CONTROL DE LOS SISTEMAS DE

NEGOCIOS

MG. ALAN TITO

GUTIERREZ
 I. Conceptos

a) Riesgo
b) Control
c) Gobierno
d) Control Interno
e) Mapa de Riesgos
f) Gestión de Riesgos
g) Apetito por el riesgo
h) Tolerancia al riesgo

2
 II. Conceptos
a) Riesgo: La posibilidad de que ocurra un
acontecimiento que tenga impacto en el alcance de
los objetivos. El riesgo se mide en términos de
impacto y probabilidad. Por otro lado peligro es la
potencialidad de ocurrencia de un daño, pérdida o
lesión

3
 II. Conceptos

Fuente: http://www.coool-stuff.com/tag/stupidity/
4
 II. Conceptos
Peligro: cualquier cosa que puede
causar daño

Ejemplo: escaleras = un peligro

Gente subiendo o bajando =situación peligrosa (personal

interactuando con el peligro)

=evento peligroso (expone a

Tropezón o resbalón
una persona a daño)

Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html
5
 II. Conceptos

Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html
6
 II. Conceptos

• Inherente: es aquel que está directamente

relacionado con la naturaleza de los procesos
desarrollados, en ausencia de controles.
• Residual es el riesgo subsistente una vez aplicados
los controles.

Riesgo residual = Riesgo inherente - Control

7
 II. Conceptos

b) Control: Cualquier medida que tome la dirección, el

Consejo y otras partes, para gestionar los riesgos y
aumentar la probabilidad de alcanzar los objetivos y
metas establecidos. La dirección planifica, organiza
y dirige la realización de las acciones suficientes
para proporcionar una seguridad razonable de que
se alcanzarán los objetivos y metas.

8
 II. Conceptos
Alto

Riesgo
Administrado

Logro de
Objetivos
Ineficacia Ineficacia
por por
exposición controles
Bajo

Desinformado Gerenciado Obsesionado

- Controles +

Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno

9
 II. Conceptos

c) Gobierno: La combinación de procesos y

estructuras implantados por el Consejo de
Administración para informar, dirigir, gestionar y
vigilar las actividades de la organización con el fin
de lograr sus objetivos.

10
 II. Conceptos

d) Control Interno: Concepto fundamental de la

administración y control, aplicable en las entidades
del Estado para describir las acciones que
corresponde adoptar a sus titulares y funcionarios
para preservar, evaluar y monitorear las operaciones
y la calidad del servicio.

11
 II. Conceptos

d) Control Interno: Conforme al COSO, es un proceso

efectuado por el Directorio de una organización, la
gerencia y demás personal, diseñado para proveer
seguridad razonable respecto al logro de los
objetivos relacionados con:
– Efectividad y eficiencia de las operaciones
– Confiabilidad de los reportes financieros
– Cumplimiento con leyes y regulaciones aplicables

12
 II. Conceptos

 COSO : Control Interno -

• Coso: Corresponde a las siglas en inglés del Marco Conceptual Integrado
comité de Organizadores y Patrocinadores de la
Comisión Treadway, organismos que en conjunto
emitieron el informe con recomendaciones
referentes al Control Interno que lleva su nombre.

Actividad 2
• Ambiente de Control

Ac tividad 1
Origen: Estados Unidos, 1985, se forma una
comisión patrocinada diversas instituciones, con Evaluación de Riesgos

Unidad B
Unidad A
el objetivo de identificar las causas de la
presentación de información financiera en forma Actividades de Control
fraudulenta o falsificada. Información y Comunicación
• En 1987 emite un informe que contenía una serie Monitoreo (Seguimiento)
de recomendaciones en relación al control interno
de cualquier empresa u organización.
• La comisión Treadway, debatió durante más de
cinco años y finalmente en 1992, se emite el
informe COSO, el cual tuvo gran aceptación y
difusión en gran parte debido a la diversidad y
autoridad que posee el grupo que se hizo cargo de
la elaboración del Informe.
13
 II. Conceptos
Ley Nº 29743 – Ley que
Evolución del Control Interno en el Perú modifica el Articulo 10ª de la
Ley Nº 28716, Ley de Control
Guía para la Interno de las Entidades del
Implementación del Estado
Control Interno
Ley Nº 28716 de Control
Interno de las
RC 458-2008 - CGR 2011
Entidades del Estado
Ley 2009
COSO II
Gestión de Riesgos 2008 D.U Nº 067-2009
Decreto de Urgencia
Corporativos – Marco
que modifica el Art. 10
Ley Marco Integrado
de la Ley Nª 28716
Modernización del 2006
Estado Ley Nº
27658

2004 Normas de
Control Interno
RC 320-2006-CGR
2002

1992
Ley Orgánica del Sistema
COSO I
Nacional de Control y de la
Control Interno Marco
Contraloría General de la
Integrado
República Nº 27785 - CGR
(Comisión Treadway) 14
 II. Conceptos

Ley 27785, ART. 2°, OBJETO DE LA LEY

propender al:

APROPIADO OPORTUNO Y EFECTIVO

Ejercicio del control gubernamental
para

PREVENIR Y VERIFICAR
Mediante
Aplicación de:

PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOS

la:

CORRECTA EFICIENTE Y TRANSPARENTE

Utilización y gestión de los Desarrollo honesto y probo de las Cumplimiento de metas y
recursos y bienes del Estado. funciones y actos de las: resultados por las instituciones
Autoridades, Funcionarios y
Servidores Público.

finalidad Contribuir y orientar el mejoramiento de sus

actividades y servicios en beneficio de la Nación.

15

Componente
Norma General
Ambiente de Control
(Entorno organizacional favorable
y sensibilización)
Evaluación de Riesgos
(Identificación y análisis de los
riesgos)
Actividades de Control G.
(Políticas y procedimientos
relacionados a la administración
de los riesgos)
Información y Comunicación
(Métodos, procesos, canales,
medios y acciones que aseguren
el flujo de la información con
calidad y oportunidad)
Supervisión
(El SCI esta sujeto a supervisión
a fin de evaluar su eficacia y
calidad)
II. Conceptos
Normas Básicas (35)
Filosofía de la Dirección, Integridad y los valores éticos, Administración
estratégica, Estructura organizacional, Administración de RR.HH.,
Competencia profesional, Asignación de autoridad y responsabilidades,
Órgano de Control Institucional.
Planeamiento de la administración de riesgos, identificación de los
riesgos, valoración de los riesgos, respuesta al riesgo.
Procedimientos de autorización y aprobación, Segregación de funciones,
Evaluación costo-beneficio, Controles sobre el acceso a los recursos o
archivos, Verificaciones y conciliaciones, Evaluación de desempeño,
Rendición de cuentas, Revisión de procesos, actividades y tareas,
Controles para las TIC.
Funciones y características de la información, Información y
responsabilidad, Calidad y suficiencia de la información, Sistemas de
información, Flexibilidad al cambio, Archivo institucional, Comunicación
interna y externa.
Prevención y monitoreo, Monitoreo oportuno del control interno, Reporte
de deficiencias, Seguimiento e implementación de medidas correctivas,
Autoevaluación, Evaluaciones independientes.
16
Resolución 320-2006-CG
 II. Conceptos

es to
ic on ien
rte pli
m
pera po m
O Re Cu

Monitoreo Actividad 2
Actividad 1

Información y Comunicación
Unidad B
Unidad A

Actividades de Control
Evaluación de Riesgos
Ambiente de Control
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
17
 II. Conceptos
e) Mapa de Riesgos: representación gráfica
(usualmente en cuadrantes) de los
riesgos de una
entidad/proceso/procedimiento, conforme
a un criterio de probabilidad e impacto
f) Gestión de Riesgos: un proceso para
identificar, evaluar, manejar y controlar
acontecimientos o situaciones
potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del
alcance de los objetivos de la
organización.

18
 II. Conceptos
• Es un proceso continuo que fluye por toda la entidad
• Es realizado por su personal en todos los niveles de la
organización
• Se aplica en el establecimiento de la estrategia
• Se aplica en toda la entidad, en cada nivel y unidad, e
incluye adoptar una perspectiva del riesgo a nivel
conjunto de la entidad
• Está diseñado para identificar acontecimientos
potenciales que, de ocurrir, afectarían a la entidad y para
gestionar los riesgos dentro del nivel de riesgo aceptado
• Es capaz de proporcionar una seguridad razonable al
consejo de administración y a la dirección de una entidad
• Está orientada al logro de objetivos dentro de unas
categorías diferenciadas, aunque susceptibles de
solaparse
19
 II. Conceptos

Arquitectura de riesgos Estrategia de riesgos

• La arquitectura de riesgos especifica los • La estrategia de riesgos, apetito,

roles, responsabilidades, comunicación y actitudes y filosofía están definidas en la
estructura de reporte de los riesgos política de gestión de riesgos

Proceso de Gestión de Riesgos

Protocolos de riesgos

• Los protocolos de riesgos son presentados en la forma de lineamientos de riesgos para la

organización e incluyen las reglas y los procedimientos, así como la identificación de la
metodología a emplear, herramientas y técnicas que deberán ser usadas

Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
20
 II. Conceptos
Una política de gestión de riesgos debería incluir lo siguiente:

– Objetivos de control interno y de gestión de riesgos (gobierno)

– Una declaración de la actitud de la organización para con los riesgos
(estrategia)
– Descripción de la cultura consciente de los riesgos o ambiente de
control
– Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
– Organización de la gestión de riesgos y acuerdos (arquitectura)
– Detalle de los procedimientos para el reconocimiento de riesgos y su
priorización (evaluación de riesgos)
– Lista de documentación para analizar y reportar riesgos (protocolos
de riesgo)
– Requerimientos de mitigación de riesgos y mecanismos de control
(respuesta al riesgo)
– Asignación de los roles de la administración y sus responsabilidades
– Prioridades y temas de entrenamiento en gestión de riesgos
– Criterios para efectuar el monitoreo y benchmarking de riesgos
– Asignación de los recursos apropiados para la gestión de riesgos
– Actividades y prioridades relacionadas a la gestión de riesgos para el
año venidero

Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
21
 II. Conceptos

g) Apetito por el riesgo: el nivel de riesgo que la

organización está dispuesta a asumir en su
búsqueda de rentabilidad y valor
h) Tolerancia al riesgo: el nivel de variación que la
organización está dispuesta a asumir en caso de
desviación a los objetivos empresariales trazados

22
 II. Conceptos
Apetito por el riesgo
Alto

Excediendo
el Apetito de
Riesgo
Tolerancia al riesgo
Impacto
Medio

Estrategia de negocio
Dentro del
Apetito de Límite de Desempeño
Riesgo Real
tolerancia
Bajo

Variación
Inaceptable Meta Fijada
Bajo Medio Alto
Probabilidad Límite de
tolerancia

Variación
Inaceptable

Tiempo

Fuente: Gestión Integral de Riesgos. PWC. 2009

23
 III. Modelo: Norma AS/NZS 4360:2004

• Norma Australiana / Neozelandesa publicada en 1995,

2ed en1999 y 3ed 2004
• Suministra una guía genérica para la gestión de
riesgos en general, “Enterprise Risk Management
(ERM)”.

24
 III. Modelo: Norma AS/NZS 4360:2004

• Administración de riesgos es el término aplicado a

un método lógico y sistemático de establecer el
contexto, identificar, analizar, evaluar, tratar,
monitorear y comunicar los riesgos asociados con
una actividad, función o proceso de una forma que
permita a las organizaciones minimizar pérdidas y
maximizar oportunidades.

25
 III. Modelo: Norma AS/NZS 4360:2004

Comunicación y consulta

1. 2. 3. 4. Evaluar 5. Tratar los

Identificación
Establecer Análisis los riesgos
de riesgos
el contexto de riesgos
Identificar opciones
Objetivos Qué puede riesgos Seleccionar las
Grupos de suceder ? Evaluar riesgos mejores respuestas
interés Cómo puede Ranking
Revisar Desarrollar planes
Criterios suceder ? de gestión de riesgos
controles
Definir Implementar
Probabilidades
elementos clave
Consecuencias
Nivel de riesgo

Monitoreo y revisión
26
 1. Establecer el contexto
• Identificar una persona con el conocimiento (control
interno y riesgos) a nivel operativo
• La organización está basada en la gestión por procesos?
Tiene metas y resultados esperados?
• Identificar los objetivos institucionales – grupal
• Recordaris: riesgo es todo aquello que pudiera afectar el
logro de los objetivos
• Se puede comenzar por riesgos de la entidad y luego
bajar a nivel de cada proceso, comenzando por los más
críticos
• Es importante la participación de todas las partes
interesadas
• Posteriormente se pueden clasificar y definir los tipos de
riesgos

27
 2. Identificación de Riesgos

• Esta etapa busca identificar los riesgos que deben ser

gestionados
• Riesgo que no sea identificado, es excluido en
cualquier análisis posterior
• Qué puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de
mis funciones, genere pérdidas (tiempo, imagen,
recursos, etc.)
• Los riesgos se identifican independientemente de que
estén bajo el control de la entidad o no

28
 2. Identificación de Riesgos
Herramientas y Técnicas
de identificación de riesgos

Técnicas de Recopilación de Técnicas de Diagramación

Información

Diagrama causa/efecto
Tormenta de Ideas

Técnica Delphi
Diagrama flujo de proceso
Cuestionarios y encuesta

Entrevistas Inventario de Riesgo

Análisis FODA 29
 2. Identificación de Riesgos
Clasificación del riesgo:
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte
operativa como técnica de la entidad, incluye riesgos provenientes de
deficiencias en los sistemas de información, en la definición de los procesos, en
la estructura de la entidad, la desarticulación entre dependencias, lo cual
conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los
compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la
entidad que incluye, la ejecución presupuestal, la elaboración de los estados
financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre
los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la
tecnología disponible satisfaga las necesidades actuales y futuras de la entidad
y soporte el cumplimiento de la misión.
30
 2. Identificación de Riesgos
Riesgos estratégicos del FONCODES
Riesgo de focalización: que los diferentes esfuerzos
de entidades del Estado no sean identificados y por lo tanto Riesgo de control de resultados: el no contar con
no se atienda apropiadamente a la población objetivo. El herramientas que permitan medir el desempeño,
proceso de definición de la población objetivo podría conforme a metas en el tiempo y que las mismas
contemplar un enfoque integral de acción del Estado, tanto
cumplan con los resultados esperados, conlleva a un
del gobierno nacional, como así también de los gobiernos
riesgo de no controlar adecuadamente las actividades,
locales y regionales; asimismo el identificar las actividades
para ello podría necesitarse desarrollar una normatividad
versus los actores podría colaborar en identificar
matricialmente "cruces" en las intervenciones, evitando que apropiada, un esquema de control permanente de los
el Estado invierte dos veces en lo mismo, deje indicadores, gestión de riesgos y capacitación de los
desantendidos a grupos poblacionales o atienda trabajadores promoviendo su especialización
insuficientemente
Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean
categorizados ni se estimen factores que permitan discernir la prioridad en la asignación del capital en base a
identificar los riesgos, asimismo que el resultado del emprendimiento no sea medible o no se establezcan
metas, con el consiguiente esquema de control

Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de
capacidades productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los
ayude a viabilizar mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse
iniciativas positivas, que sin embargo por una falta de control y orientación no logren los resultados esperados

Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como
puede ser: ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando
sinergias tanto en calidad de recursos, oportunidad en la intervención y brechas a cubrir
31
 Categorías de Riesgos

Categorías de Riesgos
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
Estratégico fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
Operacional personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
Reputación
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Relacionados a inadecuado manejo financiero de la organización, sus
Financiero
inversiones y activos (crediticio, tesorería, mercado)

Fuente: Resolución SBS N° 037-2008

32
 2. Identificación de Riesgos

AUDITORIA EN CAMPO Incidencia en Acción de la Administración

Evento de R iesgo C o ntro l C atego rí a del R iesgo M adurez de la Objetivo s
F recuencia N ivel del A ccio nes de
Impacto Gestió n del Estratégico s R espo nsable
(P ro babilidad) R iesgo M o nito reo
R iesgo
PROCESO ESTRATEGICO
Formulación y aprobación del PAC
F o rmulació n
Personal capacitado y con experiencia, Gestión
1 Falla en el SAGU Operacional 2 4 2 M oderado M edia Implementadas Supervisor
del SAGU
M etodología para la Formulación, Información
para el planeamiento, Personal capacitado y
con experiencia, Directiva de CGR,
2 Carencia de un adecuado enfoque Operacional 1 4 2 M oderado Alta En proceso Jefatura del OCI
Comunicación con la Gerencia de Línea,
Estimación de tiempos, Inventario de riesgos y
controles
R esultado parcial 2.00 M oderado

A pro bació n
Directiva de CGR, Comunicación con la
3 Presentación inoportuna Gerencia de Línea, Remisión oportuna a la Estratégico 2 4 2 M oderado Alta Implementadas Jefatura del OCI
CGR, Gestión del SAGU
R esultado parcial 2.00
R esultado 2.00 M o derado

33
 2. Identificación de Riesgos
NIVEL DE RIESGO Equivalente Nivel del
Criterios Fundamentales
Nivel Criterio Descripción Riesgo / Madurez
A fectació n al cumplimiento de lo s o bjetivo s
estrategico s.

A fectació n de la imagen institucio nal (trascendencia

pública a nivel nacio nal)
Interrupció n de las o peracio nes que afecten la
prestacio n de lo s servicio s y que generen un efecto
Requiere de atenció n urgente eco no mico negativo . 1
4 E xt re m o
de la A lta Direccio n ( Ine xis t e nt e / Inic ia l)
Fraudes, ro bo s e irregularidades intencio nales.
P erdidas y/o multas po r incumplimiento de
no rmatividad interna y externa (> al 50% po rciento de la
materialidad).
Omisió n en la aplicació n de co ntro les critico s en lo s
pro ceso s estrategico s, o perativo s y so po rte.
A fectació n al cumplimiento de lo s o bjetivo s
o perativo s.
A tenció n y servicio al cliente (trascendencia publica
lo cal)
P erdidas y/o multas po r incumplimiento de
no rmatividad interna y externa (< o = al 50% po rciento
Requiere atenció n urgente de la materialidad).
2
3 A lt o de las Gerencias Omisió n en la aplicació n de co ntro les critico s en lo s
( E n P ro c e s o )
respo nsables pro ceso s o perativo s y de so po rte.
Carencia de no rmas y pro cedimiento s interno s
relacio nado s co n la administració n activo s y
recurso s.
Omisio n en la implantacio n de reco mendacio nes en
do s perio do s co nsecutivo s.
Incumplimiento reiterativo de pro cedimiento s interno s
dentro del perio do evaluado .
Requiere atenció n de la 3
2 M o de ra do Desactualizació n de no rmas y pro cedimiento s
Gerencia ( Im ple m e nt a do )
interno s relacio nado s co n la administració n de
activo s, recurso s entre o tro s.

Requiere mo nito reo

Incumplimiento parcial de no rmas y pro cedimiento s 4
1 B a jo perió dico a fin de mantener
interno s dentro del perio do evaluado (no repetitivo ). ( O pt im o )
lo s riesgo s en este nivel
34
 Estados del monitoreo

Acciones de Monitoreo
Categoría Concepto
Las acciones del responsable han sido las
Implementadas
apropiadas en el tiempo comprometido
Algunas acciones se encuentran
En proceso desfasadas o en proceso de
implementación
No se evidencias acciones en la gestión
Pendientes
del riesgo

35
 3. Análisis de Riesgos

• El análisis de riesgos involucra prestar

consideración a las fuentes de riesgos, sus
consecuencias y las probabilidades de que
puedan ocurrir esas consecuencias
• Implica determinar: fuentes del riesgo,
posibilidad, consecuencias, responsables,
acciones
• La lista de riesgo debe ser excluyente
• Se deben identificar los controles o
acciones que ayuden a minimizarlos

36
 3. Análisis de Riesgos

• Cualitativos. El análisis cualitativo utiliza formatos de

palabras o escalas descriptivas para describir la
magnitud de las consecuencias potenciales y la
probabilidad de que esas consecuencias ocurran.
• Semi-cuantitativos. El número asignado a cada
descripción no tiene que guardar una relación
precisa con la magnitud real de las consecuencias o
probabilidades.
• Cuantitativos. Uso de datos numéricos para la
determinación de los riesgos.

37
 4. Evaluar los riesgos

• La evaluación de riesgos involucra

comparar el nivel de riesgo detectado
durante el proceso de análisis con criterios
de riesgo establecidos previamente
• El propósito de la evaluación de riesgos es
tomar decisiones basadas en los
resultados del análisis de riesgos
(tratamiento de riesgos y la prioridad)

38
 4. Evaluar los riesgos
NIVEL DE PROBABILIDAD
Nivel Descripción Concepto
1 Impro bable P uede o currir en algún mo mento
P o co pro bable / P uede o currir só lo en circunstancias
2 2
Raro excepcio nales
P ro bablemente o curriria en la
3 P ro bable
mayo ria de circunstancias
P uede o currir en la mayo ría de
4 P o tencial
circunstancias
Se espera que o curra en la mayo ria de
5 Casi cierto
circunstacias
NIVEL DE IMPACTO
Nivel Descripción Concepto
El riesgo tiene un efecto nulo o pequeño , en el desarro llo
1 Insignificante
del pro ceso - baja perdida financiera
El desarro llo del pro ceso sufre un daño meno r - Co n
M eno r
perdida financiera meno r
El desarro llo del pro ceso sufre un deterio ro , dificultando
3 M o derado
o retrazando su cumplimiento - Co n afectació n financiera
El desarro llo del pro ceso es afectado significativamente -
4 M ayo r
P érdida financiera mayo r
El pro ceso es gravemente dañado - Eno rme perdida
5 Catastro fico
financiera
39
 4. Evaluar los riesgos
Matriz de riesgos

Catastrófico Modera do Al to Al to Extremo Extremo

Mayor Modera do Modera do Al to Extremo Extremo

IMPACTO

Moderado Ba jo Modera do Al to Al to Al to

Menor Ba jo Modera do Modera do Modera do Al to

Insignificante Ba jo Ba jo Ba jo Modera do Modera do

Poco
Ra ra vez Oca s i ona l Frecuente Muy frecuente
frecuente

FRECUENCIA

40
 4. Evaluar los riesgos
Probable

Probabilidad Posible
Improbable
Análisis
Cualitativo
Impacto Leve
Moderado
Catastrófico

Probabilidad de Nivel Calificación

ocurrencia
0 – 25 Improbable 1
26- 70 Posible 2
Análisis 71- 100 Probable 3
Cuantitativo
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico 30
41
 4. Evaluar los riesgos

Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno

42
 4. Evaluar los riesgos

Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno

43
 4. Evaluar los riesgos

Presentación KPMG Advisory

44
 5. Tratar los riesgos

• El tratamiento de los riesgos involucra

identificar el rango de opciones para tratar
los riesgos, evaluar esas opciones,
preparar planes para tratamiento de los
riesgos e implementarlos
• Evaluar las opciones para tratar los riesgos
• Preparar planes de tratamiento
• Implementar planes de tratamiento

45
 5. Tratar los riesgos
Evitar el Riesgo
• Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Fuente: Gestión Integral de Riesgos. PWC. 2009
46
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
 5. Tratar los riesgos

Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.

47
 Monitoreo y revisión

• Es necesario monitorear los riesgos, la

efectividad del plan de tratamiento de los
riesgos, las estrategias y el sistema de
administración que se establece para
controlar la implementación. Los riesgos y
la efectividad de las medidas de control
necesitan ser monitoreadas para asegurar
que las circunstancias cambiantes no
alteren las prioridades de los riesgos

48
 Comunicación y consulta
• La comunicación y consulta son una consideración
importante en cada paso del proceso de administración de
riesgos
• Es importante la comunicación efectiva interna y externa
para asegurar que aquellos responsables por implementar
la administración de riesgos, y aquellos con intereses
creados comprenden la base sobre la cual se toman las
decisiones y por qué se requieren ciertas acciones en
particular
• Dado que los interesados pueden tener un impacto
significativo en las decisiones tomadas, es importante que
sus percepciones de los riesgos, así como, sus
percepciones de los beneficios, sean identificadas y
documentadas y las razones subyacentes para las mismas
comprendidas y tenidas en cuenta
49
 IV. Aspectos a tener en cuenta…
• Impulsar desde el más alto nivel la implementación del Sistema de Control Interno
(SCI)
• Realizar talleres de capacitación y aprestamiento sobre control interno y gestión de
riesgos
• Incorporar en los documentos de gestión la responsabilidad de cada trabajador en el
control interno y la gestión de riesgos
• Establecer progresivamente un lenguaje común respecto a la gestión de riesgos
(categorías, definiciones, políticas, responsabilidades, metas, indicadores,
normatividad, etc.)
• Identificar y adaptar una metodología a las necesidades de FONCODES
• Expresar y comunicar los objetivos de la organización, a través del uso de
indicadores de desempeño
• Identificar las amenazas potenciales para el logro de los objetivos
• Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan
• Seleccionar e implementar respuestas ante los riesgos
• Priorizar los riesgos
• Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes
periódicamente
• Comunicar la información sobre riesgos de manera coherente en todos los niveles
de la organización 50
• Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus
 V. Pasos sugeridos
• Capacitación en: control interno, riesgos, procesos,
indicadores
• Identificar instrumentos para recolectar información
• Listar los objetivos institucionales, tomando en cuenta la
misión
• Clasificar los procesos, actividades y las tareas
• Designar un responsable por proceso y progresivamente
incorporar la documentación y normatividad respectiva
• Identificar los riesgos y controles más importantes de la
entidad
• Valorar los riesgos
• Cruzar los riesgos vs. procesos
• Elaborar planes de acción, responsables y metas
• Evaluar la eficacia y las brechas
51 encontradas
• Mantener y actualizar
 V. Pasos sugeridos
Objetivos institucionales
• Seleccionar los procesos clave conforme a la
Seleccionar importancia en el cumplimiento misional, manejo
de fondos y probabilidad de corrupción
procesos • Considerar insumos de materialidad e importancia
clave

• Comprender las actividades y los procedimientos

Comprender
los procesos

• Identificar reportes contables o de la gestión de

• Cuáles son los riesgos a que se proyectos, a fin de establecer materialidad
encuentran expuestos los Fuente de los • Cruzar riesgos vs. procesos
procesos? riesgos
• En qué actividades se encuentran
los riesgos?
• Documentar controles a nivel entidad
• Cuáles son los controles clave? Documentar • Documentar otros controles
• Quién es propietario de los controles • Documentar controles a nivel preventivo y detectivos en los procesos principales
controles clave? clave

• Evaluar la efectividad del diseño de los controles a nivel

entidad
• Cómo se encuentra el diseño de Evaluar el • Tomar acciones de mejora sobre las deficiencias encontradas
los controles ? diseño

• Evaluar la efectividad de los controles a

Efectividad nivel entidad y de procesos
• Cuáles son los riesgos de falla de • Remediar deficiencias a través de la
los controles? de los implementación de recomendaciones
• Cuál es el desempeño de los controles
controles?
• Concluir
• Comunicar
• Existen debilidades materiales o • Reportar
Fuente: Adaptación de un esquema de Protiviti Reporte
52 de cumplimiento?
 V. Pasos sugeridos

Fuente: Gestión Integral de Riesgos (ERM). Deloitte. Fernando Gaziano. 2007 53

 V. Pasos sugeridos

54
Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006
 V. Pasos sugeridos

Fuente: Administración de Riesgos. KPMG. 2010. Juan José Descailleaux 55

 VI. Beneficios de la Gestión de Riesgos
• Colabora en la implementación del sistema de control interno (Resolución de Contraloría General
Nº 458-2008-CG)
• Mayor probabilidad del logro de los objetivos organizacionales
• Incrementa la confianza en la habilidad de una organización para anticipar, priorizar y superar
obstáculos para alcanzar sus metas
• Mayor comprensión de los riesgos clave y sus implicancias más amplias
• Identificación e intercambio de conocimientos sobre riesgos cruzados
• Mayor atención de la Alta Dirección a problemas realmente importantes
• Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley N° 28716, Ley de
Control Interno de las entidades del Estado y Ley N° 27785, Ley Orgánica del Sistema Nacional
de Control y de la Contraloría General de la República)
• Mayor atención internamente para hacer lo correcto de la manera correcta
• Mayor probabilidad de que se logren las iniciativas de cambio
• Toma de decisiones más informadas, a nivel estratégico y operativo
• Coadyuva a la gestión de un presupuesto por resultados
• Fomenta el orden interno (gestión por procesos, establecimiento de indicadores de desempeño,
identificación de controles, desarrollo de procedimientos, normatividad, etc.)
• Progresivamente la administración podrá asumir procesos de autoevaluación de control
• Brinda transparencia a la gestión, interna y externamente
• Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad
• Actualización de conocimientos de los profesionales en temas de: gestión por procesos, control
interno, indicadores, riesgos, etc.

56
 VII. Roles

Alta Dirección
Responsable de la efectividad del SCI

Auditoría Interna
Brinda evaluación independiente Comité de Riesgos / Auditoría
*
•Retroalimentación sobre la Supervisa y ejecuta el control de calidad
gestión de riesgos y controles a las actividades del SCI
•Monitorea el proceso de
implementación del SCI y
efectividad de la gestión de
riesgos Propietarios de los Riesgos
•Alinea los principales riesgos con Implementan y reportan las acciones
el Plan Anual de Control

* En caso exista alguno de ellos en la entidad

57
GRACIAS