de unidades de negocio específicas, y concentrar la mirada en el
cumplimiento de objetivos transversales de la organización.

2. Jerarquía de riesgos
La jerarquía de los riesgos corresponde a la clasificación de los riesgos que enfrenta la
entidad, de acuerdo al nivel jerárquico del responsable o responsables de gestionarlo.
A modo de ejemplo, los riesgos que requieren de definiciones y decisiones por parte
del Directorio y la Alta Administración, son definidos como estratégicos. A su vez, los
riesgos que se identifican en las actividades diarias, y que son gestionados por
personal de línea, son definidos como operacionales.

3. Ponderación de los procesos de negocio

La ponderación de los procesos de negocio es una característica relevante del modelo
de gestión de riesgo, ya que permite asignar una mayor prioridad a procesos que por
sus características, se encuentran mas expuestos a la materialización de los riesgos. A
los elementos que permiten ponderar los procesos, los denominaremos “Factores de
riesgos”.

Miguel Angel Diaz Bahamondes 5

 Manual de Gestión Integral de Riesgos

4. Uniformidad en la asignación de impacto y probabilidad de los

riesgos
Debido a que si no se establecen claramente los patrones para asignar un puntaje para
cuantificar el potencial impacto de la materialización de un riesgo y la probabilidad de
que el riesgo se materialice. Este elemento se traduce en una matriz única de
evaluación de riesgos, que es utilizada por todas las unidades que requieren evaluar
riesgos.

5. Nivel aceptable e intolerable de riesgos

El nivel de autoridad máximo de la organización, debe determinar los niveles
aceptables de riesgos y aquellos niveles que son intolerables para la organización.
Estos niveles son establecidos como Bajo (Aceptable), Medio (Requiere ser controlado
por la administración) y Alto (Nivel intolerable de riesgo que debe ser controlado de
forma prioritaria e inmediata)

6. Identificación de Dueño de Proceso

Cada proceso identificado y definido, debe tener un único responsable denominado
“Dueño de Proceso”, quien es responsable de asegurar que todos los riesgos
relevantes del proceso han sido identificados, han sido evaluados por los responsables
de cada subproceso y de la existencia de controles adecuados para mitigar tanto su
impacto en el negocio como la probabilidad de que este se materialice.

7. Identificación de responsable de control

Cada riesgo identificado y evaluado, debe estar claramente descrito y evaluado.
Adicionalmente, cada riesgo debe estar acompañado por un nivel optimo de
actividades de control que permitan llevar o mantener el nivel de riesgo, a un nivel
aceptable. Se entiende por nivel aceptable lo definido por la Dirección de la compañía
o, en casos especiales, un nivel de riesgo “Medio”, que se decide aceptar por parte de
la administración, debido a que por sus características, el establecer controles
exigentes que permitan llevarlo a un nivel “Bajo” puede significar un costo
significativamente superior al potencial daño del riesgo identificado.

Miguel Angel Diaz Bahamondes 6

 Manual de Gestión Integral de Riesgos

III. Definición de universalidad

La determinación de la universalidad de la empresa, puede ser determinado en base a
diferentes puntos de vista. Existe bibliografía que desarrolla este elementos desde una
mirada organizacional, geográfica u operacional, las cuales permiten determina cual es
la totalidad de las entidades internas que deben ser evaluadas en base a riesgos.
La determinación a través de la estructura organizacional, simplifica el análisis al utilizar
las distintas gerencia y unidades de negocio como base para establecer los elementos
a priorizar. Sin embargo, este punto de vista presenta la desventaja de que cambios en
la estructura organizacional, obligan a efectuar ajustes mayores al modelo de riesgos.
Debido a que en la actualidad los cambios organizacionales se generan con mayor
frecuencia, el modelo a su vez requiere ser adaptado y con esto se pierde estabilidad y
consistencia.
La determinación a través de ubicaciones geográficas, permite incorporar las distintas
actividades del negocio independiente de donde estas se encuentren, ayudando al
compromiso e integración de todos los empleados en el proceso de gestión de riesgos.
Sin embargo, al utilizar solo este punto de vista, se pierde la capacidad del modelo para
cruzar a la organización.
Finalmente el uso de un enfoque operacional, es decir a través de procesos de
negocios, permite asegurar la transversalidad del modelo y la incorporación de todas
las actividades necesarias para el cumplimiento de los objetivos del negocio.
Adicionalmente, si se utiliza como base para la identificación de los procesos y
subprocesos un enfoque de cadena de valor, estaremos asegurando que la gestión de
riesgo se enfoca efectivamente en las actividades que generan valor al cliente como al
negocio.
El modelo seleccionado para establecer el punto de partida de la gestión de riesgo es a
través de los procesos de negocio, combinando este enfoque con el de ubicaciones
geográficas, en la etapa de evaluaciones y revisiones independiente de los riesgos.
Es necesario señalar que el concepto de proceso corresponde al conjunto de
actividades que poseen un objetivo único, con un dueño definido y en el que se pueden
identificar claramente una entrada (Otro proceso o cliente), actividades que convierten
la entrada y una salida a otro proceso o cliente. A su vez un subproceso, es un
elemento de menor complejidad del proceso, que contiene una serie de actividades y
que su tamaño y complejidad permite que sea revisado por una entidad independiente
en un periodo razonable de tiempo (20 días hábiles por un equipo de 2 a 3 revisores).
Desagregar un proceso en muchos subprocesos, dificulta la evaluación integral del
proceso, y no desagregarlo lo suficiente, reduce la posibilidad de que revisiones
independientes puedan cubrir con suficiente profundidad un subproceso. Esta
definición permite asegurar la comparabilidad de las revisiones de auditoría interna,
externa o de compliance, al establecer alcances similares en distinto tiempo y ubicación
geográfica.

Miguel Angel Diaz Bahamondes 7

 Manual de Gestión Integral de Riesgos

IV. Jerarquía y Clasificación de Riesgos

La clasificación de los riesgos de la compañía, ha sido establecido en base a su nivel
jerárquico y al tipo de riesgo que se presenta. La clasificación de los riesgos según su
jerarquía es:
 Riesgos Estratégicos
 Riesgos Operacionales

Los riesgos estratégicos, son aquellos que han sido establecidos por la Dirección de la
compañía, y que representan un potencial daño a la organización como un todo, ya sea
debilitando su posición negociadora, su sustentabilidad, afectando el cumplimiento de
objetivos estratégicos, perdiendo eficiencia operativa y/o financiera o generando un
daño al entorno y/o al personal. Estos riesgos si bien son identificados, descritos y
gestionados por la Dirección y la Alta Gerencia, se evalúan en base a los resultados de
los riesgos que existen a nivel operacional en conjunto con factores de riesgos del
entorno de la compañía.
Los riesgos operacionales son aquellos eventos potenciales que pueden generar un
daño a la organización en las actividades diarias de la empresa. Estos son gestionados
por los responsables de cada proceso y subproceso, quienes deben asegurar que
estos se encuentran bajo niveles de exposición aceptables. Estos riesgos a su vez han
sido clasificados en base a sus características propias y en base a la unidad
responsable de monitorearlos de forma independiente. Esta clasificación puede incluir:
 Riesgo Operativo
 Riesgo de Fraude
 Riesgo de Información
 Riesgos por incumplimiento normativo

Tanto los riesgos operativos, de fraude y de información, son objeto de revisiones

independientes de auditoria interna, sin embargo, los riesgos de fraude además son
evaluados por el encargado de prevención de delitos y el de información es evaluado
por el encargado de seguridad de la información y por los auditores externos para los
reportes financieros.

Miguel Angel Diaz Bahamondes 8

 Manual de Gestión Integral de Riesgos

V. Factores de Ponderación de Procesos y Subprocesos

El modelo de gestión de riesgos, como se señaló previamente, tiene por finalidad el
determinar los riesgos que exponen a la compañía a niveles por sobre lo tolerable y
asignar adecuadamente los recursos disponibles. Este último objetivo se cumple al
priorizar adecuadamente los distintos subprocesos identificados. El método de
priorización consta de dos etapas: la primera corresponde a la definición de factores
ponderadores de procesos y subprocesos y la segunda etapa a la evaluación formal de
los riesgos identificados en cada etapa.

1. Definición de factores ponderadores

Con la finalidad de asignar una adecuada ponderación a cada proceso y subproceso,
se han definido un número limitado de factores que permitirán iniciar la priorización.
Estos factores corresponden a condiciones generales que permiten definir un
subproceso como con mayor o menor exposición a los riesgos, los cuales han sido
seleccionados considerando las mejores prácticas internacionales y las condiciones
particulares de la compañía. Estos factores son:
 Resultados de Auditorias Internas Previas
 Cambios ocurridos en el subproceso o que se espera ocurran en el periodo
siguiente de evaluación (Generalmente 12 meses)
 Importancia asignada por la Dirección y Alta Gerencia al proceso

Estos factores, de acuerdo a su naturaleza, son evaluados en conjunto con la

administración o por una unidad independiente, asignándole un valor de 0 a 3 de
acuerdo a los siguientes criterios:
a) Resultados de Auditorías Internas Previas
Este factor requiere que el resultado global de cada revisión de auditoria interna, quede
expresado de forma estandarizada tanto en los reportes como en la comunicación
oficial al dueño del proceso involucrado y al Comité de Auditoria. Cada revisión
requiere una evaluación estándar del nivel de control que posee el proceso y su efecto
en la mitigación de los riesgos. En este caso se han definido los siguientes niveles:
 Valor 0 (Adecuado) = El sistema de control permite mitigar a nivel aceptable
todos los riesgos evaluados en el o los subprocesos
 Valor 1 (Satisfactorio) = El sistema de control permite mitigar a nivel aceptable
la mayor parte de los riesgos evaluados, existiendo mejoras de control que
permitirían dejar todos los riesgos en nivel aceptable
 Valor 2 (Inadecuado) = El sistema de control no permite mitigar los riesgos
evaluados, existiendo riesgos residuales que se encuentran por sobre los niveles
aceptables. Existen mejoras propuestas a los controles que deben ser tratados
por la Administración.
 Valor 3 (Débil) = El sistema de control implementado no mitiga de forma
adecuada los riesgos evaluados, existiendo riesgos residuales en niveles

Miguel Angel Diaz Bahamondes 9

 Manual de Gestión Integral de Riesgos

intolerables. Las mejoras propuestas a los controles deben ser tratadas de forma
urgente por la Administración.
Estos valores son asignados de acuerdo a las evaluaciones de auditoría interna de los
últimos 3 años, asignándoles una ponderación de 20% al año −3; un 35% al año −2 y
un 45% al año −1. En los casos en que el subproceso analizado no ha sido evaluado
en los últimos 3 años, corresponde asignar el valor más alto de la evaluación (Valor 3)
b) Cambios en los subprocesos
Este factor permite incorporar en el análisis la ocurrencia de cambios en los
subprocesos o cambios que ocurrirán con alta probabilidad en el próximo periodo. El
valor asignado a este factor dependerá del impacto del cambio en el subproceso,
considerando para esto los siguientes criterios:
 Valor 0 (Sin cambios) = No han existido cambios en el último periodo evaluado
y no se prevén cambios para el próximo periodo
 Valor 1 (Cambios marginales) = Han ocurrido o se esperan cambios
marginales en el subproceso. No se estiman cambios de responsables de
actividades claves, sistémicos, en políticas o en procedimientos.
 Valor 2 (Cambios importantes) = Han ocurrido o se esperan cambios en el
subproceso, relacionados con actualizaciones de procedimientos, sistemas o
estructura organizacional de nivel medio y/o bajo.
 Valor 3 (Cambios estructurales) = Han ocurrido o se esperan cambios
significativos en el subproceso, relacionados con cambios en sistemas, políticas,
varios procedimientos y/o en la estructura organizacional de nivel gerencial.
Estos valores son asignados por las unidades de control en conjunto con los dueños de
procesos y validados por la Alta Gerencia.
c) Importancia del Subproceso
Este factor incorpora la visión de la Alta Dirección al modelo de gestión de riesgos,
asignándole valores de acuerdo a la relevancia del subproceso en los objetivos y metas
definidos como prioritarios para el periodo a evaluar. Para incorporar este factor se
requiere que en conjunto con la Dirección y Gerencia General, se defina un valor a
cada subproceso de acuerdo a los siguientes criterios:
 Valor 0 (Sin relevancia) = El subproceso no esta directa ni indirectamente
relacionado con los objetivos estratégicos del negocio para el periodo evaluado.
 Valor 1 (Relevancia Baja) = El subproceso está indirectamente relacionado con
los objetivos estratégico del negocio.
 Valor 2 (Relevante) = El subproceso está directamente relacionado con uno o
mas objetivos estratégicos del negocio.
 Valor 3 (Relevancia Crítica) = El subproceso está directamente relacionado con
uno o mas objetivos estratégicos del negocio. Una falla en el subproceso tiene
un efecto crítico e inmediato en el logro de los objetivos.

El factor final ponderador de cada subproceso, corresponde a la suma de los tres

factores antes descritos.

Miguel Angel Diaz Bahamondes 10

 Manual de Gestión Integral de Riesgos

VI. Identificación de riesgos

Una vez que se han definido los conceptos generales descritos anteriormente, es
necesario iniciar una de las actividades que requiere una mayor dedicación y de mayor
relevancia para el modelo de gestión de riesgo. Esta actividad corresponde a la
identificación de riesgos de negocios, tanto estratégicos como operacionales. De
acuerdo al nivel de los riesgos, se utilizan métodos distintos para la identificación:

1. Identificación de riesgos estratégicos

Los riesgos estratégicos son establecidos por la Dirección de la compañía,
considerando los desafíos futuros, entorno al que enfrentan y la normativa legal
vigente. Con el soporte de las unidades especialistas en riesgo, se establecen
formalmente las principales preocupaciones de la Dirección, ya sea por que pueden
afectar de forma significativa el cumplimiento de objetivos estratégicos, por que pueden
afectar la sustentabilidad de la organización, afectar la imagen de la compañía o dañar
significativamente recursos estratégicos del negocio.
De acuerdo a estas consideraciones, y en base lo definido por el SEP, se identificaron
los siguientes riesgos como posibles estratégicos:
 Daño a la Imagen
 Interrupción operacional
 Falta de liquidez
 Incumplimiento de objetivos y/o ineficiencias
 Fraude Corporativo
 Incumplimiento normativo
La selección definitiva de cada riesgo, debe ser revisada y aprobada anualmente tanto
por el Comité de Auditoría como por el Directorio. En Anexo 2, se presenta una
descripción de cada riesgo estratégico.

2. Identificación de riesgos operacionales

La identificación de los riesgos operacionales es la parte central del modelo. Sin una
adecuada identificación y definición de los riesgos operacionales de cada proceso, no
es posible asegurar la integridad, consistencia y validez de la gestión de riesgos.
Para iniciar el proceso de identificación, es necesario determinar cuales son los
elementos que se pueden ver afectados durante las actividades de la empresa y por el
accionar de terceros. Es necesario destacar que un enfoque ampliamente aceptado y
que tiene resultados efectivos, es comenzar por los objetivos de cada proceso y
subproceso, y comenzar a identificar eventos que pueden afectar adversamente el
logro de tales objetivos. Sin embargo, este enfoque requiere asegurar que los riesgos
identificados son los adecuados y que son consistentes con los objetivos de
estratégicos del negocio. Debido a que la finalidad del proceso de gestión de riesgos no
considera la planificación estratégica y la correspondiente definición de objetivos, se
utilizará un enfoque mas amplio para la identificación de riesgos, esto es la
identificación de daños patrimoniales y los eventos que pueden generar este daño:

Miguel Angel Diaz Bahamondes 11

 Manual de Gestión Integral de Riesgos

a) Daños al “Patrimonio de la Compañía”

Se entiende por patrimonio de la compañía, cualquier elemento interno o externo que
permite alcanzar los objetivos del negocio y/o generar valor a clientes y al negocio. En
este sentido el patrimonio puede estar compuesto de:
 Daño Imagen
 Pérdidas Financieras
 Daño a la Información
 Pérdida a Clientes
 Pérdida de Continuidad Operacional
b) Identificación de Eventos
Una vez definidos los daños que pueden afectar adversamente a la organización, en
conjunto con cada unidad de negocio, se inicia la identificación de eventos que pueden
generar estos daños en las actividades diarias de la empresa.
La identificación inicial de los eventos se genera en reuniones de trabajo con personal
clave de cada subproceso, en la cual se señalan las acciones que pueden fallar ya sea
de forma intencional o no intencional. Esto se realiza a través de “Tormentas de Ideas”
que quedan plasmadas en los documentos de trabajo.
c) Definición del Riesgo
Finalmente, la combinación del daño, el evento que lo genera y la ubicación dada por el
subproceso, nos permite definir completamente el riesgo, cumpliendo siempre con la
nomenclatura mínima del riesgo:

DAÑO + EVENTO + UBICACIÓN

Miguel Angel Diaz Bahamondes 12

 Manual de Gestión Integral de Riesgos

VII. Evaluación de riesgos

La evaluación de los riesgos es una etapa crítica y por su naturaleza subjetiva. El
objetivo de esta etapa es presentar una metodología de evaluación estándar para todas
las unidades que deben evaluar los riesgos operacionales, estableciendo criterios
comunes para aplicar e interpretar los distintos componentes de la evaluación de
riesgos.
Este manual, establece dos metodologías para evaluar los riesgos, una para la
evaluación de riesgos estratégicos, en base a factores de entorno y en base a los
resultados de las evaluaciones de riesgos operacionales. Para estos últimos riesgos, se
establece un método basado en patrones y criterios comunes para ser aplicados sobre
los riesgos previamente identificados.

1. Evaluación de riesgos operacionales

Los riesgos operacionales que han sido identificados en la etapa anterior, serán
evaluados de acuerdo a la percepción de impacto al negocio y de la probabilidad de
ocurrencia del riesgo en el periodo analizado. Inicialmente el periodo de evaluación o
alcance de la evaluación es en base anual, siendo factible reducir este periodo a base
semestral o trimestral.
Los componentes para la evaluación de riesgos son:
 Impacto: el potencial daño al patrimonio de la compañía (patrimonio de acuerdo
a definición de la etapa anterior). Este se mide de forma cualitativa de 1 a 5,
siendo el nivel cinco el mas alto. Se establecen criterios para la aplicación de
este valor, de acuerdo al daño identificado en la primera parte de la definición
del riesgo (Daño + Evento + Ubicación).
 Probabilidad: la probabilidad de ocurrencia corresponde a que tan probable es
que el riesgo se materialice en el periodo base de evaluación. Si consideramos
base anual, se establece este elemento como la probabilidad de que el riesgo se
materialice durante el próximo año. La valorización de la probabilidad es
cualitativa, asignando un valor de 1 a 5 siendo cinco el valor para la mas alta
probabilidad de ocurrencia. Se establecen criterios para la aplicación de este
valor, considerando el evento que genera el daño en la definición del riesgo y su
ubicación.
 Nivel de Riesgo: corresponde a la multiplicación del valor asignado al impacto,
multiplicado por el valor de probabilidad de ocurrencia.
 Los criterios para la evaluación del riesgo se estructuran en una matriz de
evaluación de riesgos que se presenta en anexo 2

2. Evaluación de riesgos estratégicos

Se entiende como riesgo estratégico, a aquel riesgo transversal de la organización que
puede afectar el cumplimiento de objetivos estratégicos del negocio o afectar
significativa y directamente la sustentabilidad del negocio.
Los riesgos estratégicos por su naturaleza son evaluados en base a dos componentes
principales, las condiciones del entorno y las evaluaciones de riesgos operacionales

Miguel Angel Diaz Bahamondes 13

 Manual de Gestión Integral de Riesgos

relacionados. La metodología de evaluación dependerá de si corresponde a un riesgo

estratégico interno, externo o una mezcla de ambos.
Esta evaluación requiere cumplir con las siguientes fases:
a) Evaluación de riesgos estratégicos externos.
Los riesgos estratégicos externos, son aquellos que la probabilidad de ocurrencia no
depende de factores operacionales o decisiones tácticas de la administración. La
probabilidad está dada única y exclusivamente por elementos del entorno de la
empresa.
La evaluación se realiza definiendo indicadores o “drivers” del riesgo, que representen
las condiciones del entorno que enfrenta la compañía. Estos drivers pueden ser
definidos para la organización como un todo o por unidades separadas de negocio, las
cuales se ponderarán para definir la evaluación final. De forma alternativa, se pueden
definir drivers temporales, es decir, indicadores de corto plazo o largo plazo,
dependiendo de la naturaleza del riesgo analizado.
Como ejemplos de riesgos estratégicos externos podemos definir la condición climática
para empresa agrícola y el tipo de cambio para una empresa exportadora, para estos
casos se pueden definir como drivers lo siguiente:
 Para el riesgo de cambio a condiciones negativas del clima (tiempo), puede ser
necesario establecer la zona en que se desempeña la operación de la empresa
agrícola, así tendrá un indicador en la zona sur muy distinta a la zona norte.
Finalmente, el nivel de riesgo será la ponderación de los indicadores en ambas
zonas.
 En cambio el riesgo de variación negativa del tipo de cambio para una empresa
exportadora, para este riesgo se puede definir como driver la tendencia del tipo
de cambio de corto plazo y otro driver sobre la tendencia de largo plazo, ambos
se ponderan para establecer el nivel del riesgo global.
Un par de ejemplos utilizados para definir la probabilidad de ocurrencia de estos
riesgos se presenta en el anexo 3. (Nota: corresponden a empresas distintas, con
formatos y parámetros diferentes para medir los riesgos)
b) Riesgos estratégicos internos
Los riesgos estratégicos internos ven afectada su probabilidad de ocurrencia e impacto
únicamente por factores operacionales de la compañía. Debido a esto, la medición del
riesgo estratégico interno dependerá de la evaluación de los riesgos operacionales
relacionados. Por ejemplo, un riesgo estratégico para una empresa del rubro
alimenticio puede ser la venta a cliente de productos contaminados o con desviaciones
significativas de calidad. Este riesgo depende exclusivamente de lo bien o mal que se
controle la operación de la compañía para evitar amenazas internas o externa.
En los casos de que un riesgo estratégico esté relacionado con un grupo de N riesgos
operacionales, el valor del riesgo estratégico estará dado por:

Miguel Angel Diaz Bahamondes 14

 Manual de Gestión Integral de Riesgos

Promedio de nivel de riesgo de los N Riesgos * 0,30 + El nivel de

riesgo operacional máximo *0,7

c) Riesgos estratégicos mixtos

Los riesgos estratégicos mixtos ven afectada su probabilidad de ocurrencia e impacto
tanto por factores internos y externos, por lo tanto se aplicará una evaluación separada
de los factores externos, tal como se indica en la evaluación de riesgos externos y por
otra parte, la evaluación de los riesgos operacionales relacionados, de la misma forma
señalada para los riesgos estratégicos internos.
Los resultados de ambas evaluaciones se ponderan en partes iguales (50% de
ponderación para cada uno) para obtener el nivel de riesgo definitivo.

VIII. Nivel Aceptable e Intolerable de Riesgo

De acuerdo a la matriz de evaluación de riesgos, se definen 4 niveles cualitativos de
riesgos (Bajo, Medio, Alto y Crítico). El nivel bajo corresponde a niveles tolerables de
riesgo, los cuales pueden ser aceptados por la gerencia. Un nivel medio es aquel en
que el nivel al que está expuesta la compañía que está por sobre los niveles tolerables,
pero no afecta significativamente los objetivos de la compañía. El nivel alto está por
sobre lo tolerable y puede afectar significativamente al negocio si no se corrige el
problema en el corto plazo y por lo tanto la gerencia debe desarrollar procedimientos de
control que permitan llevar el riesgo a un nivel tolerable. El nivel de riesgo crítico,
corresponde a un nivel intolerable de riesgo, el cual debe ser tratado de forma
inmediata por la administración y/o dirección para reducir su impacto en el negocio y la
probabilidad de que se materialice.
La definición de nivel aceptable e intolerable es establecido por el nivel directivo de la
organización, siendo esta definición un parámetro único a ser aplicado en el proceso de
gestión de riesgo del negocio. Excepciones a esta definición deben ser aprobadas por
el Comité de Auditoria y/o Directorio.

Miguel Angel Diaz Bahamondes 15

 Manual de Gestión Integral de Riesgos

IX. Sistema de Control Interno

1. Responsabilidad por el sistema de control interno
a) Responsabilidad de la Dirección
La Dirección debe conocer los riesgos estratégicos de la organización y como la
empresa se expone a ellos. Es responsable por asegurar que el ambiente interno, la
cultura de control y las actividades de control son las adecuadas para el tipo de riesgo
al que la empresa y los subprocesos se encuentran expuestos. Para esto, debe
asegurar la existencia de entidades de control efectivas y la disponibilidad de recursos
para que estas operen de forma efectiva.
Una de las actividades de mayor valor que puede entregar el directorio al sistema de
control interno es el definir el tono de la organización (Tone at the top), a través de
mensajes claros de las conductas deseadas y las que están prohibidas, y
fundamentalmente con el ejemplo en cada decisión y acción tomada.
b) Responsabilidades de la Administración
La Administración tiene por responsabilidad identificar y conocer los riesgos que
enfrenta cada proceso y subproceso de negocio, así como el impacto que puede tener
el riesgo en el proceso específico y a la organización como un todo. Debe establecer la
actividades de control que permitan llevar los riesgos que enfrenta a niveles aceptables
de acuerdo a lo establecido por los niveles directivos.
Una de las actividades fundamentales que debe realizar la administración es decidir la
mejor acción para enfrentar los riesgos. Las decisiones posibles para enfrentar los
riesgos son:
 Aceptar el riesgo: esto aplica a riesgos en nivel tolerable, o cuando la dirección
ha permitido no mitigar el riesgo debido a que los controles posibles de
establecer pueden ser mayores a la potencial pérdida que puede enfrentar la
compañía ante la materialización del riesgo
 Evitar el riesgo: la gerencia, con la autorización de los niveles directivos puede
decidir evitar el riesgo al dejar de realizar la actividad que genera el riesgo.
 Transferir el riesgo: debido a la naturaleza del riesgo que se enfrenta, la
administración puede decidir transferir el riesgo a terceros, ya sea a través de la
contratación de seguros, garantías o por la externalización del subproceso o
algunas actividades específicas
 Mitigar el riesgo: la administración puede diseñar actividades de control que
permitan mitigar tanto la probabilidad de ocurrencia del riesgo como el impacto
que puede generar el riesgo a la compañía.

Dependiendo de la decisión que se tome para enfrentar los riesgos, es el tipo de

medida de control que se establecerá

Miguel Angel Diaz Bahamondes 16

 Manual de Gestión Integral de Riesgos

c) Responsabilidad de Auditoria Interna

La función de Auditoria Interna, es responsable de entregar una visión independiente y
profesional sobre el nivel de exposición a riesgo de cada proceso crítico del negocio, a
través de revisiones diseñadas para evaluar los riesgos identificados, la decisión de la
administración para responder a los riesgos y la efectividad de los controles para
mitigar los riesgos.
d) Responsabilidad del Oficial de Cumplimiento
La función de cumplimiento (Compliance o Prevención de Delitos), al igual que
Auditoría Interna tiene por finalidad evaluar de forma independiente el nivel de
exposición de la compañía a riesgos clasificados como de fraude corporativo,
evaluando si las medidas establecidas por la administración permiten mantener en
niveles adecuados este tipo de riesgos. Adicionalmente, tiene la responsabilidad de
investigar cualquier incidente y/o denuncias relacionadas con este tipo de riesgos.

2. Medidas de control
El sistema de control interno es la combinación eficiente de condiciones ambientales y
actividades de control, que tienen por finalidad asegurar el cumplimiento de los
objetivos, la eficiencia de los procesos, el cumplimiento normativo, la protección de los
recursos de la compañía y la sustentabilidad del negocio.

El sistema de control interno, se compone de medidas tomadas por los distintos niveles
de la organización que son clasificadas como:
 Controles Directivos
 Controles Preventivos
 Controles Detectivos / Correctivos

Los controles directivos, permiten establecer conductas deseadas y dar a conocer las
conductas no aceptadas por la compañía. Entre este tipo de controles se encuentran
las políticas, procedimientos, manuales, instructivos, reuniones, medidas de difusión de
buenas prácticas entre otras. El establecimiento de estos controles es la base para un
adecuado ambiente de control y cultura organizacional, y es la base sobre la cual el
resto de las actividades de control se implementan.
Los controles preventivos, son implementados con la finalidad de mitigar la
probabilidad de ocurrencia de riesgos en los procesos de negocio. Por lo tanto su
principal función es evitar la materialización de los riesgos identificados.
Los controles detectivos / correctivos, están diseñados para que en la eventualidad
de que un riesgo se materialice, los responsables del proceso puedan conocer de
forma oportuna e implementar las medidas correctivas pertinentes. Principalmente, este
tipo de controles permite minimizar el impacto de los riegos.

Miguel Angel Diaz Bahamondes 17

 Manual de Gestión Integral de Riesgos

3. Evaluación del Sistema de Control Interno

La evaluación de la efectividad del control interno para mitigar los riesgos, es una
actividad permanente que debe realizar la administración, generando mejoras
continuas a sus procesos para minimizar la probabilidad de materialización de riesgos y
el posible impacto sobre la organización. Esta evaluación se formaliza en la
actualización permanente de los riesgos identificados en los procesos y una auto-
evaluación de la efectividad de los controles definidos. Esta auto-evaluación se debe
realizar de forma permanente en la ejecución de las actividades, sin perjuicio de que
anual o semestralmente, se realice un proceso formal de auto-evaluación integral de
los riesgos de negocio.
De forma independiente, las unidades de auditoria interna y prevención de delitos,
deben realizar revisiones específicas sobre subprocesos de negocio, con la finalidad de
determinar si los riesgos identificados se encuentran en niveles tolerables. En caso de
detectar riesgos por sobre los niveles aceptables definidos por la organización, estas
unidades deben reportar a la administración todas las situaciones y al directorio
aquellas situaciones que exponen a la organización a riesgos intolerables.
La selección de los subprocesos a ser evaluados se realiza en base a riesgos,
utilizando un método estándar de priorización que debe ser aplicado de forma
consistente en el tiempo.

Miguel Angel Diaz Bahamondes 18

 Manual de Gestión Integral de Riesgos

X. Priorización de los proceso y subprocesos

Con la finalidad de establecer prioridades para las revisiones independientes de la
exposición a riesgos, las unidades de Auditoria Interna y de Prevención de Delitos,
debe efectuar en base anual o semestral una evaluación de los riesgos identificados en
los procesos de negocio. Esta priorización es realizada de la siguiente forma:

1. Determinar riesgos relevantes

De la lista de riesgos identificados en el subproceso, se deben identificar los riesgos
relevantes para cada unidad de monitoreo independiente. Es altamente probable que
Auditoria Interna considere todos los riesgos identificados, sin embargo prevención de
delitos utilizará solo los riesgos identificados, relacionados con delitos tipificados en la
legislación vigente

2. Aplicación de factores de riesgos

Para todos los subprocesos de negocio, se debe determinar los valores
correspondientes a los factores ponderadores de riesgos descritos en el capítulo IV. La
suma de todos los factores ponderadores entregará un valor de ponderación que
denominamos “Factor de riesgo” único por subproceso. Debido a que cada factor
puede tomar un valor de 0 a 3, el Factor de Riesgo puede tomar un valor de 0 a 9.

3. Evaluación de riesgos en el subproceso

Los riesgos identificados en los subprocesos, deben ser evaluados por impacto y
probabilidad utilizando la matriz de evaluación de riesgos que se presenta en Anexo 2.
Cada subproceso por esta acción tendrá un número determinado de riesgos que tendrá
un valor asignado a potencial impacto y la probabilidad de ocurrencia del riesgo, los
cuales pueden tomar valores de 1 a 5. La multiplicación de los valores de impacto y
probabilidad da como resultado el nivel de riesgo, que puede tomar un valor de 1 a 25.

4. Determinación del valor de priorización del subproceso

Para determinar la prioridad del subproceso, se debe determinar un valor único por
subprocesos considerando los valores de Factores de Riesgos y la Evaluación de
Riesgos. Para esto se debe seguir los siguientes pasos:
 Determinar Factor de Riesgo del proceso según lo indicado en el punto 2 de este
capítulo
 Determinar el promedio de nivel de riesgo del subproceso, para lo cual se debe
determinar el promedio aritmético de los Niveles de Riesgo de cada uno de los
riesgos identificados en el subproceso.
 Determinar el máximo nivel de riesgo de los riesgos del subproceso

Luego de tener estos valores, se debe aplicar la siguiente fórmula:

Miguel Angel Diaz Bahamondes 19

 Manual de Gestión Integral de Riesgos

(Promedio de Niveles de Riesgo * 30% + Máximo Nivel de Riesgo *

70%) * (1 + Factor de Riesgo)

El resultado de la aplicación de esta fórmula corresponde al resultado de la evaluación

de riesgos para priorización de subprocesos, siendo el resultado más alto el con mayor
prioridad para ser revisado por Auditoria Interna o Prevención de Delitos.

Miguel Angel Diaz Bahamondes 20

 Manual de Gestión Integral de Riesgos

Anexo 1: Descripción de Riesgos Estratégicos

Los riesgos estratégicos definidos para la compañía son:
Daño a la Imagen: Cualquier evento que pueda generar pérdida o deterioro de la
marca o imagen de la compañía, ya sea por reclamos de clientes o presencia en
medios nacionales o internacionales. Esto incluye acciones o condiciones generadas
por la compañía o partes relacionadas que puedan ser interpretadas por el público
como si fueran efectuadas por la empresa.
Interrupción operacional: Cualquier evento que evite realizar las actividades propias
del negocio en tiempo y forma, por un periodo determinado.
Falta de liquidez: Situaciones en las cuales la compañía no pueda cumplir con sus
compromisos de corto plazo con terceros.
Incumplimiento de objetivos y/o ineficiencias: Corresponde a los eventos que
pueden generar una pérdida financiera originadas por el incumplimiento de metas
definidas en el negocio, o actividades de forma ineficiente, que si bien cumplen con los
objetivos, se realizan a un costo por sobre lo establecido o requerido.
Fraude Corporativo: Acciones realizadas por la empresa en su conjunto, por personal
de la compañía o por terceros, que incumplen con la normativa legal vigente. Estas
acciones pueden ser en beneficio o en contra de los intereses de la compañía.
Incumplimiento normativo: acciones desarrolladas por personal de la compañía y/o
por terceros relacionados que incumplen normativa interna y/o estándares definidos
para la operación de la compañía.
Ineficiencia en tecnologías e Información: Condiciones o acciones relacionadas con
el uso de tecnologías de información, que no permiten alcanzar los objetivos y metas
del negocio. Incluye el manejo inadecuado de la información crítica del negocio.

Miguel Angel Diaz Bahamondes 21

 Manual de Gestión Integral de Riesgos

Anexo 2: Matriz de Evaluación de Riesgos

Miguel Angel Diaz Bahamondes 22

 Manual de Gestión Integral de Riesgos

Criterios de Impacto

Criterios de Probabilidad

Miguel Angel Diaz Bahamondes 23

 Manual de Gestión Integral de Riesgos

Anexo 3: Drivers Riesgos Estratégicos Externos

Tipo de Cambio
Empresa exportadora

Clima
Empresa agrícola

Miguel Angel Diaz Bahamondes 24