Upload
roberto-diaz
View
995
Download
0
Tags:
Embed Size (px)
Citation preview
Profesora Sonia M. Montoya O.
COSO I: CONTROL INTERNO – MARCO INTEGRADO
(Internal Control – Integrated Framework )
Y
COSO II: GESTION DE RIESGOS CORPORATIVOS
(Enterprise Risk Management – Integrated Framework )
(Committe of Sponsoring Organizations of the Treadway Commission)
U. DE A.
Septiembre de 2008
Profesora Sonia M. Montoya O.
COSO I: CONTROL INTERNO – MARCO INTEGRADO
(Internal Control – Integrated Framework )
(Committe of Sponsoring Organizations of the Treadway Commission)
U. DE A.
Septiembre de 2008
COSO I (CONTROL INTERNO - MARCO INTEGRADO )
1. Introducción
2. Definición de Control Interno
3. Conceptos fundamentales
4. Limitaciones de todo sistema de control interno
5. Componentes del Control Interno
5.1 Ambiente de Control
5.2 Evaluación de riesgos
5.3 Actividades de control
5.4 Información y comunicación
5.5 Monitoreo
6. Situaciones que pueden vulnerar el sistema de control
7. Roles y responsabilidades
INDICE
COSO II (CONTROL INTERNO - MARCO INTEGRADO )
1. Ingtroducción
2. Antecedentes
3. Definición de Control Interno
4. Componentes del Control Interno
4.1 Ambiente Interno
4.2 Establecimiento de objetivos
4.3 Identificación de eventos
4.4 Valoración de riesgos
4.5 Respuesta al riesgo
4.6 Actividades de control
4.7 Información y comunicación
4.8 Monitoreo
INDICE
-COSO: USA (Comité of Sponsoring Organization of Treadway Comision).
-El "INFORME COSO" sobre control interno, fue publicado en EE.UU. en 1992. Surgió como
una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e
interpretaciones existentes en torno al control interno.
-El informe COSO plasma los resultados de la tarea realizada durante más de cinco años por
el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON
FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por
representantes de las siguientes organizaciones:
1. INTRODUCCION
-American Accounting Association (AAA)
-• American Institute of Certified Public Accountants (AICPA)
-• Financial Executive Institute (FEI)
-• Institute of Internal Auditors (IIA)
-• Institute of Management Accountants (IMA)
-La redacción del informe fue encomendada a Coopers & Lybrand.
El objetivo principal de este trabajo fue definir un nuevo marco conceptual del control interno,
capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre
este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la
auditoria interna o externa, o de los niveles académicos o legislativos, se cuente con un
marco conceptual común y una visión integradora que satisfaga las demandas generalizadas
de todos los sectores involucrados.
1. INTRODUCCION
El Control Interno es un proceso (sistema) ejecutado por el
consejo de directores, la administración y otro (todo) personal
de la entidad, diseñado para proporcionar seguridad
razonable con miras a la consecución de los objetivos en las
siguientes categorías:
Eficiencia y efectividad en las operaciones
Confiabilidad en la información financiera
Cumplimiento de leyes y regulaciones
aplicables.
2. DEFINICION
Es un proceso, porque constituye un medio para un fin, no
un fin en sí mismo.
Es ejecutado por personas, no son solamente manuales de
políticas y formas sino personas en cada nivel de una
organización.
Proporciona seguridad razonable, no seguridad absoluta.
Está estructurado para la consecución de objetivos en una o
mas categorías separadas, pero interrelacionadas. La
probabilidad de alcanzar los objetivos de la empresa está
afectada por las limitaciones inherentes a todos los sistemas
de control interno.
3. CONCEPTOS FUNDAMENTALES
Limitaciones inherentes a todos los sistemas de control
interno:
Juicios humanos en la toma de decisiones
Resquebrajamientos: Fallas humanas
(errores y equivocaciones)
Colusión de dos o más personas
Desbordamiento (violación) del sistema de control interno
por parte de la administración
Análisis costo – beneficio de los controles
Eventos externos que afecten negativamente el negocio
4. LIMITACIONES DE TODO SISTEMA
DE CONTROL INTERNO
El control interno no asegura el éxito y la supervivencia, pero
sí ayuda a que las empresas alcancen sus objetivos.
El control no asegura la confiabilidad de la información
financiera y cumplimiento de las normas , sino que puede
proveer seguridad razonable
4. LIMITACIONES DE TODO SISTEMA
DE CONTROL INTERNO
El control interno según el modelo COSO, se conforma de cinco
componentes:
5. COMPONENTES DEL CONTROL INTERNO
EVALUACION DE RIESGOS
ACTIVIDADESDE
CONTROL
INFORMACION Y
COMUNICACION
MONITOREO
AMBIENTE DE CONTROL
5. COMPONENTES DEL CONTROL INTERNO
5. COMPONENTES DEL CONTROL INTERNO
El AMBIENTE DE CONTROL proporciona una
atmósfera en la cual la gente conduce sus
actividades y cumple con sus responsabilidades de
control. Sirve como fundamento para los otros
componentes. Dentro de este ambiente la
administración VALORA LOS RIESGOS para la
consecución de los objetivos específicos. Las
ACTIVIDADES DE CONTROL se implementan para
ayudar a asegurar que se están cumpliendo las
directrices de la administración para manejar los
riesgos. Mientras tanto se captura y COMUNICA a
través de toda la organización la INFORMACIÓN
relevante. El proceso total es MONITOREADO y
modificado cuando las condiciones lo justifican
5.1 AMBIENTE DE CONTROL
El ambiente de control define al conjunto de
circunstancias que enmarcan el accionar de
una entidad desde la perspectiva del control
interno y que son por lo tanto determinantes
del grado en que los principios de este
último imperan sobre las conductas y los
procedimientos organizacionales.
5.1 AMBIENTE DE CONTROL
Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la
gerencia, y por consecuencia, los demás agentes con relación a la importancia del control interno y su incidencia sobre las
actividades y resultados.
Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce sobre el comportamiento del
personal en su conjunto.
5.1 AMBIENTE DE CONTROL
Factores del ambiente de control:
La filosofía y estilo de la dirección y la gerencia.
La estructura, el plan organizacional, losreglamentos y los manuales de procedimiento.
La integridad, los valores éticos, la competenciaprofesional y el compromiso de todos loscomponentes de la organización, así como suadhesión a las políticas y objetivos establecidos.
Las formas de asignación de responsabilidades yde administración del personal.
El grado de documentación de políticas, decisionesy de programas que contengan metas, objetivos eindicadores de rendimiento.
La existencia de consejos de administración ycomités de auditorias con independencia ycalificación profesional.
5.2 VALORACION DE RIESGOS
El control interno ha sido pensado
esencialmente para limitar los riesgos que
afectan las actividades de las
organizaciones.
A través de la investigación y análisis de
los riesgos relevantes y el punto hasta el
cual el control vigente los neutraliza, se
evalúa la vulnerabilidad del sistema.
Se requiere de un conocimiento práctico de
la entidad, de manera de identificar los
puntos débiles, enfocando los riesgos tanto
al nivel de la organización (internos y
externos) como de cada actividad.
5.2 VALORACION DE RIESGOS
Una vez identificados los riesgos,
debe procederse a:
Estimar su importancia
Evaluar su probabilidad
Definir la forma como se
administrarán los riesgos, así como
su nivel de aceptación y tolerancia.
Existen circunstancias que pueden merecer una atención especial:
Cambios en el entorno, redefinición de la política institucional,
reorganizaciones internas, nuevos sistemas y tecnologías, nuevos
productos, actividades o funciones.
5.3 ACTIVIDADES DE CONTROL
Las actividades de control son aquellas que
realiza la Gerencia y demás personal de la
organización para cumplir diariamente con
actividades asignadas. Estas actividades
están relacionadas y contenidas en las
políticas, sistemas de información y en los
diferentes procedimientos de cada
dependencia.
5.3 ACTIVIDADES DE CONTROL
Algunas actividades de control son las siguientes:
Análisis efectuados por la dirección.
Seguimiento y revisión por parte de los responsables de las diversas
funciones o actividades.
Niveles de aprobación, autorización y revisión.
Comprobación de las transacciones en cuanto a su exactitud,
totalidad, y autorización pertinente: aprobaciones, revisiones, cotejos,
recálculos, análisis de consistencia, prenumeraciones.
Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.
Dispositivos de seguridad para restringir el acceso a los activos y
registros.
Segregación de funciones.
Indicadores de desempeño.
5.3 ACTIVIDADES DE CONTROL
Controles de las tecnologías de información:
a. Controles generales
Controles a las operaciones del centro de datos: Copias
de seguridad, procedimientos de recuperación,
contingencias, recuperación de desastres, trabajos de
implementación y rutina, acciones del operador, etc
Controles al software del sistema: Incluye controles de
adquisición, implementación y mantenimiento del
software, registro de las personas que accesan el
sistema.
Controles de seguridad de acceso
Controles de desarrollo y mantenimiento de aplicaciones
del sistema
b. Controles de aplicación: diseñados para controlar
aplicaciones en proceso (procesamiento completo y exacto,
autorización y validación de transacciones9
5.4 INFORMACION Y COMUNICACION
En las organizaciones es imprescindible que se cuente con la
información periódica y oportuna que los funcionarios requieran
para orientar sus acciones en consonancia con los demás,
hacia el mejor logro de los objetivos.
La información relevante debe ser captada, procesada y
transmitida de tal modo que llegue oportunamente a todos los
sectores permitiendo asumir las responsabilidades individuales.
La información operacional, financiera y de cumplimiento
conforma un sistema para posibilitar la dirección, ejecución y
control de las operaciones.
Este componente está conformado por:
Información para toma de decisiones
Sistemas de información ligados a planeación estratégica
Sistemas de información ligados a las operaciones
Calidad de la información
Medios de comunicación
5.4 INFORMACION Y COMUNICACION
5.5 MONITOREO
Los sistemas de control interno deben
ser monitoreados con el fin de:
Determinar su idoneidad y eficiencia
Efectuar revisión y actualización
periódica del sistema para mantenerlo
en un nivel adecuado.
El objetivo es asegurar que el control
interno funciona adecuadamente, a
través de dos modalidades de
supervisión: Monitoreo (actividades
continuas - ongoing) y auditoría
(evaluaciones separadas).
5.5 MONITOREO
Actividades continuas de supervisión (son aquellas actividades
normales y recurrentes que, ejecutándose en tiempo real y arraigadas
a la gestión, generan respuestas dinámicas a las circunstancias
sobrevinientes):
Actividades de supervisión
Comparaciones
Conciliaciones
Reportes de excepción
Comunicaciones recibidas de partes externas que corroboran
información generada internamente.
Inventarios
Análisis de informes de auditoria, contabilidad, reportes de
deficiencias y otros informes emitidos por los entes de control.
Juntas de trabajo en las que se traten temas de la efectividad de los
controles.
5.5 MONITOREO
Auditoría (evaluaciones separadas): Su alcance y
frecuencia están determinados por la naturaleza e
importancia de los cambios y riesgos que éstos conllevan,
la competencia y experiencia de quienes aplican los
controles, y los resultados de la supervisión continuada.
Son ejecutados por la auditoria interna, los
auditores externos y los revisores fiscales.
6. SITUACIONES QUE PUEDEN VULNERAR
EL SISTEMA DE CONTROL
Comportamientos negativos del mercado que
pueda afectar los resultados en los negocios.
Cambio de sistemas de información
Crecimiento rápido de la organización
Diversificación del portafolio de servicios
Apertura de nuevas oficinas
Escasez de recursos para invertir en el
mejoramiento de los procedimientos de
control interno.
6. SITUACIONES QUE PUEDEN VULNERAR
EL SISTEMA DE CONTROL
Retiro de personal clave, gerencial u
operativo, generando inadecuada segregación
de funciones.
Reducción de personal (planes de retiro)
Planes inadecuados de reducción de costos.
Reducción en la calidad del control gerencial,
por la orientación de esfuerzos importantes a la
generación de nuevas oportunidades de
negocio.
Falta de herramientas y/o informes para
ejecutar un adecuado control gerencial y de
monitoreo.
Fusiones, escisiones
7. ROLES Y RESPONSABILIDADES
Administración
El gerente general de la compañía es el
principal responsable y debe asumir la
propiedad del sistema de control interno.
Este director da el “tono por lo alto”, el cual
afecta la integridad y la ética así como los
otros factores de un ambiente de control
positivos. Cumple esta misión
proporcionando liderazgo y dirección a los
administradores principales y revisando la
manera como ellos controlan su negocio.
7. ROLES Y RESPONSABILIDADES
Junta Directiva
Proporciona gobierno, guía y supervisión reguladora. Los
miembros deben ser objetivos, competentes e inquisitivos.
Un consejo fuerte, activo, acoplado con los canales de
comunicación, hacia arriba, efectivo y con funciones
financieras, legales y de auditoria interna competentes es
capaz de identificar y corregir los problemas que pueden
estar escondiendo las malas administraciones.
7. ROLES Y RESPONSABILIDADES
Auditores internos
Participan de forma importante en la
evaluación de la efectividad del
sistema de control interno y
contribuyen a la efectividad de
monitoreo como consecuencia de su
posición organizacional y de la
autoridad que poseen en la entidad.
7. ROLES Y RESPONSABILIDADES
Internamente las responsabilidades sobre el control corresponden
conforme a lo siguiente:
Establece no sólo la misión y los
objetivos de la organización, sino
también las expectativas relativas a la
integridad y los valores éticos.
Gerencia Debe asegurar que existe un
ambiente propicio para el control.
Ejecutivos
financieros
Análisis de resultados y tendencias.
Prevención y detección de reportes
financieros fraudulentos.
Junta Directiva
7. ROLES Y RESPONSABILIDADES
Comité de
Auditoria
Es el órgano que no sólo tiene la facultad de
cuestionar a la Gerencia en relación con el
cumplimiento de sus responsabilidades, sino
también asegurar que se tomen las medidas
correctivas necesarias.
Comité de
finanzas
Contribuye cumpliendo con la responsabilidad de
evaluar la consistencia de los presupuestos con
los planes operativos.
Auditoría
Interna
A través del examen de la efectividad y
adecuación del sistema de control interno y
mediante recomendaciones relativas a su
mejoramiento.
7. ROLES Y RESPONSABILIDADES
Area
Jurídica
Auditoría
Externa y
Revisoría Fiscal
Organismos de
inspección y
viligancia
Lleva a cabo la revisión de los controles y otros
instrumentos legales, con el fin de salvaguardar
los bienes de la Entidad y evitar incurrir en
incumplimientos que pueda acarrear
consecuencias negativas para la Compañía.
Proporcionan al Consejo de Administración, al
Comité de Auditoría y a la Gerencia, un punto de
vista objetivo e independiente, que contribuye al
cumplimiento del logro de los objetivos
institucionales
Participan mediante el establecimiento de
requerimientos de control interno, así como en el
examen directo de las operaciones de la
Organización, haciendo recomendaciones que lo
fortalezcan.
Profesora Sonia M. Montoya O.
COSO II: GESTION DE RIESGOS
CORPORATIVOS
(Enterprise Risk Management – Integrated Framework )
(Committe of Sponsoring Organizations of the Treadway Commission)
U. DE A.
Septiembre de 2008
El COSO I publicado en 1992, se ha constituido en un elemento fundamental para el logro de
los objetivos de las organizaciones, mediante la definición de un marco común de control
interno; y ha sido tomado por las empresas como referencia metodológica para acogerse a la
ley Sarbanes Oxley del año 2002, en lo relacionado con el establecimiento, documentación y
evaluación de los sistemas de control de riesgos que vulneran la información financiera.
Debido a que en los últimos años ha cobrado muchísima importancia el tema de
administración de riesgos, como elemento fundamental para el logro de los objetivos y para la
generación de valor de los diferentes grupos de interés de las organizaciones, COSO
entendió la necesidad de desarrollar un marco integrado de gestión de riesgos corporativos.
En el 2001 se inició este proyecto y se contrató a PricewaterhouseCoopers. En septiembre
de 2004 emitió el informe definitivo “Gestión de Riesgos Corporativos-Marco Integrado”.
Este documento profundiza en el control interno utilizando un enfoque más extenso y sólido
sobre el tema de gestión de riesgos. No pretende sustituir el marco de control interno, sino
incorporarlo dentro del marco de gestión de riesgos.
Este documento ayuda a los empresarios a determinar cuánto riesgo está dispuesto a
aceptar la entidad y cuánto riesgo acepta a medida que crea valor
1. INTRODUCCION
COSO II pretende ser una herramienta para la administración de riesgos empresariales al
desarrollar principios integrales, terminología común y una guía práctica de implementación,
que soporte los programas en las entidades, para desarrollar el proceso de la administración
de riesgos.
www.coso.org
1. INTRODUCCION
1. INTRODUCCION
La premisa que subyace en la gestión de riesgos, es que las organizaciones existen para
generar valor a sus grupos de interés. Todas las entidades enfrentan la incertidumbre, y el
reto para la administración es determinar cuanta incertidumbre se puede aceptar en el
esfuerzo de aumentar el valor de los accionistas.
La administración de riesgos permite a la administración gestionar eficazmente la
incertidumbre y sus riesgos y oportunidades asociados, para mejorar la capacidad de generar
valor.
Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar
un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos y
oportunidades asociados.
La gestión de riesgos incluye la realización de las siguientes actividades:
2. ANTECEDENTES
Alinear el apetito por el riesgo y la estrategia
Mejorar las decisiones de respuesta al riesgo
Minimizar sorpresas y pérdidas operacionales
Identificar y gestionar la diversidad de riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotación del capital
2. ANTECEDENTES
La administración de riesgos del
emprendimiento es un proceso, efectuado por la
junta de directores de una entidad, por la
administración y por otro personal, aplicado en
el establecimiento de la estrategia y a través del
emprendimiento, diseñado para identificar los
eventuales potenciales que pueden afectar la
entidad, y para administrar los riesgos que se
encuentran dentro de su apetito por el riesgo, a
fin de proveer seguridad razonable en relación
con el logro de los objetivos de la entidad.
3. DEFINICION
RISKS
Es un proceso, ongoing y fluyente a través de una entidad.
Es ejecutado por personas en cada nivel de la organización.
Es aplicado en el establecimiento de la estrategia
Es aplicado a través del emprendimiento en cada nivel y unidad, e incluye tomar
un punto de vista del riesgo de portafolio a nivel de la entidad.
Es diseñado para identificar eventos potenciales que, si ocurren, afectarán la
entidad y para administrar los riesgos que caen dentro de su apetito por el riesgo
Es capaz de proveer seguridad razonable, a la administración y a la junta de
directores de una entidad.
3. DEFINICION
Es enfocado al logro de objetivos en una o más categorías separadas, pero
sobrepuestas:
El logro de objetivos se expresa en cuatro categorías:
Estratégica: Metas de alto nivel, alineadas con y apoyando su misión
Operaciones: uso efectivo y eficiente de sus recursos
Presentación de reportes: confiabilidad de la presentación de reportes
Cumplimiento: con las leyes y regulaciones aplicables
3. DEFINICION
3. COMPONENTES
1. Ambiente Interno
2. Establecimiento de objetivos
3. Identificación de eventos
4. Valoración de riesgos
5. Respuesta al Riesgo
6. Actividades de Control
7. Información y comunicación
8. Monitoreo
3. COMPONENTES
Constituye la base de todos de los componentes de gestión de riesgos. Proporciona
disciplina y estructura e influye en la forma como deben ser establecidas las estrategias y
objetivos organizacionales, como se deben estructurar las actividades empresariales y la
forma como los riesgos se deben identificar, evaluar y tratar. Asimismo, determina el diseño
y funcionamiento de las actividades de control, los sistemas de información y las actividades
de monitoreo.
El ambiente interno determina la forma como las personas en las organizaciones deben
percibir y a afrontar el control y el riesgo. Establece como base fundamental de la empresas
a las personas (integridad, los valores éticos y la competencia) y el entorno en el que actúan.
El ambiente interno incluye: la filosofía de la gestión de riesgos, el apetito de riesgo, la
integridad y los valores éticos, el compromiso por la competencia, estructura organizacional,
asignación de autoridad y responsabilidad, y normas para recursos humanos.
1. Ambiente Interno
3. COMPONENTES
Los objetivos en la compañía deben ser definidos antes de que se determinen los
riesgos que puedan afectar el logro de los mismos. Los objetivos se definen a
escala estratégica, definiendo con ellos una base para los objetivos operativos, de
información y de cumplimiento.
Las organizaciones se enfrentan a riesgos internos y externos; una condición
fundamental para la identificación, evaluación y respuesta hacia los riesgos, es fijar
los objetivos que deben estar alineados con el riesgo aceptado por la compañía.
La gestión de riesgos empresariales asegura que la dirección ha definido un
proceso para fijar objetivos, que los objetivos seleccionados apoyan la misión de la
entidad y se alinean con ella, y que se es consistente con el riesgo aceptado.
Los objetivos se dividen en cuatro categorías:
2. Establecimiento de objetivos
3. COMPONENTES
Los objetivos se dividen en cuatro categorías:
-Objetivos estratégicos: se relacionan con las metas de alto nivel, alineados con y
apoyando la misión.
-Objetivos operacionales: relacionados con la efectividad y eficiencia de las
operaciones de la compañía. Incluyen metas de desempeño y de rentabilidad.
-Objetivos de información (presentación de reportes): relacionados con la
efectividad de la presentación de reportes de la organización. Incluyen reporte
internos y externos e información financiera y no financiera.
-Objetivos de cumplimiento: relacionadas con el cumplimiento de leyes y
regulaciones aplicables.
2. Establecimiento de objetivos
3. COMPONENTES
La administración identifica eventos potenciales, que en caso de materializarse, afecten la
compañía, y determina si representan oportunidades o si pueden afectar negativamente la
capacidad de la empresa para llevar a cabo su estrategia y lograr los objetivos. Las
oportunidades se redireccionan hacia la estrategia o hacia los procesos para fijar objetivos
Los factores internos y externos que pueden generar riesgos a la organización, incluyen:
-Factores externos: económicos, medioambientales, políticos, sociales, y tecnológicos.
Factores internos: infraestructura , personal, procesos, tecnología.
Algunas técnicas para la identificación de riesgos son: inventarios de riesgos (comunes a
empresas de un determinado sector, o a un proceso o actividad específica), análisis interno
(mediante reuniones con el personal), dispositivos de escala o umbral (dispositivos que
alertan a la dirección respecto a áreas con problemas comparando transacciones o eventos
actuales con criterios predefinidos), talleres de trabajo o entrevistas, análisis de flujo del
proceso, indicadores de eventos importantes y metodología para datos de eventos con
pérdidas (registro de eventos)
3. Identificación de eventos
3. COMPONENTES
La evaluación de riesgos facilita a la administración el entendimiento de la forma como los
riesgos potenciales podrían impactar la consecución de los objetivos. Los riesgos se evaluán
desde una doble perspectiva (probabilidad e impacto), mediante la combinación de métodos
cualitativos y cuantitativos.
Los riesgos se evalúan en un doble enfoque: riesgo inherente (aquel que una entidad
enfrente en ausencia de controles para mitigar su probabilidad o impacto) y riesgo residual
(es el riesgo que permanece después de que la administración a implementado medidas de
control).
Las técnicas cualitativas para la evaluación de riesgos, generalmente se utilizan cuando los
riesgos no facilitan su cuantificación o cuando no hay disponible datos suficientes y
confiables para una evaluación cuantitativa o la obtención y análisis de ellos no resulte eficaz
por su alto costo.
3. COMPONENTES
4. Valoración de riesgos
Las técnicas cuantitativas otorgan más precisión y se usan en actividades complejas, para
complementar las técnicas cualitativas.
Algunos ejemplos de técnicas cuantitativas de evaluación de riesgos son:
-Benchmarking: proceso comparativo entre entidades, que enfoca eventos o procesos
concretos y compara medidas y resultados
-Modelos probabilísticos: se evalúa la probabilidad e impacto a partir de datos históricos o
resultados simulados que reflejan hipótesis de comportamiento futuro
-Modelos no probabilísticos: aplican hipótesis subjetivas para estimar el impacto de eventos
sin una probabilidad asociada cuantificada.
3. COMPONENTES
4. Valoración de riesgos
Tan pronto la administración identifica los riesgos, debe decidir la forma como responderá
ante ellos. La respuesta ante los riesgos puede ser:
-Evitar: implica la eliminación de actividades de generen riesgo. Puede implicar la
terminación de una línea de productos, frenar la expansión hacia un nuevo mercado
geográfico o la venta de una división.
-Reducir: implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo
o ambos conceptos a la vez.
-Compartir: reducir la probabilidad o el impacto del riesgo, compartiendo el riesgo mediante,
por ejemplo, la contratación de seguros, la realización operaciones de cobertura o la
externalización de una actividad.
-Aceptar el riesgo: consiste en no emprender acciones que afecten la probabilidad o el
impacto del riesgo.
3. COMPONENTES
5. Respuesta al Riesgo
Al seleccionar la respuesta al riesgo, se debe analizar el efecto sobre la probabilidad y sobre
el impacto, así como los costos y beneficios y, finalmente, se debe seleccionar aquella
respuesta al riesgo que sitúe el riesgo residual dentro de la tolerancia hacia el riesgo definida
por la empresa.
3. COMPONENTES
5. Respuesta al Riesgo
Son la políticas y procedimientos que ayudan a asegurar que se lleven a cabo las medidas
seleccionadas en respuesta a los riesgos identificados. Las actividades de control se
desarrollan en todos los niveles y en todas las funciones. Incluye actividades como:
aprobaciones, autorizaciones, verificaciones, conciliaciones, segregación de funciones,
seguridad de los activos y revisiones de funcionamiento operativo.
3. COMPONENTES
6. Actividades de Control
Las organizaciones deben identificar, captar y comunicar información relevante, en un modo
y plazo tal, que las personas puedan llevar a cabo sus responsabilidades. La información es
necesario en todos los niveles, para poder identificar, evaluar y responder a los riesgos.
Todos los funcionarios de la organización deben recibir un mensaje claro de la dirección, de
considerar de forma seria las responsabilidades de gestión de los riesgos organizacionales,
con el fin de que puedan entender su papel en dicha gestión y cómo las actividades
individuales se relacionan con las actividades de los demás.
Debe existir en las organizaciones, medios eficaces para comunicar hacia arriba la
información significativa; así como medios que permitan un comunicación adecuada con
terceros (clientes, proveedores, reguladores y accionistas).
3. COMPONENTES
7. Información y comunicación
La gestión de riesgos empresariales se debe monitorear, con el fin de determinar la
presencia y funcionamiento de sus componentes a través del tiempo, mediante actividades
permanentes de supervisión, evaluaciones independientes o una combinación de ambas. El
alcance y frecuencia de las evaluaciones, dependerá de la evaluación de riesgos y la eficacia
de los procedimientos de supervisión permanente.
3. COMPONENTES
8. Monitoreo
Las limitaciones inherentes al sistema de control interno, son las mismas que
tienen los sistemas de administración de riesgos:
Juicios humanos en la toma de decisiones
Resquebrajamientos: Fallas humanas
(errores y equivocaciones)
Colusión de dos o más personas
Desbordamiento (violación) del sistema de
control interno por parte de la administración
Análisis costo – beneficio de los controles
Eventos externos que afecten negativamente el negocio
4. LIMITACIONES DEL SISTEMA
DE ADMINISTRACION DE RIESGOS