Importancia de la Gestión de Riesgos y su aplicación integral by Orlando Pineda Vallar

III CONGRESO LATINOAMERICANO DE ESTUDIANTES DE CONTADURIA PÚBLICA Y AUDITORÍA

TEMA: “IMPORTANCIA DE LA GESTIÓN DE RIESGOS Y SU APLICACIÓN INTEGRAL”

Orlando Pineda Vallar

Guatemala, agosto 2013

CONTENIDO

JUSTIFICACIÓN

OBJETIVOS DE LA INVESTIGACIÓN

INTRODUCCIÓN

PLANEAMIENTO DEL PROBLEMA

MARCO TEÓRICO

IMPORTANCIA DE LA GESTIÓN DE RIESGOS Y SU APLICACIÓN INTEGRAL 9 1.

GESTIÓN DE RIEGOS

1.1

TIPOS DE RIESGO

1.2

IMPORTANCIA DE LA GESTIÓN INTEGRAL DEL RIESGO

1.3

PROCESO PARA LA GESTIÓN INTEGRAL DEL RIESGO

La gestión de riesgos tiene un proceso estructurado; a continuación se describen los pasos que se consideran necesarios para su aplicación.

1.3.1

Establecer el contexto

1.3.2

Identificar los riesgos

1.3.3

Analizar los riesgos

1.3.4

Evaluar los riesgos

1.3.5

Tratamiento al riesgo

1.3.6

Monitoreo o seguimiento

1.3.7

Comunicación y consulta

APLICACIÓN PRÁCTICA

CONCLUSIONES

RECOMENDACIONES

BIBLIOGRAFÍA

IMPORTANCIA DE LA GESTIÓN DE RIESGOS Y SU APLICACIÓN INTEGRAL

JUSTIFICACIÓN

La gestión de riesgos es una práctica que ha adquirido auge a través de los años y su creciente adopción se debe a los beneficios múltiples que aporta su implantación dentro de una institución independientemente de su giro comercial. La gestión de riesgos ha evolucionado a pasos agigantados especialmente por la normatividad internacional preparada por distintas entidades y al desarrollo de modelos de control diseñados con aplicación universal.

Una adecuada implantación proporcionará una serie de beneficios dentro de los procesos de una institución como lo son ventaja competitiva, reducción de costos y agilización de tiempos de respuesta en las operaciones cotidianas de forma integral.

Las empresas tienen una gran oportunidad para mejorar procesos de cualquier índole identificando apropiadamente los riesgos circuncidantes a estos: sociales, éticos, ambientales, financieros y operativos; validando la efectividad de los controles establecidos y desarrollando planes de acción para responder a riesgos importantes.

Adicionalmente, el contador público y auditor tiene dentro de sus obligaciones profesionales independientemente si proporciona sus servicios como auditor interno o externo: 1) “Evaluar las exposiciones al riesgo referidas a gobierno, 4

operaciones y sistemas de información de la organización, con relación al logro de los

objetivos

estratégicos

organización…”1,

“…desempeñar

procedimientos de evaluación del riesgo para proporcionar una base para la identificación y valoración de riesgos de error material a los niveles de estado financiero y de aseveración.”2, por lo que el tema resulta ser de mucho interés y necesario para la profesión.

OBJETIVOS DE LA INVESTIGACIÓN

General: Explicar las razones por las que se considera de suma importancia el conocimiento de la gestión de riesgos y como se interrelaciona con la profesión.

Específicos: a)

Definir que es riesgo y otros conceptos que se relacionan con el tema.

Describir los pasos que debe llevar una adecuada gestión de riesgos.

Desarrollar un caso práctico de la aplicación de una matriz de gestión de riesgos.

Párrafo 2120-A1 Gestión de Riesgos. Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (NIEPAI), contenido en el Marco Internacional para la Práctica Profesional de la Auditoría Interna (MIPP). 2 Párrafo 5, Norma Internacional de Auditoría (NIA) 315 “Identificación y evaluación de los riesgos de error material mediante el entendimiento de la entidad y su entorno.”

INTRODUCCIÓN

Toda institución está expuesta a diversos eventos que pueden perjudicar sus propósitos institucionales, por lo que deben aprender administrar esas situaciones anticipadamente para lograr sus objetivos.

En los últimos años la gestión de riesgos ha adquirido un auge de carácter progresivo debido a la necesidad de las compañías de crecer y ser más competitivos, proteger sus activos e inversiones, minimizar costos económicos y operativos, y la necesidad de determinar que tan expuestos están dentro del entorno en el que se desenvuelven. Los beneficios de aplicar una gestión de riesgo son muchos, sin embargo, se pueden mencionar los más importantes: -

Anticipación a eventos adversos.

Mejora el uso de los recursos

Maximiza la eficiencia de los procesos

Aumenta la probabilidad de cumplir los objetivos estratégicos.

Esto nos indica que las empresas que adoptan está práctica pueden obtener un mejor desempeño financiero que sus competidores.

Identificar oportunamente cualquier amenaza que pueda evitar el alcance de los objetivos estratégicos

PLANEAMIENTO DEL PROBLEMA

¿Cuál es la importancia de la gestión de riesgos para la profesión de la contaduría pública y auditoría?, ¿Por qué se dice que su aplicación puede ser integral?, ¿Cuáles son los principales beneficios que la implantación de una gestión de riesgos otorga a los procesos administrativos, contables y financieros en una Institución?

MARCO TEÓRICO

Riesgo: Efecto de la incertidumbre sobre los objetivos.

Un efecto es una

desviación de lo esperado ya sea positivos y/o negativos. El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en circunstancias) y la probabilidad asociada de ocurrencia. Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Marco de gestión de riesgos: Conjunto de componentes que proporcionan las bases y organización para diseñar, implementar y controlar la revisión y mejora continua de la gestión del riesgo en toda la organización. Actitud de riesgo: Enfoque de la organización para evaluar y llevar a cabo planes de acción para aceptar, mitigar, compartir o evitar el riesgo. Apetito por el riesgo: Cantidad y tipo de riesgo que una organización está preparada para ejercer, mantener o adoptar. Evaluación de riesgos: Proceso general de identificación de riesgos, análisis de riesgo y de evaluación. 7

Fuente de riesgo: elemento que por sí solo o en combinación tiene el potencial intrínseco para dar lugar a riesgos. Evento: Aparición o cambio de un conjunto particular de circunstancias.

evento puede ser una o más ocurrencias y puede tener varias causas. Consecuencia: Resultado de un evento que afecta a los objetivos. Un evento puede dar lugar a una serie de consecuencias. Una consecuencia puede ser cierto o incierto y puede tener efectos positivos o negativos sobre los objetivos. Las consecuencias pueden ser cualitativas o cuantitativas. Probabilidad: Posibilidad de que algo ocurra. En terminología de gestión de riesgos, la palabra “riesgo” se utiliza para referirse a la posibilidad de que algo suceda. Evaluación de los riesgos: Proceso de comparación de los resultados de análisis de riesgo con criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable para ayudar en la decisión sobre el tratamiento del riesgo. Tratamiento del riesgo: Proceso para modificar el riesgo.

Tratamientos de

riesgos que tienen que ver con consecuencias negativas se refieren a veces como “reducción del riesgo”. Control: Medida que puede modificar el riesgo. Riesgo residual: Riesgo restante después del tratamiento del riesgo. El riesgo residual también puede ser conocido como “riesgo que subsiste”. Seguimiento: Control continuo, la supervisión, observación o crítica para determinar el carácter con el fin de identificar el cambio del nivel de rendimiento requerido o esperado.

CONTENIDO IMPORTANCIA DE LA GESTIÓN DE RIESGOS Y SU APLICACIÓN INTEGRAL

GESTIÓN DE RIEGOS

Antes de explicar cómo funciona una gestión de riesgos, es necesario partir de una definición de riesgo: Probabilidad de que un evento ocurra y pueda tener efectos ya sea positivos o negativos para una institución. Esa probabilidad es alimentada por la incertidumbre que se genera cuando se pretende alcanzar los objetivos estratégicos y es inherente a la realización de las distintas actividades productivas, por lo que podemos decir que: siempre que pretendemos alcanzar un objetivo estratégico existe la incertidumbre de si habrán eventos adversos o resultados contrarios a los esperados. La gestión de riesgos sirve entonces, para poder administrar de forma inteligente esa incertidumbre, otorgando a las instituciones una herramienta sistemática que aporta a la identificación de esos eventos no deseados que ponen en peligro el alcance de los objetivos estratégicos planteados.

1.1

TIPOS DE RIESGO

Las empresas se enfrentan constantemente a múltiples riesgos de diversos tipos, de modo que la tarea de una organización consiste, más que en plantearse la eliminación del riesgo, en aprender a gestionarlo adecuadamente. Para ello, es necesario que pueda identificar a qué tipo de riesgo puede enfrentarse en un futuro para darle un tratamiento apropiado.

A continuación se describen los

riesgos más comunes a los que se enfrenta una institución: 9

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

1.2

IMPORTANCIA DE LA GESTIÓN INTEGRAL DEL RIESGO

“Más allá de las presiones inmediatas derivadas de los mercados globales, de unos clientes cada vez más exigentes y de los cambios radicales vividos por algunos sectores, cada vez está más generalizada la idea de que las compañías tienen una oportunidad de obtener ventaja competitiva de sus capacidades de gestión de riesgos, permitiendo un crecimiento a largo plazo y unos beneficios futuros sostenibles.”3 El mayor aporte que una apropiada gestión de riesgos otorga a cualquier institución sin importar su giro comercial, es la oportunidad de anticiparse a eventos que pueden perjudicarle en un futuro, priorizar las acciones a tomar para minimizar la probabilidad de ocurrencia de ese evento o en algunos casos, disminuir el daño o impacto que pueda ocasionar si ocurriese.

La firma de consultores independientes en riesgos Protiviti, considera que existen seis razones fundamentales para implementar una gestión de riesgos, aquí comentaremos cada una de ellas:

Reducir la variabilidad del rendimiento inaceptable: con esto se pretende disminuir el aprendizaje a raíz de las crisis e incrementar la probabilidad de alcanzar los objetivos estratégicos a la vez que se reducen los costos de mitigación.

Alinear e integrar diferentes puntos de vista de la gestión de riesgos: si la institución tiene diversos puntos de vista en relación a las vulnerabilidades

La gestión de riesgos como fuente de ventaja competitiva sostenible. Josep Nadal. Revista “Harvard Deusto businnes review” No. 206 pp 34-39.

existentes, se inhibe enormemente la utilización eficiente de los recursos y la administración de riesgos comunes, por lo que adoptar una metodología ayuda a que la institución dirija todos sus esfuerzos coordinadamente para alcanzar la eficiencia de sus operaciones y la confiabilidad de su información.

Fomentar la confianza de la comunidad de inversión y las partes interesadas: las partes interesadas desean garantizar que los fondos que entregaran para su administración no corren riesgos innecesarios, por lo que demostrar un orden apropiado de gestión de riesgos proporcionará esa confianza necesaria para atraer nuevas oportunidades de negocio y desarrollo.

Mejorar el gobierno corporativo: al existir una adecuada gestión de riesgos, la alta dirección aprende a: identificar los riesgos oportunamente, administrarlos apropiadamente, mejorar sus ciclos operativos, contables y de control, comunicar eficazmente las decisiones tomadas para responder a los riesgos que forman parte de los objetivos clave.

Responder con éxito en un entorno cambiante: el mundo en el que vivimos no se detiene, está en constante cambio y en ello surgen nuevos riesgos. Basada en la retroalimentación que proporcionará el monitoreo y supervisión de las actividades que se implanten para hacer funcionar la metodología, es posible anticiparse a eventos no deseados.

Alinear la estrategia y la cultura corporativa: la creación de una cultura organizacional que cumpla con las normas establecidas (políticas, código de ética, manuales de procedimientos, etc.) hará que la gestión de riesgos sea aún más eficaz. Se debe implementar un plan de seguimiento y la frecuencia en la que se efectúa debe estar acorde con los riesgos potenciales así como con la frecuencia y naturaleza de los cambios en el entorno operativo.

En resumen, haciendo un análisis de las razones descritas anteriormente, podemos decir que los beneficios de la adopción de una metodología de riesgos son: a) Reducción de costos operativos; b) Alineación de esfuerzos con los objetivos estratégicos de la institución; c) Crear certeza y confianza para donantes y organizaciones que puedan aportar para el desarrollo de actividades científicas y de investigación, sin mencionar que la institución se hace más atractiva para quienes desean invertir en educación; d) Mejora de la disponibilidad y coherencia de la información financiera y sistemas de reporteo y e) Integración de la información y procesos de finanzas con los riesgos de toda la institución.

1.3 PROCESO PARA LA GESTIÓN INTEGRAL DEL RIESGO La gestión de riesgos tiene un proceso estructurado; a continuación se describen los pasos que se consideran necesarios para su aplicación.

1.3.1 Establecer el contexto Son las condiciones internas y del entorno, que pueden generar eventos que pueden afectar negativamente el cumplimiento de la misión y objetivos de una 13

institución. Las situaciones del entorno o externas pueden ser de carácter social, cultural, económico, tecnológico, político y legal, bien sea internacional, nacional o regional según sea el caso de análisis.

Las

situaciones

internas

están

relacionadas

con

estructura,

cultura

organizacional, el modelo de operación, el cumplimiento de los planes y programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad.

1.3.2 Identificar los riesgos La identificación de riesgos es un proceso repetitivo y suele estar integrada con el proceso de planificación. También es útil considerar los riesgos “desde cero”, en lugar simplemente de analizar su evolución a partir de un análisis anterior.

Es posible utilizar diversas técnicas para identificar posibles acontecimientos que afecten al logro de los objetivos y se adoptará el método que más se apegue a las necesidades. Entre las técnicas más comunes de identificación de riesgos, se pueden mencionar: Inventarios de riesgos, talleres de trabajo, análisis del flujo de procesos, etc.

Para realizar un adecuada identificación de riesgos, es necesario hacer ver al usuario que se trata de hacer un inventario “integral” y no únicamente de los riesgos que aún no están controlados, es decir poder identificar la mayor cantidad riesgos posible para el área específica que se está evaluando, no importa que sea 14

remota la posibilidad que ocurra o poco práctica, de igual forma se registra. De esta manera todos los riesgos se anotan en la matriz y se pueden considerar.

1.3.3 Analizar los riesgos El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

El análisis del riesgo depende de la información

obtenida en la fase de identificación de riesgos.

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e Impacto. Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Por impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.

1.3.4 Evaluar los riesgos Permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo. Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta un mapa de calor que contempla un análisis cualitativo, para presentar la magnitud de 15

las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categorías relacionadas con el impacto son: leve, moderado, alto y grave. Las categorías relacionadas con la probabilidad son: muy baja, moderada, alta, muy alta.

Mapa de calor: Es una representación gráfica de la probabilidad e impacto de uno o más riesgos. Dependiendo del nivel de detalle y de la profundidad del análisis los mapas de riesgo pueden presentar niveles esperados o bien incorporar un elemento de variabilidad de probabilidad e impacto.

Diagrama No. 1 - Mapa de calor P = Probabilidad; I = Impacto; LE = Leve; MB = Muy bajo; MO = Moderado (a); AL = Alto (a); GR = Grave; MA = Muy alto

Muy Alta

En la parte vertical medimos la P=MA I=MO

P=MA I=AL

P=MA I=GR

probabilidad de ocurrencia y

Alta

horizontalmente encontraremos P=AL I=LE

P=AL I=MO

P=AL I=AL

P=AL I=GR

el impacto de cada riesgo. Los

Moderada

colores P=MO I=LE

P=MO I=MO

P=MO I=AL

P=MO I=GR

(verde,

amarillo,

naranja, rojo) cuantifican el tipo de riesgo y exposición que

Muy Baja

P R O B A B I L I D A D

P=MA I=LE

P=MB I=LE

P=MB I=MO

P=MB I=AL

P=MB I=GR

Leve

Moderado

Alto

Grave

I M P A C T O

posee la institución, donde el color verde, representa que la institución, posee un nivel de

riesgo insignificante (rara vez ocurre) y el impacto operativo o económico en la

institución no es relevante. En el caso extremo del riesgo (color rojo), nos muestra que la institución, posee eventos que probablemente ocurren varias veces, que tiene como consecuencia la suspensión de servicios, afecta a los clientes y podría impactar significativamente en aspectos económicos y/o niveles altos de riesgos que se deben de atender en forma inmediata. Los otros colores amarillo y naranja, nos indican situaciones intermedias o concentradas en una variable ya sea de probabilidad o impacto, que ameriten elaborar medidas de mitigación del riesgo.

Esta primera evaluación se realiza para determinar el riesgo inherente y se define como el riesgo que una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto.

Identificación de controles: Posteriormente debe realizarse la identificación de los controles existentes, con el objeto de establecer prioridades para su manejo y mitigación. Para realizar esta etapa es necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Es importante hacer una adecuada identificación de los controles existentes, lo cual implica: a.

Describirlos (estableciendo si son preventivos o correctivos).

Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Evaluar la efectividad del control consiste en determinar si los controles de la 17

entidad, están siendo operados tal y como fue diseñado y si la persona que desempeña el control posee la autoridad y competencia necesaria para desempeñar efectivamente el control, satisfacer los objetivos de control de la entidad y prevenir o detectar los errores o fraude. c.

Determinar la efectividad del control con el propósito de verificar si existe un desplazamiento dentro de los cuadrantes del mapa de calor que hagan minimizarse al riesgo. A ese desplazamiento se le denomina riesgo residual, es decir el riesgo remanente luego de aplicar los controles existentes.

1.3.5 Tratamiento al riesgo Una vez evaluados los riesgos e identificado el riesgo residual, la entidad debe determinar cómo responder a ellos. Existen diferentes formas de dar respuesta al riesgo; al considerar la respuesta, se debe evaluar si efectivamente cubre el objetivo principal que en todo momento sería reducir la probabilidad y/o impacto del riesgo residual, minimizándolo lo más que se pueda.

Para poder dar una respuesta a los riesgos, se debe hacer el análisis correspondiente de si es posible o no mitigar el riesgo, pues no importa cuál sea el control que implemente, no existe ninguna forma práctica de reducir el riesgo a cero. De hecho, el riesgo siempre estará presente en todas las actividades que se realicen, es decir es inherente a los procesos operacionales. Derivado de esto, la administración deberá determinar cuál será la decisión a tomar en cuanto al riesgo que está revisando.

Los tipos de respuesta al riesgo pueden ser: Evitarlo,

reducirlo, compartirlo o aceptarlo. 18

Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.

Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles.

Compartir o Transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.

Aceptar el riesgo: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

1.3.6 Monitoreo o seguimiento Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. 19

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

1.3.7 Comunicación y consulta

La comunicación y consulta con las partes involucradas tanto internas como externas debería tener lugar durante todas las etapas (pasos dentro de la metodología) del proceso para la gestión del riesgo.

Esta comunicación es

importante para garantizar que aquellos responsables de la implementación de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones. Un enfoque de equipos de trabajo puede:



Ayudar a establecer correctamente el contexto estratégico.



Garantizar que se toman en consideración las necesidades de las partes involucradas.



Ayudar a garantizar que los riesgos estén correctamente identificados.



Reunir diferentes áreas de experticia para el análisis de los riesgos.



Garantizar que los diferentes puntos de vista se toman en consideración adecuadamente durante todo el proceso.



Fomentar la administración del riesgo como una actividad inherente al proceso de planeación estratégica.

APLICACIÓN PRÁCTICA

A continuación se presentan ejemplos de cómo poder realizar la gestión de riesgos a través de una matriz, con el propósito de dar seguimiento al proceso de identificación de riesgos y controles, determinación de riesgos residuales, planes de acción y seguimiento.

Cuadro No. 1 Identificación de riesgos PROCESO: OBJETIVO DEL PROCESO:

FASE I: IDENTIFICACIÓN DE RIESGOS SUBPROCESO

ACTIVIDADES PRINCIPALES

Riesgo No.

DESCRIPCIÓN DE LOS RIESGOS

ORIGEN DEL RIESGO

RIESGO INHERENTE CAUSAS

EFECTOS

PROBABILIDAD

IMPACTO

Cuadro No. 2 Identificación de controles FASE II: IDENTIFICACIÓN DE CONTROLES EXISTENTES Controles existentes que mitiguen el riesgo

Descripción del Control

Existe política Diseño del control El objetivo del Naturaleza del control sobre este de acuerdo a control es (Manual o control política claro Automático)

Clasificación del control (Clave, No Clave)

Periodicidad

Tipo de Control

El control cuenta con documentación soporte

Excepciones detectadas (en un año)

Evaluación de la efectividad

Por favor termine el cuestionario Por favor termine el cuestionario Por favor termine el cuestionario Por favor termine el cuestionario Por favor termine el cuestionario Por favor termine el cuestionario

Cuadro No. 3 Determinación del riesgo residual, respuesta al riesgo y seguimiento FASE III: IDENTIFICACIÓN DEL RIESGO RESIDUAL RIESGO RESIDUAL PROBABILIDAD

IMPACTO

FASE V: SEGUIMIENTO

FASE IV: RESPUESTA AL RIESGO Respuesta al Riesgo

Tipo de Control

Tipo de respuesta

Costo Estimado

Responsable de la Implmentación

Fecha de Implementación

STATUS DE IMPLEMENTACIÓN

CONCLUSIONES a) La adecuada implantación de la Gestión Integral de Riesgos depende, principalmente de la Alta Dirección. Sin embargo, todo el personal tiene responsabilidad en su ejecución, sin importar el nivel del cargo que una persona en particular ocupe dentro de la Organización.

b) Las mejores prácticas indican que la aplicación de la Gestión Integral de riesgos es fundamental para el éxito de toda Organización y el cumplimiento de sus objetivos y metas.

c) Aunque ninguna organización está inmune ante los eventos generadores de riesgo, aquellas que cuentan con una efectiva gestión pueden detectar los riesgos potenciales más oportunamente y pueden establecer estrategias que mitiguen el impacto que estos generen.

RECOMENDACIONES

a) El apoyo de la máxima autoridad dentro de las instituciones facilita la implementación. Es importante nombrar a un departamento o una persona que lidere y capacite a toda la institución, idealmente un departamento separado de Auditoría Interna.

b) Involucrar a toda la institución ayuda que la gestión de riesgos se vuelva integral y se pueda crear una cultura de riesgo, es decir despertar el interés 24

para que todos estén atentos a cualquier evento que pueda afectar o impedir los objetivos y continuidad de las operaciones.

c) Implantar una gestión de riesgo efectiva en sí es complejo, por lo que apoyarse en estándares como COSO ERM, NSZ 4360 o ISO 31000 permite utilizar técnicas y herramientas que pueden ser más comprensibles para los usuarios, sin degradar la aplicación de la metodología.

BIBLIOGRAFÍA

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN ICONTEC. Norma Técnica Colombiana NTC ISO 31000:2011. International Standards Organization - ISO. ISO GUIDE 73:2009 (E/F) Risk management vocabulary. Switzerland. First edition 2009. PRICEWATERHOUSECOOPERS. Gestión de Riesgos Corporativos – Marco Integrado. España 2009. PRICEWATERHOUSECOOPERS LLP. Gestión de Riesgos Corporativos – Técnicas de aplicación. Septiembre 2004. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA - DIRECCIÓN DE CONTROL INTERNO Y RACIONALIZACIÓN DE TRÁMITES. Guía para la Administración del Riesgo. Bogotá, D.C., Septiembre de 2011. Cuarta Edición JOSEP NADAL - REVISTA “HARVARD DEUSTO BUSINNES REVIEW”.

gestión de riesgos como fuente de ventaja competitiva sostenible. No. 206 pp 3439. COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA. Buenas prácticas para la gestión y supervisión del riesgo operativo. Febrero 2003. PROTIVITI. Guide to Enterprise Risk Management – Frequently Asked Questions. 2006 pp 3- 4.