Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
NEGOCIOS
a) Riesgo
b) Control
c) Gobierno
d) Control Interno
e) Mapa de Riesgos
f) Gestión de Riesgos
g) Apetito por el riesgo
h) Tolerancia al riesgo
2
II. Conceptos
a) Riesgo: La posibilidad de que ocurra un
acontecimiento que tenga impacto en el alcance de
los objetivos. El riesgo se mide en términos de
impacto y probabilidad. Por otro lado peligro es la
potencialidad de ocurrencia de un daño, pérdida o
lesión
3
II. Conceptos
Fuente: http://www.coool-stuff.com/tag/stupidity/
4
II. Conceptos
Peligro: cualquier cosa que puede
causar daño
Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html
5
II. Conceptos
Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html
6
II. Conceptos
7
II. Conceptos
8
II. Conceptos
Alto
Riesgo
Administrado
Logro de
Objetivos
Ineficacia Ineficacia
por por
exposición controles
Bajo
- Controles +
10
II. Conceptos
11
II. Conceptos
12
II. Conceptos
Actividad 2
• Ambiente de Control
Ac tividad 1
Origen: Estados Unidos, 1985, se forma una
comisión patrocinada diversas instituciones, con Evaluación de Riesgos
Unidad B
Unidad A
el objetivo de identificar las causas de la
presentación de información financiera en forma Actividades de Control
fraudulenta o falsificada. Información y Comunicación
• En 1987 emite un informe que contenía una serie Monitoreo (Seguimiento)
de recomendaciones en relación al control interno
de cualquier empresa u organización.
• La comisión Treadway, debatió durante más de
cinco años y finalmente en 1992, se emite el
informe COSO, el cual tuvo gran aceptación y
difusión en gran parte debido a la diversidad y
autoridad que posee el grupo que se hizo cargo de
la elaboración del Informe.
13
II. Conceptos
Ley Nº 29743 – Ley que
Evolución del Control Interno en el Perú modifica el Articulo 10ª de la
Ley Nº 28716, Ley de Control
Guía para la Interno de las Entidades del
Implementación del Estado
Control Interno
Ley Nº 28716 de Control
Interno de las
RC 458-2008 - CGR 2011
Entidades del Estado
Ley 2009
COSO II
Gestión de Riesgos 2008 D.U Nº 067-2009
Decreto de Urgencia
Corporativos – Marco
que modifica el Art. 10
Ley Marco Integrado
de la Ley Nª 28716
Modernización del 2006
Estado Ley Nº
27658
2004 Normas de
Control Interno
RC 320-2006-CGR
2002
1992
Ley Orgánica del Sistema
COSO I
Nacional de Control y de la
Control Interno Marco
Contraloría General de la
Integrado
República Nº 27785 - CGR
(Comisión Treadway) 14
II. Conceptos
PREVENIR Y VERIFICAR
Mediante
Aplicación de:
15
II. Conceptos
Componente Normas Básicas (35)
Norma General
es to
ic on ien
rte pli
m
pera po m
O Re Cu
Monitoreo Actividad 2
Actividad 1
Información y Comunicación
Unidad B
Unidad A
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
17
II. Conceptos
e) Mapa de Riesgos: representación gráfica
(usualmente en cuadrantes) de los
riesgos de una
entidad/proceso/procedimiento, conforme
a un criterio de probabilidad e impacto
f) Gestión de Riesgos: un proceso para
identificar, evaluar, manejar y controlar
acontecimientos o situaciones
potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del
alcance de los objetivos de la
organización.
18
II. Conceptos
• Es un proceso continuo que fluye por toda la entidad
• Es realizado por su personal en todos los niveles de la
organización
• Se aplica en el establecimiento de la estrategia
• Se aplica en toda la entidad, en cada nivel y unidad, e
incluye adoptar una perspectiva del riesgo a nivel
conjunto de la entidad
• Está diseñado para identificar acontecimientos
potenciales que, de ocurrir, afectarían a la entidad y para
gestionar los riesgos dentro del nivel de riesgo aceptado
• Es capaz de proporcionar una seguridad razonable al
consejo de administración y a la dirección de una entidad
• Está orientada al logro de objetivos dentro de unas
categorías diferenciadas, aunque susceptibles de
solaparse
19
II. Conceptos
Protocolos de riesgos
Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
20
II. Conceptos
Una política de gestión de riesgos debería incluir lo siguiente:
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010
21
II. Conceptos
22
II. Conceptos
Apetito por el riesgo
Alto
Excediendo
el Apetito de
Riesgo
Tolerancia al riesgo
Impacto
Medio
Estrategia de negocio
Dentro del
Apetito de Límite de Desempeño
Riesgo Real
tolerancia
Bajo
Variación
Inaceptable Meta Fijada
Bajo Medio Alto
Probabilidad Límite de
tolerancia
Variación
Inaceptable
Tiempo
24
III. Modelo: Norma AS/NZS 4360:2004
25
III. Modelo: Norma AS/NZS 4360:2004
Comunicación y consulta
Monitoreo y revisión
26
1. Establecer el contexto
• Identificar una persona con el conocimiento (control
interno y riesgos) a nivel operativo
• La organización está basada en la gestión por procesos?
Tiene metas y resultados esperados?
• Identificar los objetivos institucionales – grupal
• Recordaris: riesgo es todo aquello que pudiera afectar el
logro de los objetivos
• Se puede comenzar por riesgos de la entidad y luego
bajar a nivel de cada proceso, comenzando por los más
críticos
• Es importante la participación de todas las partes
interesadas
• Posteriormente se pueden clasificar y definir los tipos de
riesgos
27
2. Identificación de Riesgos
28
2. Identificación de Riesgos
Herramientas y Técnicas
de identificación de riesgos
Diagrama causa/efecto
Tormenta de Ideas
Técnica Delphi
Diagrama flujo de proceso
Cuestionarios y encuesta
Análisis FODA 29
2. Identificación de Riesgos
Clasificación del riesgo:
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte
operativa como técnica de la entidad, incluye riesgos provenientes de
deficiencias en los sistemas de información, en la definición de los procesos, en
la estructura de la entidad, la desarticulación entre dependencias, lo cual
conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los
compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la
entidad que incluye, la ejecución presupuestal, la elaboración de los estados
financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre
los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la
tecnología disponible satisfaga las necesidades actuales y futuras de la entidad
y soporte el cumplimiento de la misión.
30
2. Identificación de Riesgos
Riesgos estratégicos del FONCODES
Riesgo de focalización: que los diferentes esfuerzos
de entidades del Estado no sean identificados y por lo tanto Riesgo de control de resultados: el no contar con
no se atienda apropiadamente a la población objetivo. El herramientas que permitan medir el desempeño,
proceso de definición de la población objetivo podría conforme a metas en el tiempo y que las mismas
contemplar un enfoque integral de acción del Estado, tanto
cumplan con los resultados esperados, conlleva a un
del gobierno nacional, como así también de los gobiernos
riesgo de no controlar adecuadamente las actividades,
locales y regionales; asimismo el identificar las actividades
para ello podría necesitarse desarrollar una normatividad
versus los actores podría colaborar en identificar
matricialmente "cruces" en las intervenciones, evitando que apropiada, un esquema de control permanente de los
el Estado invierte dos veces en lo mismo, deje indicadores, gestión de riesgos y capacitación de los
desantendidos a grupos poblacionales o atienda trabajadores promoviendo su especialización
insuficientemente
Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean
categorizados ni se estimen factores que permitan discernir la prioridad en la asignación del capital en base a
identificar los riesgos, asimismo que el resultado del emprendimiento no sea medible o no se establezcan
metas, con el consiguiente esquema de control
Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de
capacidades productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los
ayude a viabilizar mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse
iniciativas positivas, que sin embargo por una falta de control y orientación no logren los resultados esperados
Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como
puede ser: ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando
sinergias tanto en calidad de recursos, oportunidad en la intervención y brechas a cubrir
31
Categorías de Riesgos
Categorías de Riesgos
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
Estratégico fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
Operacional personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
Reputación
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Relacionados a inadecuado manejo financiero de la organización, sus
Financiero
inversiones y activos (crediticio, tesorería, mercado)
32
2. Identificación de Riesgos
A pro bació n
Directiva de CGR, Comunicación con la
3 Presentación inoportuna Gerencia de Línea, Remisión oportuna a la Estratégico 2 4 2 M oderado Alta Implementadas Jefatura del OCI
CGR, Gestión del SAGU
R esultado parcial 2.00
R esultado 2.00 M o derado
33
2. Identificación de Riesgos
NIVEL DE RIESGO Equivalente Nivel del
Criterios Fundamentales
Nivel Criterio Descripción Riesgo / Madurez
A fectació n al cumplimiento de lo s o bjetivo s
estrategico s.
Acciones de Monitoreo
Categoría Concepto
Las acciones del responsable han sido las
Implementadas
apropiadas en el tiempo comprometido
Algunas acciones se encuentran
En proceso desfasadas o en proceso de
implementación
No se evidencias acciones en la gestión
Pendientes
del riesgo
35
3. Análisis de Riesgos
36
3. Análisis de Riesgos
37
4. Evaluar los riesgos
38
4. Evaluar los riesgos
P uede o currir en la mayo ría de El desarro llo del pro ceso es afectado significativamente -
4 P o tencial 4 M ayo r
circunstancias P érdida financiera mayo r
Se espera que o curra en la mayo ria de El pro ceso es gravemente dañado - Eno rme perdida
5 Casi cierto 5 Catastro fico
circunstacias financiera
39
4. Evaluar los riesgos
Matriz de riesgos
Moderado Ba jo Modera do Al to Al to Al to
Poco
Ra ra vez Oca s i ona l Frecuente Muy frecuente
frecuente
FRECUENCIA
40
4. Evaluar los riesgos
Probable
Probabilidad Posible
Improbable
Análisis
Cualitativo
Impacto Leve
Moderado
Catastrófico
45
5. Tratar los riesgos
Compartir el Riesgo
Evitar el Riesgo
• Compra de seguros contra pérdidas
• Reducir la expansión de una línea
inesperadas significativas
de productos a nuevos mercados
• Contratación de outsourcing para
• Vender una división, unidad de
procesos del negocio
negocio o segmento geográfico
• Compartir el riesgo con acuerdos
altamente riesgoso
sindicales o contractuales con
• Dejar de producir un producto o
clientes, proveedores u otros socios
servicio altamente riesgoso
de negocio
48
Comunicación y consulta
• La comunicación y consulta son una consideración
importante en cada paso del proceso de administración de
riesgos
• Es importante la comunicación efectiva interna y externa
para asegurar que aquellos responsables por implementar
la administración de riesgos, y aquellos con intereses
creados comprenden la base sobre la cual se toman las
decisiones y por qué se requieren ciertas acciones en
particular
• Dado que los interesados pueden tener un impacto
significativo en las decisiones tomadas, es importante que
sus percepciones de los riesgos, así como, sus
percepciones de los beneficios, sean identificadas y
documentadas y las razones subyacentes para las mismas
comprendidas y tenidas en cuenta
49
IV. Aspectos a tener en cuenta…
• Impulsar desde el más alto nivel la implementación del Sistema de Control Interno
(SCI)
• Realizar talleres de capacitación y aprestamiento sobre control interno y gestión de
riesgos
• Incorporar en los documentos de gestión la responsabilidad de cada trabajador en el
control interno y la gestión de riesgos
• Establecer progresivamente un lenguaje común respecto a la gestión de riesgos
(categorías, definiciones, políticas, responsabilidades, metas, indicadores,
normatividad, etc.)
• Identificar y adaptar una metodología a las necesidades de FONCODES
• Expresar y comunicar los objetivos de la organización, a través del uso de
indicadores de desempeño
• Identificar las amenazas potenciales para el logro de los objetivos
• Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan
• Seleccionar e implementar respuestas ante los riesgos
• Priorizar los riesgos
• Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes
periódicamente
• Comunicar la información sobre riesgos de manera coherente en todos los niveles
de la organización 50
• Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus
V. Pasos sugeridos
• Capacitación en: control interno, riesgos, procesos,
indicadores
• Identificar instrumentos para recolectar información
• Listar los objetivos institucionales, tomando en cuenta la
misión
• Clasificar los procesos, actividades y las tareas
• Designar un responsable por proceso y progresivamente
incorporar la documentación y normatividad respectiva
• Identificar los riesgos y controles más importantes de la
entidad
• Valorar los riesgos
• Cruzar los riesgos vs. procesos
• Elaborar planes de acción, responsables y metas
• Evaluar la eficacia y las brechas
51 encontradas
• Mantener y actualizar
V. Pasos sugeridos
Objetivos institucionales
• Seleccionar los procesos clave conforme a la
Seleccionar importancia en el cumplimiento misional, manejo
de fondos y probabilidad de corrupción
procesos • Considerar insumos de materialidad e importancia
clave
54
Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006
V. Pasos sugeridos
56
VII. Roles
Alta Dirección
Responsable de la efectividad del SCI
Auditoría Interna
Brinda evaluación independiente Comité de Riesgos / Auditoría
*
•Retroalimentación sobre la Supervisa y ejecuta el control de calidad
gestión de riesgos y controles a las actividades del SCI
•Monitorea el proceso de
implementación del SCI y
efectividad de la gestión de
riesgos Propietarios de los Riesgos
•Alinea los principales riesgos con Implementan y reportan las acciones
el Plan Anual de Control