Gestión de Riesgos y Control Interno

Transcripción

1 Gestión de Riesgos y Control Interno Gratuito Fundamentos en la Gestión de Riesgos - Apetito al riesgos, tolerancia y límites - Riesgos residuales vs. Riesgos secundarios - Niveles de riesgos - Niveles de control - La Matriz de Riesgo - El Mapa de Riesgos - ISO COSO

2 2 Qué contiene este ebook? Introducción 3 Risk Management y Control 3 Fundamentos de la Gestión de Riesgos 4 Cuáles son sus objetivos, etapas y beneficios? 4 Apetito al Riesgo, Tolerancia y Límites 5 Primer paso en la Gestión de Riesgos 5 Riesgos Residuales vs. Riesgos Secundarios 6 Niveles de Riesgo 7 Niveles de Control 8 El Mapa de Riesgos 9 La Matriz de Riesgos 10 Normas en Gestión de Riesgos: ISO Análisis 11 Estructura 12 Proceso 12 Los principios de ISO Normas en Gestión de Riesgos: COSO 14

3 3 Introducción Risk Management y Control La implementación del proceso de gestión de riesgos tiene diferentes fases. El control interno proporciona la garantía razonable de la consecución de los objetivos estratégicos de la alta dirección, del consejo de administración. La organización puede presentar desde controles manuales a mecanizados, preventivos, detectivos y correctivos. A cada riesgo se le asignan sus controles correspondientes. Fases en la Gestión de Riesgos 1. Apetito, Tolerancia y Límites 2 Identificación y Evaluación 3. Gestión y Control 4. Comunicación e Informes El riesgo residual ofrece la posibilidad de analizar si los controles planteados son realmente efectivos y si se han aplicado correctamente. El proceso íntegro de la gestión de riesgos en las empresas está arropado de la cultura y el gobierno corporativo. EALDE Business School

4 4 Capítulo 1 Fundamentos de la Gestión de Riesgos Un riesgo es aquel evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto, de acuerdo a la PMBOK Guide. Cuáles son sus objetivos, etapas y beneficios? Objetivos La gestión de riesgos persigue la disminución de las probabilidades de los impactos negativos en un proyecto o en determinada actividad de la empresa y, al contrario, busca aumentar las probabilidades de que se produzcan impactos positivos en esas actividades. Etapas El apetito al riesgo, la tolerancia y los límites son el punto de partida, seguido de la identificación y evaluación de los riesgos. A continuación se encuentra la gestión del riesgo y los controles, que derivan hacia la comunicación y elaboración de informes. La gestión de estos riesgos están vinculados en todo momento con los objetivos estratégicos del negocio, en los que hay una planificación de los recursos de capital humanos y tecnológicos Beneficios El conocimiento de los riesgos posibles, así como la probabilidad de producirse, permite una planificación estratégica más efectiva. Esto conlleva a una mayor eficiencia y efectividad y, consecuentemente, a unos menores costes asociados a esos imprevistos previamente identificados y controlados. La continua revisión y comunicación de los datos propicia que todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva.

5 5 Capítulo 2 Apetito al Riesgo, Tolerancia y Límites El apetito al riesgo, la tolerancia y los límites conforman el primer paso para trabajar en la gestión de riesgos. Todo comienza por conocer los objetivos estratégicos de la empresa. Los objetivos de la empresa, sus políticas y sus procedimientos están planteados por la alta dirección. Estos planteamientos quedan recogidos en los manuales elaborados y van a condicionar el apetito al riesgo de la organización. Primer paso en la Gestión de Riesgos Apetito al Riesgo Tolerancia al Riesgo Límites Los objetivos de las empresas han de contemplar elementos como rentabilidad, resultados, ratios comparativos, análisis de la competencia o situaciones normativas. Se trata de la primera base sobre la que trabaja la gestión de riesgos. En este contexto, las organizaciones están dispuestas a aceptar riesgos en la búsqueda de su misión y visión, vinculada a sus objetivos estratégicos. Se trata del apetito al riesgo. No obstante, no todas las compañías están dispuestas a asumir el mismo nivel de riesgo para alcanzar sus objetivos. Las empresas pueden gestionar una mayor o menor cantidad de riesgo, según su naturaleza o del contexto en el que se sitúan. De este modo, la tolerancia al riesgo de estas organizaciones varía en función del nivel de riesgo aceptado. Las organizaciones pueden estar dispuestas a aceptar un nivel de riesgo determinado con sus actuaciones, pero eso no significa que sea el riesgo máximo que puedan soportar. La capacidad de riesgo hace referencia a estos límites de las compañías en la búsqueda de sus objetivos.

6 6 Capítulo 3 Riesgos Residuales vs. Riesgos Secundarios Riesgos Residuales Este tipo de riesgo hace referencia a aquel que permanece después de haber ejecutado las respuestas a esos riesgos. La empresa ha implementado determinados controles y el riesgo subsiste, teniendo en cuenta que siempre va a existir un nivel de riesgo. La organización ha de tratar de que ese nivel sea aceptable. De este modo, este tipo de riesgo ha sido aceptado e identificado por la compañía para crear planes de contingencia y planes alternativos. Riesgos Secundarios Se trata del riesgo que aparece en el momento en el que la organización implanta una determinada respuesta a un riesgo. La empresa actúa de acuerdo a los riesgos que se le presentan para eliminarlos, mitigarlos o transferirlos, según su impacto y naturaleza. Es en este contexto en el que se presentan nuevos riesgos secundarios, como consecuencia de esas actuaciones. Este tipo de riesgos también ha de ser identificado y analizado, para su posterior control y gestión.

7 7 Capítulo 4 Niveles de Riesgo Las organizaciones pueden presentar niveles de riesgo alto, medio o bajo: Nivel de riesgo alto Evaluación de todas las actividades de control. Tomar todas las actividades de control posibles dentro de la organización, teniendo en cuenta el análisis coste-beneficio. Muchas veces poner unas medidas de control pueden suponer un coste mayor que el beneficio que nos puede reportar. Este análisis permite cuantificar si compensa o no adoptarlo. Las organizaciones pueden presentar niveles de riesgo alto, medio o bajo. Nivel de riesgo medio Evaluación y supervisión de controles clave y relevantes. Se hace evaluación y supervisión de controles, pero solo claves o relevantes en los que no se permiten que se vayan a una zona de no confort. Se trata de realizar controles para pasar al nivel de riesgo bajo. Nivel de riesgo bajo No evaluación de actividades de control. No se necesitan realizar actividades de control al tratarse de un riesgo del día a día caracterizado por la propia actividad de la empresa. Evaluación de todas las actividades de control. Evaluación y supervisión de controles clave y relevantes. No evaluación de actividades de control.

8 8 Capítulo 5 Niveles de Control Controles preventivos Controles detectivos Controles correctivos Los controles que establecen las empresas son fundamentalmente preventivos, detectivos y correctivos: Controles preventivos Se establecen para anticiparse a los eventos no deseados antes de que sucedan. El conocimiento de estos riesgos viene determinado por la experiencia de la empresa y del sector en el que desempeña su actividad. Cada empleado pone en práctica las medidas preventivas apuntadas por la compañía, para que no se produzcan. Controles detectivos Entran en escena para identificar los eventos en el momento en el que se presentan. Se trata de adoptar las medidas necesarias para que no vuelva a producirse. Controles correctivos Se caracterizan por la toma de acciones para prevenir eventos no deseados. Guardan relación con la toma de decisiones de la alta dirección, a la que se les traslada las opciones de asumir, eliminar o mitigar cada uno de ellos.

9 9 Capítulo 6 El Mapa de Riesgos El mapa de riesgos permite comprender las amenazas y facilitar la toma de decisiones a través de la prevención de los posibles riesgos que se le pueden plantear a la organización. En la elaboración de un mapa de riesgos influyen las características y naturaleza de la empresa, así como los diferentes tipos de riesgos o amenazas. Las variables de probabilidad y de impacto cuantitativo y cualitativo permiten determinar un mapa de calor, que guarda relación con el apetito al riesgo, la tolerancia y los límites. Se trata de una representación gráfica de los objetivos estratégicos de la organización, donde se sitúan cada uno de los riesgos más representativos para la empresa y que afectan a su toma de decisiones. Las medidas a adoptar dependen de la probabilidad y del impacto de esos riesgos. Este tipo de representaciones gráficas contribuyen a que los presidentes de las empresas comprendan de un modo visual cuál es la situación la compañía. Las organizaciones asumen, reducen o transfieren esos riesgos dependiendo de la probabilidad de que se produzcan y de su impacto. En el mapa de riesgos también tienen cabida las tomas de decisiones planteadas por la empresa como respuesta a esos riesgos. Probabilidad Posibilidad de que un determinado riesgo pueda ocurrir en el desarrollo de la actividad. Impacto Efecto económico de la materialización del riesgo.

10 10 Capítulo 7 La Matriz de Riesgos El establecimiento de mecanismos de control en la implementación del proceso de gestión de riesgos se sitúa entre las etapas de identificación y evaluación y la posterior elaboración de informes y comunicación. La matriz de riesgo permite a las empresas identificar cuáles son los productos o actividades más relevantes y los riesgos que van conllevar cada uno de ellos. Las actuaciones de las organizaciones implican riesgos inherentes de diversa tipología y que pueden presentar un nivel mayor o menor. La matriz de riesgo facilita el control sobre aquellos riesgos más críticos y la correcta de gestión de los recursos para mitigar cada uno de ellos con determinadas actuaciones. La matriz de riesgo facilita el control sobre aquellos riesgos más críticos y la correcta gestión de los recursos para mitigar cada uno de ellos con determinadas actuaciones. Además, proporciona datos sobre la probabilidad de que se produzcan estos riesgos e, incluso, posibilita la comparación de proyectos y de productos. La empresa puede evaluar si la gestión de cada uno de esos riesgos está siendo efectiva a través de esta matriz y cómo afectan al cumplimiento de los objetivos estratégicos previamente planteados por la alta dirección. La efectividad de los controles establecidos determina la calidad de la gestión de riesgos realizada. Este mecanismo se caracteriza por su flexibilidad, debido a que el apoyo de toda la organización es necesario en el control interno. La implicación de los diferentes miembros contribuye a la consecución de los objetivos estratégicos planteados por la compañía.

11 11 Capítulo 8 Normas en Gestión de Riesgos: ISO ISO es una guía de implementación codificada por la Organización Internacional de Normalización. Estas normas abarcan una serie de técnicas de evaluación de riesgos que indican cuáles son válidas para la identificación, cuantificación, y cuáles nos dan un resultado económico y/o hay que combinar por apoyo, búsqueda o análisis de escenarios. Análisis El análisis de cada uno de los riesgos se hace a través de sus dueños, por toda la organización al fin y al cabo. Hay riesgos que la empresa puede conocer por la actividad que realiza y que son transmitidos a la gerente de riesgos. También existe la opción de contar con un desplegable de todos los riesgos posibles e identificar cuáles de ellos afectan a la actividad que realiza la compañía.

12 12 Estructura En ISO hay un compromiso de la alta dirección. Este apoyo propicia el diseño de una estructura de soporte y la implementación de la gestión de riesgos. Hay un seguimiento y revisión de la estructura que genera una mejora continua. La estructura posibilita un organigrama específico de gestión, en el que tienen cabida un comité de administración de la empresa y una unidad de riesgos. Este organigrama cuenta además con responsables dentro de cada una de las funciones clave de la organización. Proceso En cuanto al proceso de ISO 31000, se crea el contexto, que recoge todos los objetivos y el entorno de la organización. En la apreciación de riesgos se identifican, analizan y se establecen cuáles son los más importantes. Se evalúan cualitativa y cuantitativamente, para proceder a tratarlos. A través de la toma de decisiones se transmite al consejo de administración cuál sería el análisis coste-beneficio de eliminar, reducir o aceptar esos riesgos. Finalmente se comunica, se establecen las consultas oportunas y se realiza un seguimiento y una revisión continua.

13 13 Capítulo 9 Los principios de ISO ISO se basa en 11 principios que encajan con toda la estructura de la organización y que están relacionadas con las normativas de la implementación de riesgos. Estos principios conectan con la estructura y el proceso de esta norma. Principios - Crea valor. - Está integrada en los procesos de la organización. - Forma parte de la toma de decisiones. - Trata explícitamente la incertidumbre. - Es sistemática, estructurada y adecuada. - Está basada en la mejor información posible. - Está hecha a medida. - Tiene en cuenta factores humanos y culturales. - Es transparente e inclusiva. - Es dinámica, iterativa y sensible al cambio. - Facilita la mejora continua de la organización. Estas técnicas facilitan la identificación y la evaluación de los riesgos de la empresa: financieros, legales, estratégicos, operacionales o reputacionales. Los principios en los que se sustenta la ISO posibilitan la correcta implementación de la gestión y el análisis con respecto a los objetivos planteados por la organización.

14 14 Capítulo 10 Normas en Gestión de Riesgos: COSO COSO (Committee Of Sponsoring Organizations) se ubica en la normativa americana y es una de las guías de implementación que hay ahora mismo en vigor. Su origen radica en un grupo de trabajo que elabora documentos, manuales e informes con el fin de establecer el análisis y el control dentro de la empresa. COSO II llegó en el año 2004 como complemento de COSO I, en el que faltaban componentes e información para poder llevar a cabo este análisis de gestión eficaz. La guía de implementación del marco COSO 2013 establece los cinco componentes de COSO I, pero con la novedad de que el análisis de la gestión de riesgos puede ser global de la entidad o específico por divisiones, unidades operativas o distintas funciones. El análisis de la gestión de estos riesgos se lleva al límite o al nivel deseado dentro de la organización.

15 15 El análisis de la gestión de riesgos puede ser global de la entidad o específico por divisiones, unidades operativas o distintas funciones. Cada uno de estos cinco componentes tienen sus correspondientes principios: Entorno de control -Demuestra compromiso con la integridad y los valores éticos -Ejerce responsabilidad de supervisión -Establece estructura, autoridad y responsabilidad -Compromiso para atraer, desarrollar y retener personal clave -Mantiene a los individuos relevantes en el control interno Evaluación de riesgos -Especifica objetivos relevantes -Identifica y evalúa riesgos -Gestión del riesgo de fraude -Identifica y evalúa cambios importantes Actividades de control -Selecciona y desarrolla actividades de control -Selecciona y desarrolla controles generales sobre tecnología -Se implementa a través de políticas y procedimientos Información y comunicación -Genera información relevante -Comunica internamente -Comunica externamente Actividades de monitorización -Realización de evaluaciones continuas e individuales -Evalúa y comunica deficiencias

16 Acerca de EALDE Business School EALDE, la Escuela de Administración, Liderazgo, Dirección y Emprendimiento EALDE está formada por directivos que han ejercido en empresas privadas de prestigio internacional, así como en instituciones públicas. La formación académica de los docentes procede de las mejores Universidades y escuelas de negocio de España. Transmiten su experiencia directiva mediante Casos prácticos, obligando al alumno a pensar como verdaderos directivos de departamento y empresa. EALDE es una escuela de negocios 100% online mediante un método de enseñanza único dónde se aprende de los profesores, de los materiales lectivos, pero también del resto de los compañeros del grupo. Ello permite a nuestros alumnos acceder a una formación de alta calidad que de verdad ayude a impulsar sus carreras profesionales. Síguenos! Escríbenos! Solicita información sobre nuestros másters