Capitulo 1 Fundamentos de la Gestidén de Riesgos Un riesgo es aquel “evento o condicién incierta que, si se produce, tiene un efecto positivo onegativo en los objetivos de un proyecto’, de acuerdo ala PMBOK Guide iCudles son sus objetivos, etapas y beneficios? Objetivos La gestién de riesgos persigue la disminucién de las probabilidades de los impactos nega- tivos en un proyecto 0 en determinada actividad de la empresa y, al contrario, busca au- mentar las probabilidades de que se produzcan impactos positivos en esas actividades. Etapas El apetito al riesgo, la tolerancia y los limites son el punto de partida, seguido de la identi- ficacién y evaluacién de los riesgos. A continuacién se encuentra la gestién del riesgo y los controles, que derivan hacia la comunicacién y elaboracién de informes. La gestién de estos riesgos estan vinculados en todo momento con los objetivos estratégicos del ne- gocio, en los que hay una planificacién de los recursos de capital humanos y tecnolégicos Beneficios El conocimiento de los riesgos posibles, asi como la probabilidad de producirse, permite una planificacién estratégica mas efectiva, Esto conlleva a una mayor eficiencia y efectivi- dad y, consecuentemente, a unos menores costes asociados a esos imprevistos previamente identificados y controlados. La continua revisién y comunicacién de los datos propicia que todos los miembros cuenten con una visién global del proyecto y los riesgos que conlleva. Gestién de Riesgos y Control Interno a) EALDE_, www.masters-ealde.comCapitulo 2 Apetito al Riesgo, Toleranciay Limites El apetito al riesgo, la tolerancia y los limites conforman el primer paso para tra- bajar en la gestin de riesgos. Todo comienza por conocer los objetivos estra- tégicos de la empresa. Los objetivos de la empresa, sus politicas y sus procedi- mientos estén planteados por la alta direccién. Estos planteamientos quedan recogidos en los manuales elaboradosy van a condicionarel apetito al riesgo de la organizacién. Primer paso en la Gestion de Riesgos Apetito al Riesgo Tolerancia al Riesgo Limites Los objetivos de las empresas No obstante, no todas las Las organizaciones pueden es- han de contemplar elementos compafias estén dispuestas a _ tar dispuestas a aceptar un nivel como rentabilidad, resultados, asumir el mismo nivel de ries- de riesgo determinado con sus ratios comparativos, anilisis go para alcanzar sus objetivos. actuaciones, pero eso no signi- de la competencia o situacio- Las empresas pueden gestionar fica que sea el riesgo maximo nes normativas. Se trata de la una mayor o menor cantidad que puedan soportar. La capa- primera base sobre la que tra- de riesgo, segtin su naturale- _cidad de riesgo hace referencia baja la gestién de riesgos. En za 0 del contexto en el que se a estos limites de las companias este contexto, las organizacio- sittian, De este modo, la to- enlabusqueda de sus objetivos. nes estén dispuestas a acep- _lerancia al riesgo de estas or- tar riesgos en la busqueda de ganizaciones varfa en funcién su misién y visién, vinculada del nivel de riesgo aceptado. a sus objetivos estratégicos. Se trata del apetito al riesgo. Gestion de Riesgos y Control Interno a) EALDE www.masters-ealde.comCapitulo 3 Riesgos Residuales vs. Riesgos Secundarios Riesgos Residuales Riesgos Secundarios Este tipo de riesgo hace referencia a aquel que permanece después de haber ejecutado las respuestas a esos riesgos. La empresa ha im- plementado determinados controles y el ries- go subsiste, teniendo en cuenta que siempre va a existir un nivel de riesgo. La organizacién ha de tratar de que ese nivel sea aceptable. De este modo, este tipo de riesgo ha sido acepta- do e identificado por la compaiia para crear planes de contingencia y planes alternativos. Se trata del riesgo que aparece en el mo- mento en el que la organizacién implanta una determinada respuesta a un riesgo. La empresa acta de acuerdo a los riesgos que se le presentan para eliminarlos, mitigarlos © transferirlos, segdn su impacto y natura- leza. Es en este contexto en el que se pre- sentan nuevos riesgos secundarios, como consecuencia de esas actuaciones, Este tipo de riesgos también ha de ser identificado y analizado, para su posterior control y gestién. Gestién de Riesgos y Control Interno a) EALDE www.masters-ealde.comCapitulo 4 Niveles de Riesgo Las organizaciones pueden _presen- tar niveles de riesgo alto, medio 0 bajo: Nivel de riesgo alto Evaluacién de to- daslas actividades de control. Tomar todas las activida- des de control po- sibles dentro dela organizacién, teniendo en cuenta el anéli- sis coste-beneficio, Muchas veces poner unas medidas de control pueden supo- ner un coste mayor que el beneficio que nos puede reportar. Este andlisis permite cuantificar si compensa 0 no adoptarlo. + Evaluacién de todas las actividades de con- trol + Evaluacién y supervision de controles clave y relevantes. + No evaluacién de actividades de control. Gestién de Riesgos y Control Interno Las organizaciones pueden presentar niveles de riesgo alto, medio o bajo. Nivel de riesgo medio Evaluacién y supervisién de controles cla- ve y relevantes. Se hace evaluacién y su- pervisiin de con- troles, pero solo clavesorelevantes en los que no se permiten que se vayan a una zona de no confort. Se trata de realizar controles para pasar al nivel de riesgo bajo. Nivel de riesgo bajo No evaluacién de actividades de con- trol. No se necesitan realizar activida- des de control al tratarse de un ries- go del dia a dia caracterizado por la propia actividad de la empresa. O EALDE., www.masters-ealde.comCapitulo 5 Niveles de Control Controles Controles Controles preventivos detectivos correctivos E_-__F» DD Los controles © que -—establecen = las_—sempresas. = son.—fun- damentalmente preventivos, detectivos y correctivos: Controles preventivos Se establecen para anticiparse a los eventos no deseados antes de que sucedan. El conocimiento de estos riesgos viene determinado por la experiencia de la empre- sa y del sector en el que desempeiia su actividad. Cada empleado pone en practi- ca las medidas preventivas apuntadas por la compafia, para que no se produzcan. Controles detectivos Entran en escena para identificar los eventos en el momento en el que se presen- tan. Se trata de adoptar las medidas necesarias para que no vuelva a producirse. Controles correctivos Se caracterizan por la toma de acciones para prevenir eventos no dese- ados. Guardan relacién con la toma de decisiones de la alta direccién, a la que se les traslada las opciones de asumir, eliminar o mitigar cada uno de ellos. Gestién de Riesgos y Control Interno a) EALDE_, www.masters-ealde.comCapitulo 6 El Mapa de Riesgos El mapa de riesgos permite comprender las amenazas y facilitar la toma de decisiones a travésdelaprevenciéndelos posibles riesgos quesele pueden plantearalaorganizacién. En la elaboracién de un mapa de riesgos influyen las caracteristicas y natu- raleza de la empresa, asi como los diferentes tipos de riesgos © amenazas. Las variables de probabili- dad y de impacto cuantita- tivo y cualitativo permiten determinar un mapa de ca- Probabilided lor, que guarda relaciénconelapetitoal riesgo, latoleranciay loslimites.Setratadeunare- presentacién gréficadelos objetivosestratégicos dela organizacién,dondesesitiancada uno de los riesgos mas representativos para la empresa y que afectan a su toma de deci- siones. Las medidas aadoptar dependen dela probabilidady del impacto de esos riesgos. Este tipo de representacio- nes graficas contribuyen a que los presidentes de las empresas comprendan de un modo visual cual es la situacién la compara. Las organizaciones _asumen, reducen o transfieren esos riesgos dependiendo de la probabilidad de que se produzcan y de su impacto. En el mapa de riesgos tam- bién tienen cabida las to- mas de decisiones plante- adas por la empresa como Impacto respuesta a esos riesgos. + Efecto econémico de la ~ materializacién del riesgo. Probabilidad + Posibilidad de que un determinado riesgo pu- eda ocurtir en el desar- rollo de la actividad. Gestion de Riesgos y Control Interno a) EALDE www.masters-ealde.com10 Capitulo 7 La Matriz de Riesgos El establecimiento de mecanismos de con- trol en la implementacién del proceso de gestion de riesgos se situa entre las etapas de identificacién y evaluacién y la posterior elaboracién de informes y comunicacién. La matriz de riesgo permite a las empresas identificar cudles son los productos 0 ac- tividades més relevantes y los riesgos que law Fegan | Tay cco | Sar US ~ a |e |e” | “b"|"e fcmwone| 1 | © | &| H | H | M [omen se om | m| a i[w| miele woo [|v] mie] e jefe van conllevar cada uno de ellos. Las actuaciones de las organizaciones implican ries- gos inherentes de diversa tipologia y que pueden presentar un nivel mayor o menor. La matriz de riesgo facilita el control sobre aquellos riesgos mas criticos y la correcta de gestion de los recursos para mitigar cada uno de ellos con determinadas actuaciones. La matriz de riesgo facilita el control so- bre aquellos riesgos més ctiticos y la cor- recta gestién de los recursos para mitigar cada uno de ellos con determinadas actu- aciones. Ademas, proporciona datos so- bre la probabilidad de que se produzcan estos riesgos e, incluso, posibilita la com- paracién de proyectos y de productos. La empresa puede evaluar si la gestion de cada uno de esos riesgos esta sien- do efectiva a través de esta matriz y cémo afectan al cumplimiento de los objeti- vos estratégicos previamente planteados por la alta direccién. La efectividad de los controles establecidos determina la calidad de la gestién de riesgos realizada Este mecanismo se caracteriza por su flexibilidad, debido a que el apoyo de toda la or- ganizacién es necesario en el control interno. La implicacién de los diferentes miembros contribuye a la consecucién de los objetivos estratégicos planteados por la compafita. Gestion de Riesgos y Control Interno Oo EALDE www.masters-ealde.comCapitulo 8 Normas en Gestion de Riesgos: ISO 31000 \SO 31000 es una gufa de —_implementacién codificada por la Or ganizacién _ Internacio- nal de Normalizacién. Estas normas abarcan una serie de técnicas de evaluacién de riesgos que indican cudles son validas para la identi cacién, — cuantificacién, y cuales nos dan un resultado econémico y/o hay que combinar por apoyo, busqueda o andlisis de escenarios. Analisis El anilisis de cada uno de los riesgos se hace a través de sus duefios, por toda la organizacién al fin y al cabo. Hay riesgos que la empresa puede conocer por la actividad que realiza y que son transmitidos a la gerente de riesgos. Tam- bign existe la opcién de contar con un desplegable de todos los riesgos posi- bles e identificar cuales de ellos afectan a la actividad que realiza la compania. Gestién de Riesgos y Control Interno Oo EALDE., www.masters-ealde.com12 Estructura En ISO 31000 hay un compromiso de la alta direccién. Este apoyo propi- cia el disefio de una estructura de soporte y la implementacion de la ge- stién de riesgos. Hay un seguimiento y revisin de la estructura que gene- ra una mejora continua. La estructura posibilita un organigrama especifico de gestion, en el que tienen cabida un comité de administracién de la em- presa y una unidad de riesgos, Este organigrama cuenta ademés con re- sponsables dentro de cada una de las funciones clave de la organizacién. Proceso En cuanto al proceso de ISO 31000, se crea el contexto, que recoge todos los ob- jetivos y el entorno de la organizacién. En la apreciacién de riesgos se identifican, analizan y se establecen cuales son los més importantes. Se evaltian cualitativa y cuantitativamente, para proceder a tratarlos. A través de la toma de decisiones se transmite al consejo de administracién cudl seria el andlisis coste-beneficio de eliminar, reducir 0 aceptar esos riesgos. Finalmente se comunica, se estable- cen las consultas oportunas y se realiza un seguimiento y una revision continua. Gestién de Riesgos y Control Interno EALDE www.masters-ealde.com13 Capitulo 9 Los principios de ISO 31000 1SO 31000 se basa en 11 principios que encajan con toda la estructura de la or- ganizacién y que estan relacionadas con las normativas de la implementacién de riesgos. Estos principios conectan con la estructura y el proceso de esta norma. Principios Estas técnicas facilitan la identificacién y la evaluacién de los riesgos de la empre- sa: financieros, legales, estratégicos, operacionales o reputacionales. Los princi- pios en los que se sustenta la ISO 31000 posibilitan la correcta implementacién de la gestion y el andlisis con respecto a los objetivos planteados por la organizacién Gestién de Riesgos y Control Interno wwwemasters-ealde.comCapitulo 10 Normas en Gestién de Riesgos: COSO COSO (Committee Of Sponsoring Organizations) se ubica en la normativa ame- ricana y es una de las guias de implementacién que hay ahora mismo en vigor. Su origen radica en un grupo de trabajo que elabora documentos, manuales e informes con el fin de establecer el anilisis y el control dentro de la empresa. COSO II llegé en el ato 2004 como complemento de COSO |, en el que falta~ ban componentes e informacién para poder llevar a cabo este andlisis de ge- stién eficaz. La guia de implementacién del marco COSO 2013 establece los cinco componentes de COSO I, pero con la novedad de que el anilisis de la gestion de riesgos puede ser global de la entidad o especifico por divisio- nes, unidades operativas o distintas funciones. El anélisis de la gestion de es- tos riesgos se lleva al limite 0 al nivel deseado dentro de la organizacién. Gestién de Riesgos y Control Interno Oo EALDE., www.masters-ealde.com15 El andlisis de la gestién de riesgos puede ser global de la entidad o espe- cifico por divisiones, unidades operativas o distintas funciones. Cada uno de estos cinco componentes tienen sus correspondientes principios. Entorno de control Demuestra compromiso con la integridad y los valores éticos -Ejerce responsabilidad de supervision -Establece estructura, autoridad y responsabilidad -Compromiso para atraer, desarrollar y retener personal clave -Mantiene a los individuos relevantes en el control interno Evaluacién de riesgos -Especifica objetivos relevantes Identifica y evalua riesgos -Gestién del riesgo de fraude -Identifica y evaliia cambios importantes Actividades de control -Selecciona y desarrolla actividades de control -Selecciona y desarrolla controles generales sobre tecnologia Se implementa a través de politicas y procedimientos Informacién y comunicacién -Genera informacién relevante -Comunica internamente -Comunica externamente Actividades de monitorizaci6n Realizacién de evaluaciones continuas e individuales -Evalliay comunica deficiencias Gestién de Riesgos y Control Interno www.masters-ealde.com O EALDE.,