• No se han encontrado resultados

Gestión de Riesgos y Control Interno

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Gestión de Riesgos y Control Interno"

Copied!
16
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 16 página )

Texto completo

(1)

y

Control Interno

Fundamentos en la Gestión de Riesgos - Apetito al riesgos, tolerancia y límites

- Riesgos residuales vs. Riesgos secundarios - Niveles de riesgos - Niveles de

(2)

¿Qué contiene este eBook?

Introducción

3

Risk Management y Control 3

Fundamentos de la Gestión de Riesgos

4

¿Cuáles son sus objetivos, etapas y beneficios? 4

Apetito al Riesgo, Tolerancia y Límites

5

Primer paso en la Gestión de Riesgos 5

Riesgos Residuales vs. Riesgos Secundarios

6

Niveles de Riesgo

7

Niveles de Control

8

El Mapa de Riesgos

9

La Matriz de Riesgos

10

Normas en Gestión de Riesgos: ISO 31000

11

Análisis 11

Estructura 12

Proceso 12

Los principios de ISO 31000

13

(3)

Introducción

La implementación del proceso de ge-stión de riesgos tiene diferentes fases. El control interno proporciona la garantía razona-ble de la consecución de los objetivos estratégicos de la alta dirección, del consejo de administración. La organización puede presentar desde con-troles manuales a mecanizados, preventi-vos, detectivos y correctivos. A cada riesgo se le asignan sus controles correspondientes. El riesgo residual ofrece la posibilidad de analizar si los controles planteados son realmente efectivos y si se han aplicado correctamente. El proceso ín-tegro de la gestión de riesgos en las empresas está arropado de la cultura y el gobierno corporativo.

Risk Management y Control

Fases en la Gestión de Riesgos

1. Apetito, Tolerancia y Límites 2 Identificación y Evaluación 3. Gestión y Control

4. Comunicación e Informes

(4)

Fundamentos de la Gestión de Riesgos

Un riesgo es aquel “evento o condición incierta que, si se produce, tiene un efecto

positivo o negativo en los objetivos de un proyecto”, de acuerdo a la PMBOK Guide.

Capítulo 1

¿Cuáles son sus objetivos, etapas y beneficios?

Objetivos

La gestión de riesgos persigue la disminución de las probabilidades de los impactos nega-tivos en un proyecto o en determinada actividad de la empresa y, al contrario, busca au-mentar las probabilidades de que se produzcan impactos positivos en esas actividades.

Etapas

El apetito al riesgo, la tolerancia y los límites son el punto de partida, seguido de la identi-ficación y evaluación de los riesgos. A continuación se encuentra la gestión del riesgo y los controles, que derivan hacia la comunicación y elaboración de informes. La gestión de estos riesgos están vinculados en todo momento con los objetivos estratégicos del ne-gocio, en los que hay una planificación de los recursos de capital humanos y tecnológicos

Beneficios

El conocimiento de los riesgos posibles, así como la probabilidad de producirse, permite una planificación estratégica más efectiva. Esto conlleva a una mayor eficiencia y efectivi-dad y, consecuentemente, a unos menores costes asociados a esos imprevistos previamente identificados y controlados. La continua revisión y comunicación de los datos propicia que todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva.

(5)

Apetito al Riesgo, Tolerancia y Límites

El apetito al riesgo, la tolerancia y los límites conforman el primer paso para tra-bajar en la gestión de riesgos. Todo comienza por conocer los objetivos estra-tégicos de la empresa. Los objetivos de la empresa, sus políticas y sus procedi-mientos están planteados por la alta dirección. Estos planteaprocedi-mientos quedan recogidos en los manuales elaborados y van a condicionar el apetito al riesgo de la organización.

Capítulo 2

1

2

3

Apetito al Riesgo

Tolerancia al Riesgo

Límites

Los objetivos de las empresas han de contemplar elementos como rentabilidad, resultados, ratios comparativos, análisis de la competencia o situacio-nes normativas. Se trata de la primera base sobre la que tra-baja la gestión de riesgos. En este contexto, las organizacio-nes están dispuestas a acep-tar riesgos en la búsqueda de su misión y visión, vinculada a sus objetivos estratégicos. Se trata del apetito al riesgo.

No obstante, no todas las compañías están dispuestas a asumir el mismo nivel de ries-go para alcanzar sus objetivos. Las empresas pueden gestionar una mayor o menor cantidad de riesgo, según su naturale-za o del contexto en el que se sitúan. De este modo, la to-lerancia al riesgo de estas or-ganizaciones varía en función del nivel de riesgo aceptado.

Las organizaciones pueden es-tar dispuestas a acepes-tar un nivel de riesgo determinado con sus actuaciones, pero eso no signi-fica que sea el riesgo máximo que puedan soportar. La capa-cidad de riesgo hace referencia a estos límites de las compañías en la búsqueda de sus objetivos.

(6)

Riesgos Residuales

Riesgos Secundarios

Este tipo de riesgo hace referencia a aquel que permanece después de haber ejecutado las respuestas a esos riesgos. La empresa ha im-plementado determinados controles y el ries-go subsiste, teniendo en cuenta que siempre va a existir un nivel de riesgo. La organización ha de tratar de que ese nivel sea aceptable. De este modo, este tipo de riesgo ha sido acepta-do e identificaacepta-do por la compañía para crear planes de contingencia y planes alternativos.

Se trata del riesgo que aparece en el mo-mento en el que la organización implanta una determinada respuesta a un riesgo. La empresa actúa de acuerdo a los riesgos que se le presentan para eliminarlos, mitigarlos o transferirlos, según su impacto y natura-leza. Es en este contexto en el que se pre-sentan nuevos riesgos secundarios, como consecuencia de esas actuaciones. Este tipo de riesgos también ha de ser identificado y analizado, para su posterior control y gestión.

(7)

Las organizaciones pueden presen-tar niveles de riesgo alto, medio o bajo:

Nivel de riesgo alto

Evaluación de to-das las actividades de control. Tomar todas las activida-des de control po-sibles dentro de la

organización, teniendo en cuenta el análi-sis coste-beneficio. Muchas veces poner unas medidas de control pueden supo-ner un coste mayor que el beneficio que nos puede reportar. Este análisis permite cuantificar si compensa o no adoptarlo.

Nivel de riesgo medio

Evaluación y supervisión de controles cla-ve y relevantes. Se hace evaluación y su-pervisión de con-troles, pero solo claves o relevantes en los que no se permiten que se vayan a una zona de no confort. Se trata de realizar controles para pasar al nivel de riesgo bajo.

Nivel de riesgo bajo

No evaluación de actividades de con-trol. No se necesitan realizar activida-des de control al tratarse de un ries-go del día a día caracterizado por la propia actividad de la empresa.

Las organizaciones

pueden presentar

niveles de riesgo alto,

medio o bajo.

• Evaluación de todas las actividades de con-trol.

• Evaluación y supervisión de controles clave y relevantes.

• No evaluación de actividades de control.

Niveles de Riesgo

(8)

Los controles que establecen las empresas son fun-damentalmente preventivos, detectivos y correctivos:

Controles preventivos

Se establecen para anticiparse a los eventos no deseados antes de que sucedan. El conocimiento de estos riesgos viene determinado por la experiencia de la empre-sa y del sector en el que desempeña su actividad. Cada empleado pone en prácti-ca las medidas preventivas apuntadas por la compañía, para que no se produzprácti-can.

Controles detectivos

Entran en escena para identificar los eventos en el momento en el que se presen-tan. Se trata de adoptar las medidas necesarias para que no vuelva a producirse.

Controles correctivos

Se caracterizan por la toma de acciones para prevenir eventos no dese-ados. Guardan relación con la toma de decisiones de la alta dirección, a la que se les traslada las opciones de asumir, eliminar o mitigar cada uno de ellos.

Niveles de Control

Capítulo 5

Controles preventivos Controles detectivos Controles correctivos

(9)

El mapa de riesgos permite comprender las amenazas y facilitar la toma de decisiones a través de la prevención de los posibles riesgos que se le pueden plantear a la organización. En la elaboración de un

mapa de riesgos influyen las características y natu-raleza de la empresa, así como los diferentes tipos de riesgos o amenazas. Las variables de probabili-dad y de impacto cuantita-tivo y cualitacuantita-tivo permiten determinar un mapa de

ca-lor, que guarda relación con el apetito al riesgo, la tolerancia y los límites. Se trata de una re-presentación gráfica de los objetivos estratégicos de la organización, donde se sitúan cada uno de los riesgos más representativos para la empresa y que afectan a su toma de deci-siones. Las medidas a adoptar dependen de la probabilidad y del impacto de esos riesgos.

Probabilidad

Impacto

• Posibilidad de que un determinado riesgo pu-eda ocurrir en el desar-rollo de la actividad.

• Efecto económico de la materialización del riesgo. Este tipo de

representacio-nes gráficas contribuyen a que los presidentes de las empresas comprendan de un modo visual cuál es la situación la compañía. Las organizaciones asumen, reducen o transfieren esos riesgos dependiendo de la probabilidad de que se produzcan y de su impacto. En el mapa de riesgos tam-bién tienen cabida las

to-mas de decisiones plante-adas por la empresa como respuesta a esos riesgos.

El Mapa de Riesgos

(10)

El establecimiento de mecanismos de con-trol en la implementación del proceso de gestión de riesgos se sitúa entre las etapas de identificación y evaluación y la posterior elaboración de informes y comunicación. La matriz de riesgo permite a las empresas identificar cuáles son los productos o ac-tividades más relevantes y los riesgos que

van conllevar cada uno de ellos. Las actuaciones de las organizaciones implican ries-gos inherentes de diversa tipología y que pueden presentar un nivel mayor o menor. La matriz de riesgo facilita el control so-bre aquellos riesgos más críticos y la cor-recta gestión de los recursos para mitigar cada uno de ellos con determinadas actu-aciones. Además, proporciona datos so-bre la probabilidad de que se produzcan estos riesgos e, incluso, posibilita la com-paración de proyectos y de productos. La empresa puede evaluar si la gestión de cada uno de esos riesgos está sien-do efectiva a través de esta matriz y cómo afectan al cumplimiento de los objeti-vos estratégicos previamente planteados por la alta dirección. La efectividad de los controles establecidos determina la calidad de la gestión de riesgos realizada. Este mecanismo se caracteriza por su flexibilidad, debido a que el apoyo de toda la or-ganización es necesario en el control interno. La implicación de los diferentes miembros contribuye a la consecución de los objetivos estratégicos planteados por la compañía.

La matriz de riesgo facilita

el control sobre aquellos

riesgos más críticos y la

correcta de gestión de

los recursos para mitigar

cada uno de ellos con

determinadas actuaciones.

La Matriz de Riesgos

(11)

ISO 31000 es una guía

de implementación

codificada por la

Or-ganización

Internacio-nal de Normalización.

Estas normas abarcan

una serie de técnicas de

evaluación de riesgos

que indican cuáles son

válidas para la

identifi-cación, cuantifiidentifi-cación,

y cuáles nos dan un

resultado económico

y/o hay que combinar

por apoyo, búsqueda o

análisis de escenarios.

Análisis

El análisis de cada uno de los riesgos se hace a través de sus dueños, por toda

la organización al fin y al cabo. Hay riesgos que la empresa puede conocer por

la actividad que realiza y que son transmitidos a la gerente de riesgos.

Tam-bién existe la opción de contar con un desplegable de todos los riesgos

posi-bles e identificar cuáles de ellos afectan a la actividad que realiza la compañía.

(12)

Estructura

En ISO 31000 hay un compromiso de la alta dirección. Este apoyo

propi-cia el diseño de una estructura de soporte y la implementación de la

ge-stión de riesgos. Hay un seguimiento y revisión de la estructura que

gene-ra una mejogene-ra continua. La estructugene-ra posibilita un organiggene-rama específico

de gestión, en el que tienen cabida un comité de administración de la

em-presa y una unidad de riesgos. Este organigrama cuenta además con

re-sponsables dentro de cada una de las funciones clave de la organización.

En cuanto al proceso de ISO 31000, se crea el contexto, que recoge todos los

ob-jetivos y el entorno de la organización. En la apreciación de riesgos se identifican,

analizan y se establecen cuáles son los más importantes. Se evalúan cualitativa

y cuantitativamente, para proceder a tratarlos. A través de la toma de decisiones

se transmite al consejo de administración cuál sería el análisis coste-beneficio

de eliminar, reducir o aceptar esos riesgos. Finalmente se comunica, se

estable-cen las consultas oportunas y se realiza un seguimiento y una revisión continua.

Proceso

(13)

Los principios de ISO 31000

ISO 31000 se basa en 11 principios que encajan con toda la estructura de la

or-ganización y que están relacionadas con las normativas de la implementación de

riesgos. Estos principios conectan con la estructura y el proceso de esta norma.

Capítulo 9

Estas técnicas facilitan la identificación y la evaluación de los riesgos de la

empre-sa: financieros, legales, estratégicos, operacionales o reputacionales. Los

princi-pios en los que se sustenta la ISO 31000 posibilitan la correcta implementación de

la gestión y el análisis con respecto a los objetivos planteados por la organización.

Principios

- Crea valor.

- Está integrada en los procesos de la organización.

- Forma parte de la toma de decisiones. - Trata explícitamente la incertidumbre. - Es sistemática, estructurada y adecuada. - Está basada en la mejor información posible.

- Está hecha a medida.

- Tiene en cuenta factores humanos y culturales.

- Es transparente e inclusiva.

- Es dinámica, iterativa y sensible al cam-bio.

- Facilita la mejora continua de la organi-zación.

(14)

Normas en Gestión de Riesgos: COSO

Capítulo 10

COSO (Committee Of Sponsoring Organizations) se ubica en la normativa

ame-ricana y es una de las guías de implementación que hay ahora mismo en vigor.

Su origen radica en un grupo de trabajo que elabora documentos, manuales e

informes con el fin de establecer el análisis y el control dentro de la empresa.

COSO II llegó en el año 2004 como complemento de COSO I, en el que

falta-ban componentes e información para poder llevar a cabo este análisis de

ge-stión eficaz. La guía de implementación del marco COSO 2013 establece

los cinco componentes de COSO I, pero con la novedad de que el análisis de

la gestión de riesgos puede ser global de la entidad o específico por

divisio-nes, unidades operativas o distintas funciones. El análisis de la gestión de

es-tos riesgos se lleva al límite o al nivel deseado dentro de la organización.

(15)

Evaluación de riesgos

El análisis de la gestión de riesgos puede ser global de la entidad o

espe-cífico por divisiones, unidades operativas o distintas funciones. Cada

uno de estos cinco componentes tienen sus correspondientes principios

:

-Demuestra compromiso con la integridad y los valores éticos -Ejerce responsabilidad de supervisión

-Establece estructura, autoridad y responsabilidad

-Compromiso para atraer, desarrollar y retener personal clave -Mantiene a los individuos relevantes en el control interno

-Especifica objetivos relevantes -Identifica y evalúa riesgos -Gestión del riesgo de fraude

-Identifica y evalúa cambios importantes

-Selecciona y desarrolla actividades de control

-Selecciona y desarrolla controles generales sobre tecnología -Se implementa a través de políticas y procedimientos

-Genera información relevante -Comunica internamente -Comunica externamente

-Realización de evaluaciones continuas e individuales -Evalúa y comunica deficiencias

Actividades de control

Información y comunicación

Entorno de control

(16)

Solicita información

sobre nuestros másters

EALDE, la Escuela de Administración, Liderazgo, Dirección y Emprendimiento

EALDE está formada por directivos que han ejercido en empresas privadas de

pre-stigio internacional, así como en instituciones públicas. La formación académica de

los docentes procede de las mejores Universidades y escuelas de negocio de España.

Transmiten su experiencia directiva mediante Casos prácticos, obligando al

alumno a pensar como verdaderos directivos de departamento y empresa.

EALDE es una escuela de negocios 100% online mediante un método de enseñanza

único dónde se aprende de los profesores, de los materiales lectivos, pero también

del resto de los compañeros del grupo. Ello permite a nuestros alumnos acceder a una

formación de alta calidad que de verdad ayude a impulsar sus carreras profesionales.

¡Síguenos!

¡Escríbenos!

Referencias

Descargar ahora ( PDF - 16 página - 865.33 KB )

Documento similar

SOBRE LA TEORÍA DE LA DEMOCRACIA

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

ficha técnica

En función de estos hallazgos y la toxicidad cardíaca observada en ratones, se deben obtener los niveles de troponina I antes de la perfusión con onasemnogén abeparvovec, y se

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Anexo

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)