COSO I: CONTROL INTERNO – MARCO INTEGRADO

(Internal Control – Integrated Framework )

Y
COSO II: GESTION DE RIESGOS CORPORATIVOS
(Enterprise Risk Management – Integrated Framework )

(Committe of Sponsoring Organizations of the Treadway Commission)

U. DE A.
Septiembre de 2008

Profesora Sonia M. Montoya O.

 COSO I: CONTROL INTERNO – MARCO
INTEGRADO
(Internal Control – Integrated Framework )

(Committe of Sponsoring Organizations of the Treadway Commission)

U. DE A.
Septiembre de 2008

Profesora Sonia M. Montoya O.

 INDICE

COSO I (CONTROL INTERNO - MARCO INTEGRADO )

1. Introducción
2. Definición de Control Interno
3. Conceptos fundamentales
4. Limitaciones de todo sistema de control interno
5. Componentes del Control Interno
5.1 Ambiente de Control
5.2 Evaluación de riesgos
5.3 Actividades de control
5.4 Información y comunicación
5.5 Monitoreo
6. Situaciones que pueden vulnerar el sistema de control
7. Roles y responsabilidades
 INDICE

COSO II (CONTROL INTERNO - MARCO INTEGRADO )

1. Ingtroducción
2. Antecedentes
3. Definición de Control Interno
4. Componentes del Control Interno
4.1 Ambiente Interno
4.2 Establecimiento de objetivos
4.3 Identificación de eventos
4.4 Valoración de riesgos
4.5 Respuesta al riesgo
4.6 Actividades de control
4.7 Información y comunicación
4.8 Monitoreo
 1. INTRODUCCION

-COSO: USA (Comité of Sponsoring Organization of Treadway Comision).

-El "INFORME COSO" sobre control interno, fue publicado en EE.UU. en 1992. Surgió como
una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e
interpretaciones existentes en torno al control interno.

-Elinforme COSO plasma los resultados de la tarea realizada durante más de cinco años por
el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON
FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por
representantes de las siguientes organizaciones:
 1. INTRODUCCION

-American Accounting Association (AAA)

-• American Institute of Certified Public Accountants (AICPA)
-• Financial Executive Institute (FEI)
-• Institute of Internal Auditors (IIA)
-• Institute of Management Accountants (IMA)

-La redacción del informe fue encomendada a Coopers & Lybrand.

El objetivo principal de este trabajo fue definir un nuevo marco conceptual del control interno,
capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre
este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la
auditoria interna o externa, o de los niveles académicos o legislativos, se cuente con un
marco conceptual común y una visión integradora que satisfaga las demandas generalizadas
de todos los sectores involucrados.
 2. DEFINICION

El Control Interno es un proceso (sistema) ejecutado por el

consejo de directores, la administración y otro (todo) personal
de la entidad, diseñado para proporcionar seguridad
razonable con miras a la consecución de los objetivos en las
siguientes categorías:

 Eficiencia y efectividad en las operaciones

 Confiabilidad en la información financiera
 Cumplimiento de leyes y regulaciones
aplicables.
 3. CONCEPTOS FUNDAMENTALES

Es un proceso, porque constituye un medio para un fin, no

un fin en sí mismo.

Es ejecutado por personas, no son solamente manuales de

políticas y formas sino personas en cada nivel de una
organización.

Proporciona seguridad razonable, no seguridad absoluta.

Está estructurado para la consecución de objetivos en una o

mas categorías separadas, pero interrelacionadas. La
probabilidad de alcanzar los objetivos de la empresa está
afectada por las limitaciones inherentes a todos los sistemas
de control interno.
 4. LIMITACIONES DE TODO SISTEMA
DE CONTROL INTERNO

Limitaciones inherentes a todos los sistemas de control

interno:

 Juicios humanos en la toma de decisiones

 Resquebrajamientos: Fallas humanas
(errores y equivocaciones)
 Colusión de dos o más personas
Desbordamiento (violación) del sistema de control interno
por parte de la administración
Análisis costo – beneficio de los controles
Eventos externos que afecten negativamente el negocio
 4. LIMITACIONES DE TODO SISTEMA
DE CONTROL INTERNO

El control interno no asegura el éxito y la supervivencia, pero

sí ayuda a que las empresas alcancen sus objetivos.
El control no asegura la confiabilidad de la información
financiera y cumplimiento de las normas , sino que puede
proveer seguridad razonable
 5. COMPONENTES DEL CONTROL INTERNO

El control interno según el modelo COSO, se conforma de cinco

componentes:

AMBIENTE
EVALUACION
DE CONTROL DE RIESGOS

ACTIVIDADES
MONITOREO DE
CONTROL

INFORMACION
Y
COMUNICACION
5. COMPONENTES DEL CONTROL INTERNO
 5. COMPONENTES DEL CONTROL INTERNO

El AMBIENTE DE CONTROL proporciona una

atmósfera en la cual la gente conduce sus
actividades y cumple con sus responsabilidades de
control. Sirve como fundamento para los otros
componentes. Dentro de este ambiente la
administración VALORA LOS RIESGOS para la
consecución de los objetivos específicos. Las
ACTIVIDADES DE CONTROL se implementan para
ayudar a asegurar que se están cumpliendo las
directrices de la administración para manejar los
riesgos. Mientras tanto se captura y COMUNICA a
través de toda la organización la INFORMACIÓN
relevante. El proceso total es MONITOREADO y
modificado cuando las condiciones lo justifican
5.1 AMBIENTE DE CONTROL

El ambiente de control define al conjunto de

circunstancias que enmarcan el accionar de
una entidad desde la perspectiva del control
interno y que son por lo tanto determinantes
del grado en que los principios de este
último imperan sobre las conductas y los
procedimientos organizacionales.
5.1 AMBIENTE DE CONTROL

Es, fundamentalmente, consecuencia de la

actitud asumida por la alta dirección, la
gerencia, y por consecuencia, los demás
agentes con relación a la importancia del
control interno y su incidencia sobre las
actividades y resultados.
Fija el tono de la organización y, sobre todo,
provee disciplina a través de la influencia
que ejerce sobre el comportamiento del
personal en su conjunto.
5.1 AMBIENTE DE CONTROL

Factores del ambiente de control:

La filosofía y estilo de la dirección y la gerencia.

La estructura, el plan organizacional, los
reglamentos y los manuales de procedimiento.
La integridad, los valores éticos, la competencia
profesional y el compromiso de todos los
componentes de la organización, así como su
adhesión a las políticas y objetivos establecidos.
Las formas de asignación de responsabilidades y
de administración del personal.
El grado de documentación de políticas, decisiones
y de programas que contengan metas, objetivos e
indicadores de rendimiento.
La existencia de consejos de administración y
comités de auditorias con independencia y
calificación profesional.
 5.2 VALORACION DE RIESGOS

El control interno ha sido pensado

esencialmente para limitar los riesgos que
afectan las actividades de las
organizaciones.
A través de la investigación y análisis de
los riesgos relevantes y el punto hasta el
cual el control vigente los neutraliza, se
evalúa la vulnerabilidad del sistema.
Se requiere de un conocimiento práctico de
la entidad, de manera de identificar los
puntos débiles, enfocando los riesgos tanto
al nivel de la organización (internos y
externos) como de cada actividad.
 5.2 VALORACION DE RIESGOS

Una vez identificados los riesgos,

debe procederse a:

 Estimar su importancia
 Evaluar su probabilidad
 Definir la forma como se
administrarán los riesgos, así como
su nivel de aceptación y tolerancia.

Existen circunstancias que pueden merecer una atención especial:

Cambios en el entorno, redefinición de la política institucional,
reorganizaciones internas, nuevos sistemas y tecnologías, nuevos
productos, actividades o funciones.
5.3 ACTIVIDADES DE CONTROL

Las actividades de control son aquellas que

realiza la Gerencia y demás personal de la
organización para cumplir diariamente con
actividades asignadas. Estas actividades
están relacionadas y contenidas en las
políticas, sistemas de información y en los
diferentes procedimientos de cada
dependencia.
 5.3 ACTIVIDADES DE CONTROL

Algunas actividades de control son las siguientes:

Análisis efectuados por la dirección.

Seguimiento y revisión por parte de los responsables de las diversas
funciones o actividades.
Niveles de aprobación, autorización y revisión.
Comprobación de las transacciones en cuanto a su exactitud,
totalidad, y autorización pertinente: aprobaciones, revisiones, cotejos,
recálculos, análisis de consistencia, prenumeraciones.
Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.
Dispositivos de seguridad para restringir el acceso a los activos y
registros.
Segregación de funciones.
Indicadores de desempeño.
 5.3 ACTIVIDADES DE CONTROL

Controles de las tecnologías de información:

a. Controles generales
Controles a las operaciones del centro de datos: Copias
de seguridad, procedimientos de recuperación,
contingencias, recuperación de desastres, trabajos de
implementación y rutina, acciones del operador, etc
Controles al software del sistema: Incluye controles de
adquisición, implementación y mantenimiento del
software, registro de las personas que accesan el
sistema.
Controles de seguridad de acceso
Controles de desarrollo y mantenimiento de aplicaciones
del sistema
b. Controles de aplicación: diseñados para controlar
aplicaciones en proceso (procesamiento completo y exacto,
autorización y validación de transacciones9
 5.4 INFORMACION Y COMUNICACION

En las organizaciones es imprescindible que se cuente con la

información periódica y oportuna que los funcionarios requieran
para orientar sus acciones en consonancia con los demás,
hacia el mejor logro de los objetivos.
La información relevante debe ser captada, procesada y
transmitida de tal modo que llegue oportunamente a todos los
sectores permitiendo asumir las responsabilidades individuales.
La información operacional, financiera y de cumplimiento
conforma un sistema para posibilitar la dirección, ejecución y
control de las operaciones.
 5.4 INFORMACION Y COMUNICACION

Este componente está conformado por:

 Información para toma de decisiones

 Sistemas de información ligados a planeación estratégica
 Sistemas de información ligados a las operaciones
 Calidad de la información
 Medios de comunicación
 5.5 MONITOREO

Los sistemas de control interno deben

ser monitoreados con el fin de:
Determinar su idoneidad y eficiencia
Efectuar revisión y actualización
periódica del sistema para mantenerlo
en un nivel adecuado.

El objetivo es asegurar que el control

interno funciona adecuadamente, a
través de dos modalidades de
supervisión: Monitoreo (actividades
continuas - ongoing) y auditoría
(evaluaciones separadas).
 5.5 MONITOREO

Actividades continuas de supervisión (son aquellas actividades

normales y recurrentes que, ejecutándose en tiempo real y arraigadas
a la gestión, generan respuestas dinámicas a las circunstancias
sobrevinientes):

 Actividades de supervisión
Comparaciones
Conciliaciones
Reportes de excepción
Comunicaciones recibidas de partes externas que corroboran
información generada internamente.
Inventarios
Análisis de informes de auditoria, contabilidad, reportes de
deficiencias y otros informes emitidos por los entes de control.
Juntas de trabajo en las que se traten temas de la efectividad de los
controles.
 5.5 MONITOREO

Auditoría (evaluaciones separadas): Su alcance y

frecuencia están determinados por la naturaleza e
importancia de los cambios y riesgos que éstos conllevan,
la competencia y experiencia de quienes aplican los
controles, y los resultados de la supervisión continuada.
Son ejecutados por la auditoria interna, los
auditores externos y los revisores fiscales.
 6. SITUACIONES QUE PUEDEN VULNERAR
EL SISTEMA DE CONTROL

Comportamientos negativos del mercado que

pueda afectar los resultados en los negocios.
Cambio de sistemas de información
Crecimiento rápido de la organización
Diversificación del portafolio de servicios
Apertura de nuevas oficinas
Escasez de recursos para invertir en el
mejoramiento de los procedimientos de
control interno.
 6. SITUACIONES QUE PUEDEN VULNERAR
EL SISTEMA DE CONTROL

Retiro de personal clave, gerencial u

operativo, generando inadecuada segregación
de funciones.
Reducción de personal (planes de retiro)
Planes inadecuados de reducción de costos.
Reducción en la calidad del control gerencial,
por la orientación de esfuerzos importantes a la
generación de nuevas oportunidades de
negocio.
Falta de herramientas y/o informes para
ejecutar un adecuado control gerencial y de
monitoreo.
Fusiones, escisiones
 7. ROLES Y RESPONSABILIDADES

Administración

El gerente general de la compañía es el

principal responsable y debe asumir la
propiedad del sistema de control interno.
Este director da el “tono por lo alto”, el cual
afecta la integridad y la ética así como los
otros factores de un ambiente de control
positivos. Cumple esta misión
proporcionando liderazgo y dirección a los
administradores principales y revisando la
manera como ellos controlan su negocio.
 7. ROLES Y RESPONSABILIDADES

Junta Directiva

Proporciona gobierno, guía y supervisión reguladora. Los

miembros deben ser objetivos, competentes e inquisitivos.
Un consejo fuerte, activo, acoplado con los canales de
comunicación, hacia arriba, efectivo y con funciones
financieras, legales y de auditoria interna competentes es
capaz de identificar y corregir los problemas que pueden
estar escondiendo las malas administraciones.
7. ROLES Y RESPONSABILIDADES

Auditores internos

Participan de forma importante en la

evaluación de la efectividad del
sistema de control interno y
contribuyen a la efectividad de
monitoreo como consecuencia de su
posición organizacional y de la
autoridad que poseen en la entidad.
 7. ROLES Y RESPONSABILIDADES

Internamente las responsabilidades sobre el control corresponden

conforme a lo siguiente:

Establece no sólo la misión y los

objetivos de la organización, sino
Junta Directiva también las expectativas relativas a la
integridad y los valores éticos.

Gerencia Debe asegurar que existe un

ambiente propicio para el control.

Ejecutivos Análisis de resultados y tendencias.

financieros Prevención y detección de reportes
financieros fraudulentos.
7. ROLES Y RESPONSABILIDADES

Es el órgano que no sólo tiene la facultad de

Comité de cuestionar a la Gerencia en relación con el
cumplimiento de sus responsabilidades, sino
Auditoria también asegurar que se tomen las medidas
correctivas necesarias.

Contribuye cumpliendo con la responsabilidad de

Comité de evaluar la consistencia de los presupuestos con
finanzas los planes operativos.

A través del examen de la efectividad y

Auditoría adecuación del sistema de control interno y
mediante recomendaciones relativas a su
Interna mejoramiento.
 7. ROLES Y RESPONSABILIDADES

Lleva a cabo la revisión de los controles y otros

instrumentos legales, con el fin de salvaguardar
Area los bienes de la Entidad y evitar incurrir en
Jurídica incumplimientos que pueda acarrear
consecuencias negativas para la Compañía.

Proporcionan al Consejo de Administración, al

Auditoría
Comité de Auditoría y a la Gerencia, un punto de
Externa y vista objetivo e independiente, que contribuye al
Revisoría Fiscal cumplimiento del logro de los objetivos
institucionales

Participan mediante el establecimiento de

Organismos de requerimientos de control interno, así como en el
inspección y examen directo de las operaciones de la
viligancia Organización, haciendo recomendaciones que lo
fortalezcan.
 COSO II: GESTION DE RIESGOS
CORPORATIVOS

(Enterprise Risk Management – Integrated Framework )

(Committe of Sponsoring Organizations of the Treadway Commission)
U. DE A.
Septiembre de 2008

Profesora Sonia M. Montoya O.

 1. INTRODUCCION

El COSO I publicado en 1992, se ha constituido en un elemento fundamental para el logro de

los objetivos de las organizaciones, mediante la definición de un marco común de control
interno; y ha sido tomado por las empresas como referencia metodológica para acogerse a la
ley Sarbanes Oxley del año 2002, en lo relacionado con el establecimiento, documentación y
evaluación de los sistemas de control de riesgos que vulneran la información financiera.

Debido a que en los últimos años ha cobrado muchísima importancia el tema de

administración de riesgos, como elemento fundamental para el logro de los objetivos y para la
generación de valor de los diferentes grupos de interés de las organizaciones, COSO
entendió la necesidad de desarrollar un marco integrado de gestión de riesgos corporativos.

En el 2001 se inició este proyecto y se contrató a PricewaterhouseCoopers. En septiembre

de 2004 emitió el informe definitivo “Gestión de Riesgos Corporativos-Marco Integrado”.

Este documento profundiza en el control interno utilizando un enfoque más extenso y sólido
sobre el tema de gestión de riesgos. No pretende sustituir el marco de control interno, sino
incorporarlo dentro del marco de gestión de riesgos.

Este documento ayuda a los empresarios a determinar cuánto riesgo está dispuesto a
aceptar la entidad y cuánto riesgo acepta a medida que crea valor
 1. INTRODUCCION

COSO II pretende ser una herramienta para la administración de riesgos empresariales al

desarrollar principios integrales, terminología común y una guía práctica de implementación,
que soporte los programas en las entidades, para desarrollar el proceso de la administración
de riesgos.

www.coso.org
1. INTRODUCCION
 2. ANTECEDENTES

La premisa que subyace en la gestión de riesgos, es que las organizaciones existen para
generar valor a sus grupos de interés. Todas las entidades enfrentan la incertidumbre, y el
reto para la administración es determinar cuanta incertidumbre se puede aceptar en el
esfuerzo de aumentar el valor de los accionistas.

La administración de riesgos permite a la administración gestionar eficazmente la

incertidumbre y sus riesgos y oportunidades asociados, para mejorar la capacidad de generar
valor.

Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar
un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos y
oportunidades asociados.

La gestión de riesgos incluye la realización de las siguientes actividades:

 2. ANTECEDENTES

Alinear el apetito por el riesgo y la estrategia

Mejorar las decisiones de respuesta al riesgo

Minimizar sorpresas y pérdidas operacionales

Identificar y gestionar la diversidad de riesgos para toda la entidad

Aprovechar las oportunidades

Mejorar la dotación del capital

 3. DEFINICION

La administración de riesgos del

emprendimiento es un proceso, efectuado por la
junta de directores de una entidad, por la
administración y por otro personal, aplicado en
el establecimiento de la estrategia y a través del
emprendimiento, diseñado para identificar los
eventuales potenciales que pueden afectar la
entidad, y para administrar los riesgos que se
encuentran dentro de su apetito por el riesgo, a
fin de proveer seguridad razonable en relación
con el logro de los objetivos de la entidad.
RISKS
 3. DEFINICION

Es un proceso, ongoing y fluyente a través de una entidad.

Es ejecutado por personas en cada nivel de la organización.

Es aplicado en el establecimiento de la estrategia

Es aplicado a través del emprendimiento en cada nivel y unidad, e incluye tomar

un punto de vista del riesgo de portafolio a nivel de la entidad.

Es diseñado para identificar eventos potenciales que, si ocurren, afectarán la

entidad y para administrar los riesgos que caen dentro de su apetito por el riesgo

Es capaz de proveer seguridad razonable, a la administración y a la junta de

directores de una entidad.
 3. DEFINICION

Es enfocado al logro de objetivos en una o más categorías separadas, pero

sobrepuestas:

El logro de objetivos se expresa en cuatro categorías:

Estratégica: Metas de alto nivel, alineadas con y apoyando su misión

Operaciones: uso efectivo y eficiente de sus recursos
Presentación de reportes: confiabilidad de la presentación de reportes
Cumplimiento: con las leyes y regulaciones aplicables
3. COMPONENTES

1. Ambiente Interno

2. Establecimiento de objetivos

3. Identificación de eventos

4. Valoración de riesgos

5. Respuesta al Riesgo

6. Actividades de Control

7. Información y comunicación

8. Monitoreo
3. COMPONENTES
 3. COMPONENTES

1. Ambiente Interno

Constituye la base de todos de los componentes de gestión de riesgos. Proporciona

disciplina y estructura e influye en la forma como deben ser establecidas las estrategias y
objetivos organizacionales, como se deben estructurar las actividades empresariales y la
forma como los riesgos se deben identificar, evaluar y tratar. Asimismo, determina el diseño
y funcionamiento de las actividades de control, los sistemas de información y las actividades
de monitoreo.

El ambiente interno determina la forma como las personas en las organizaciones deben
percibir y a afrontar el control y el riesgo. Establece como base fundamental de la empresas
a las personas (integridad, los valores éticos y la competencia) y el entorno en el que actúan.

El ambiente interno incluye: la filosofía de la gestión de riesgos, el apetito de riesgo, la

integridad y los valores éticos, el compromiso por la competencia, estructura organizacional,
asignación de autoridad y responsabilidad, y normas para recursos humanos.
 3. COMPONENTES

2. Establecimiento de objetivos

Los objetivos en la compañía deben ser definidos antes de que se determinen los
riesgos que puedan afectar el logro de los mismos. Los objetivos se definen a
escala estratégica, definiendo con ellos una base para los objetivos operativos, de
información y de cumplimiento.

Las organizaciones se enfrentan a riesgos internos y externos; una condición

fundamental para la identificación, evaluación y respuesta hacia los riesgos, es fijar
los objetivos que deben estar alineados con el riesgo aceptado por la compañía.

La gestión de riesgos empresariales asegura que la dirección ha definido un

proceso para fijar objetivos, que los objetivos seleccionados apoyan la misión de la
entidad y se alinean con ella, y que se es consistente con el riesgo aceptado.

Los objetivos se dividen en cuatro categorías:

 3. COMPONENTES

2. Establecimiento de objetivos

Los objetivos se dividen en cuatro categorías:

-Objetivos estratégicos: se relacionan con las metas de alto nivel, alineados con y
apoyando la misión.
-Objetivos operacionales: relacionados con la efectividad y eficiencia de las
operaciones de la compañía. Incluyen metas de desempeño y de rentabilidad.
-Objetivos de información (presentación de reportes): relacionados con la
efectividad de la presentación de reportes de la organización. Incluyen reporte
internos y externos e información financiera y no financiera.
-Objetivos de cumplimiento: relacionadas con el cumplimiento de leyes y
regulaciones aplicables.
 3. COMPONENTES

3. Identificación de eventos

La administración identifica eventos potenciales, que en caso de materializarse, afecten la

compañía, y determina si representan oportunidades o si pueden afectar negativamente la
capacidad de la empresa para llevar a cabo su estrategia y lograr los objetivos. Las
oportunidades se redireccionan hacia la estrategia o hacia los procesos para fijar objetivos

Los factores internos y externos que pueden generar riesgos a la organización, incluyen:

-Factores externos: económicos, medioambientales, políticos, sociales, y tecnológicos.

Factores internos: infraestructura , personal, procesos, tecnología.

Algunas técnicas para la identificación de riesgos son: inventarios de riesgos (comunes a

empresas de un determinado sector, o a un proceso o actividad específica), análisis interno
(mediante reuniones con el personal), dispositivos de escala o umbral (dispositivos que
alertan a la dirección respecto a áreas con problemas comparando transacciones o eventos
actuales con criterios predefinidos), talleres de trabajo o entrevistas, análisis de flujo del
proceso, indicadores de eventos importantes y metodología para datos de eventos con
pérdidas (registro de eventos)
 3. COMPONENTES

4. Valoración de riesgos

La evaluación de riesgos facilita a la administración el entendimiento de la forma como los

riesgos potenciales podrían impactar la consecución de los objetivos. Los riesgos se evaluán
desde una doble perspectiva (probabilidad e impacto), mediante la combinación de métodos
cualitativos y cuantitativos.

Los riesgos se evalúan en un doble enfoque: riesgo inherente (aquel que una entidad
enfrente en ausencia de controles para mitigar su probabilidad o impacto) y riesgo residual
(es el riesgo que permanece después de que la administración a implementado medidas de
control).

Las técnicas cualitativas para la evaluación de riesgos, generalmente se utilizan cuando los
riesgos no facilitan su cuantificación o cuando no hay disponible datos suficientes y
confiables para una evaluación cuantitativa o la obtención y análisis de ellos no resulte eficaz
por su alto costo.
 3. COMPONENTES

4. Valoración de riesgos

Las técnicas cuantitativas otorgan más precisión y se usan en actividades complejas, para
complementar las técnicas cualitativas.

Algunos ejemplos de técnicas cuantitativas de evaluación de riesgos son:

-Benchmarking: proceso comparativo entre entidades, que enfoca eventos o procesos

concretos y compara medidas y resultados
-Modelos probabilísticos: se evalúa la probabilidad e impacto a partir de datos históricos o
resultados simulados que reflejan hipótesis de comportamiento futuro
-Modelos no probabilísticos: aplican hipótesis subjetivas para estimar el impacto de eventos
sin una probabilidad asociada cuantificada.
 3. COMPONENTES

5. Respuesta al Riesgo

Tan pronto la administración identifica los riesgos, debe decidir la forma como responderá
ante ellos. La respuesta ante los riesgos puede ser:

-Evitar: implica la eliminación de actividades de generen riesgo. Puede implicar la

terminación de una línea de productos, frenar la expansión hacia un nuevo mercado
geográfico o la venta de una división.

-Reducir: implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo
o ambos conceptos a la vez.

-Compartir: reducir la probabilidad o el impacto del riesgo, compartiendo el riesgo mediante,

por ejemplo, la contratación de seguros, la realización operaciones de cobertura o la
externalización de una actividad.

-Aceptar el riesgo: consiste en no emprender acciones que afecten la probabilidad o el

impacto del riesgo.
 3. COMPONENTES

5. Respuesta al Riesgo

Al seleccionar la respuesta al riesgo, se debe analizar el efecto sobre la probabilidad y sobre

el impacto, así como los costos y beneficios y, finalmente, se debe seleccionar aquella
respuesta al riesgo que sitúe el riesgo residual dentro de la tolerancia hacia el riesgo definida
por la empresa.
 3. COMPONENTES

6. Actividades de Control

Son la políticas y procedimientos que ayudan a asegurar que se lleven a cabo las medidas
seleccionadas en respuesta a los riesgos identificados. Las actividades de control se
desarrollan en todos los niveles y en todas las funciones. Incluye actividades como:
aprobaciones, autorizaciones, verificaciones, conciliaciones, segregación de funciones,
seguridad de los activos y revisiones de funcionamiento operativo.
 3. COMPONENTES

7. Información y comunicación

Las organizaciones deben identificar, captar y comunicar información relevante, en un modo

y plazo tal, que las personas puedan llevar a cabo sus responsabilidades. La información es
necesario en todos los niveles, para poder identificar, evaluar y responder a los riesgos.

Todos los funcionarios de la organización deben recibir un mensaje claro de la dirección, de

considerar de forma seria las responsabilidades de gestión de los riesgos organizacionales,
con el fin de que puedan entender su papel en dicha gestión y cómo las actividades
individuales se relacionan con las actividades de los demás.

Debe existir en las organizaciones, medios eficaces para comunicar hacia arriba la
información significativa; así como medios que permitan un comunicación adecuada con
terceros (clientes, proveedores, reguladores y accionistas).
 3. COMPONENTES

8. Monitoreo

La gestión de riesgos empresariales se debe monitorear, con el fin de determinar la

presencia y funcionamiento de sus componentes a través del tiempo, mediante actividades
permanentes de supervisión, evaluaciones independientes o una combinación de ambas. El
alcance y frecuencia de las evaluaciones, dependerá de la evaluación de riesgos y la eficacia
de los procedimientos de supervisión permanente.
 4. LIMITACIONES DEL SISTEMA
DE ADMINISTRACION DE RIESGOS

Las limitaciones inherentes al sistema de control interno, son las mismas que
tienen los sistemas de administración de riesgos:

 Juicios humanos en la toma de decisiones

 Resquebrajamientos: Fallas humanas
(errores y equivocaciones)
 Colusión de dos o más personas
Desbordamiento (violación) del sistema de
control interno por parte de la administración
Análisis costo – beneficio de los controles
Eventos externos que afecten negativamente el negocio