ADMINISTRACIÓN DE RIESGOS (ERM)

Profesor: Pablo Quezada

Semestre I 2018
COSO ERM 2004
 Resumen

La administración identifica potenciales eventos que afectan la capacidad de la

compañía para implementar exitosamente la estrategia y alcanzar sus
objetivos.

Eventos con un potencial impacto negativo representan riesgos, los cuales

requieren una evaluación de la administración y respuesta.

Eventos con un potencial impacto positivo pueden compensar impactos

negativos o representar oportunidades.

Los canales de oportunidades de la administración respaldan la estrategia y los

objetivos.

Una variedad de factores internos y externos dan origen a los eventos. Cuando
se identifican potenciales eventos, la administración considera el alcance
dentro de la organización. La administración debe considerar el contexto en
el cual la entidad opera y la tolerancia al riesgo.
 Conceptos Fundamentales
Eventos Factores que Metodologías y Interdependencia Categorías Riesgos y
Influyen en la Técnicas de Eventos de Eventos Oportunidades
Estrategia y
Objetivos
• Incidentes • Internos •Continuo • Causa de los • Agrupaciones • Impactos
• Impactos • Externos •Periódico Eventos Comunes Negativos,
positivos o • Interrelaciones riesgos
•Pasado o Futuro
negativos entre eventos • Impactos
•Herramientas Positivos,
de soporte oportunidades o
– Inventario de compensaciones
Eventos
de riesgos
–Análisis
Interno
–Escalamiento o
Alertas de
Límites
–Workshops y
Entrevistas
–Leading event
indicators
–Metodología de
Eventos de
Pérdida
–Análisis de
Flujo de
Procesos
 Factores Internos
Factores Internos

Infraestructura Personal Procesos Tecnología

•Disponibilidad de Activos •Capacidad de los •Capacidad •Datos ( Adquisición,

•Capacidad de Activos empleados •Diseño mantención, distribución,

•Actividades confidencialidad,
•Acceso a Capital •Ejecución
Fraudulentas integridad)
•Complejidad •Proveedores /
•Seguridad y Salud •Disponibilidad de sistemas
•Fusiones / Adquisiciones Dependencia
y datos
•Juicio
•Capacidad
•Prácticas de

Seguridad •Sistema (Selección,

Desarrollo, fiabilidad)
•Prácticas de Venta
 Factores Externos

Factores Externos
Económico Negocio Tecnológico Ambientales Políticos y

Sociales

• Disponibilidad de • Marca • Comercio • Emisiones, desperdicios • Cambios de Gobierno

Capital • Competencia Electrónico • Energía • Legislación

• Crédito • Comportamiento Cliente • Datos Externos • Fuego • Políticas Públicas

• Liquidez • Fraude • Tecnologías • Desastres Naturales • Regulación

• Mercado Emergentes (terremotos,

• Estándares de la industria • Demografía

inundaciones)
• Estructura de Propiedad • Ciudadanía

• Desarrollo sustentable
• Publicidad • Privacidad

• Transporte
• Relevancia del producto

• Agua
 Otro Ejemplo..
Riesgos del Entorno/Estrategia
Competencia – Innovación Tecnológica – Relaciones con los Accionistas – Disponibilidad de Capital – Aspectos Políticos
– Regulatorio – Industria – Mercado Financiero – Pérdidas Catastróficas
Riesgos de Procesos
RRHH Financiero
Riesgo Operacionales
Autoridad Precio
Satisfacción del Cliente
Liderazgo
Recursos Humanos Ratio de Interés
Autoridad/Límites
Desarrollo de Productos Moneda
Outsourcing
Eficiencia Instrumentos Financieros
Incentivos de Performance
Capacidad
Comunicaciones
Efectividad de Canales Liquidez
Interrupción del Negocio Flujo de caja
Fallas de Productos/Servicios Procesamiento de Información
Costo Oportunidad
Ambientales /Tecnología
Concentración
Seguridad y Salud Relevancia
Integridad
Integridad Acceso Crédito
Administración de Fraude Disponibilidad Concentración
Actos Ilegales Infraestructura Pagos
Uso no Autorizado
Reputación

Riesgos de Información para la Toma de Decisiones

Ambiente /estratégico
Proceso /Operacional Informes del Negocio Modelo de Negocio, Portafolio
Precio Producto /Servicio Presupuesto y Planificación Valuación
Medidas (operaciones) Información Contable y Financiera Estructura Organizacional
Alineamiento Impuestos Locación de Recursos
Reportes Regulatorios Ciclo de Vida
 Herramientas, Técnicas y Métodos ISO
Análisis de
Método de Entrevistas Método
¿Qué pasa si? Supervivencia
apoyo Estructurada Delphi Humana

Análisis de
Método de
Check - List Riesgos
Búsqueda
Primarios

Modelo de Mantenimiento Análisis de

Análisis de
HAZOP HACCP efectos de centrado en Circuitos
Función fiabilidad
Fallo Furtivos

Análisis de Árbol de Árbol de

Análisis de Análisis de Análisis Causa y Análisis de
Impactos análisis de análisis de
Escenario Escenario Causa - Raíz Consecuencia Causa y Efecto
Empresarial Fallo Eventos

Análisis de
Evaluación de Análisis
Protección por
Controles BowTie
Capa

Análisis Análisis Simulación Estadística

Estadísticos Markov Monte Carlos Bayesiana

Evaluaciones Matriz
Árbol de Indicadores de Análisis Costo Análisis de
Otros Lluvia de Ideas de Riesgos Curva FN Impacto/
Decisión Riesgo (KRI) - Beneficio Multi Criterios
ambientales Probabilidad
Lluvia de Ideas

Definición Uso
• Conversación libre entre personas con conocimientos
• Su principal uso es el levantamiento de riesgos o
que permiten identificar los riesgos, controles, posibles
controles asociados a un proceso o una empresa.
fallas, criterios de decisión y opciones de tratamiento.

Input Procesos Output Limitaciones

De realizarlo de manera
Listados de Riesgos o
formal corresponde a un
controles, para la La calidad de la lluvia de
El conocimiento de la debate que cuente con un
organización, sistema o ideas será proporcional al
persona en la organización, facilitador o moderador.
proceso analizado. conocimiento de los
sistema o proceso. En el caso de ser informa
No entrega datos participantes.
esta se convierte en sólo
cuantitativos.
una conversación libre.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo. Evaluación

No Aplica.
Muy Aplicable No Aplica No Aplica. No Aplica.

9
Lluvia de Ideas

10
Técnica Delphi

Definición Uso
• Levantamiento de riesgos o controles realizado por
• Su principal uso es el levantamiento de riesgos o
medio de formularios completados por expertos, sin
controles asociados a un proceso o una empresa.
existir interacción ni debate de lo expuesto por ellos.

Input Procesos Output Limitaciones

Los expertos definidos por Listados de Riesgos o No necesariamente existe

la organización recibe un controles, para la alineación entre los riesgos
El conocimiento de la formulario donde exponen organización, sistema o o controles visualizados
persona en la organización, los riesgos o controles proceso analizado. entre los expertos,
sistema o proceso. visualizados sobre la pudiendo producir un
organización, sistema o No entrega datos levantamiento excesivo de
proceso. cuantitativos. riesgos o controles.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo Evaluación

Muy Aplicable No Aplica No Aplica. No Aplica. No Aplica.

11
Técnica Delphi

¿Qué riesgo identifica en el proceso de Facturación?

¿Existen controles para el riesgo identificado?

¿Qué control identifica?

Describa las consecuencias que aprecia de la materialización del Riesgo

12
Análisis BowTie

Definición Uso
• Es un simple diagrama que permite que se analicen las
• Analizar los riesgos desde su causa hasta sus
causas y consecuencias de un riesgo, permitiendo
consecuencias, incluyendo los controles preventivos y
integrar los controles destinados a las causas y los
los mitigantes.
controles destinados a las consecuencias.

Input Procesos Output Limitaciones

El equipo encargado de
realizar este trabajo Diagrama por cada riesgo Al simplificar de gran
comienza desde el riesgo e analizado, donde se manera las causas y
Toda información existente
identifica las causas de exponen las causas, consecuencias puede
sobre el riesgo y los
éste, luego las consecuencias y los tender a bajar la verdadera
controles existentes.
consecuencias para controles asociados a importancia de alguna
terminar integrando los dicho riesgo. causa o consecuencia.
controles.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo Evaluación

No Aplica. Aplica. Muy Aplicable. Muy Aplicable. Aplica.

13
Análisis BowTie

14
¿Qué pasa si?

Definición Uso
• Método por el cual se logra determinar causas de • Se logra utilizar para la identificación, análisis y
eventos y sus consecuencias, pudiendo profundizar lo evaluación de un riesgo y los controles asociados a
que se considere necesario. éste.

Input Procesos Output Limitaciones

Se procede a analizar una
causa identificada para un
Información
riesgo y comenzar a Causas, consecuencias, Experiencia del facilitador.
correspondiente a
hacerse la pregunta ¿que controles y los posibles
organización, sistema o Conocimiento de gran
pasa si? Pudiendo analizar canales que puede tomar
proceso a analizar, desde calidad por parte de los
los controles asociados, rumbo la materialización
diagramas de contextos participantes.
las causas posible y las del riesgo.
hasta datos estadísticos.
consecuencias de existir la
materialización del riesgo.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo Evaluación

Muy Aplicable Muy Aplicable. Muy Aplicable. Muy Aplicable. Muy Aplicable.

15
¿Qué pasa si?

Por ejemplo: considerando que un tanque

está siendo llenado con un líquido:

a) ¿Qué pasa sí la bomba de llenado del

tanque falla?

b) ¿Qué pasa sí la válvula de cierre falla?

c) ¿Qué pasa sí la alarma de alto nivel

falla?

d) ¿Qué pasa sí el operador ignora la

alarma de alto nivel?

16
HAZOP (Hazard and Operability study – Estudio de peligros
y operabilidad)

Definición Uso
• Un proceso general de identificación de riesgos para la
• Determinar las desviaciones posibles en los procesos,
definición de posibles desviaciones existentes en un
sistemas, software u otros.
sistemas, procesos, software u otros.

Input Procesos Output Limitaciones

Manuales de uso.
Manuales de Actas de reuniones Gran cantidad de tiempo.
procedimientos. Hacer un recorrido por el HAZOP. Necesidad de mucha
proceso, sistema, software Palabras claves usadas.
Diagramas de contexto. documentación.
u otro, buscando riesgos y
Diagramas analizando las Posibles acciones. El análisis sólo se realiza
organizacionales. desviaciones existentes. Evaluaciones de los del punto de vista de
Descripciones de riesgos. diseño.
funciones.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo Evaluación

Muy Aplicable Muy Aplicable. Aplicable. Aplicable. Aplicable.

17
HAZOP (Hazard and Operability study – Estudio de peligros
y operabilidad)

18
Indicadores de Riesgo

Definición Uso
• Indicadores semi cuantitativos que permiten entender • Principal herramienta que permite el monitoreo del
las variaciones y aumento de incidentes o apetito al riesgo de una compañía, al igual que generar
materializaciones del riesgo analizado. historia para una mejor gestión.

Input Procesos Output Limitaciones

Establecer los limites que
Información de
se esta dispuesto a
comportamiento Necesidad de gran
soportar en actividades o
estadístico del riesgo en Panel de control. cantidad de información
cantidad de riesgo
años anteriores. Alertas ante eventuales previa.
acumulado.
Definiciones de apetito, desviaciones. Sistema o plataformas para
Monitoreo del
tolerancia y capacidad de un monitoreo permanente.
comportamiento
riesgo.
periódicamente.

Identificación Evaluación Impacto Ev. Probabilidad Nivel de Riesgo Evaluación

Aplicable Muy Aplicable. Muy Aplicable. Aplicable. Muy Aplicable.

19
Indicadores de Riesgo

Riesgo: Pérdidas originadas por robos en bodegas.

KRI: Cantidad de pérdidas originadas por robos realizados en las bodegas
de la Compañía

Enero Febrero Marzo Abril Mayo Junio Total

Bodega 1 $ 1,00 $ 2,00 $ 55,00 $ 7,00 $ 6,00 $ - $ 71,00

Bodega 2 $ 2,00 $ 43,00 $ 6,00 $ 8,00 $ 32,00 $ 6,00 $ 97,00

Bodega 3 $ 43,00 $ 3,00 $ 789,00 $ 3,00 $ 667,00 $ 4,00 $ 1.509,00

Bodega 4 $ 3,00 $ 42,00 $ 42,00 $ 64,00 $ 3,00 $ 4,00 $ 158,00

Total $ 49,00 $ 90,00 $ 892,00 $ 82,00 $ 708,00 $ 14,00 $ 1.835,00

Acumulado $ 49,00 $ 139,00 $ 1.031,00 $ 1.113,00 $ 1.821,00 $ 1.835,00

Aceptable Alerta 1 Alerta 2 Alerta 3

<999 >1000 >17500 >2000

20
 Otras
Metodologías y
Técnicas
Inventario de Eventos
•El inventario de eventos es una lista detallada de potenciales eventos
comunes para la compañía dentro una industria en particular , o un proceso en
particular o actividad común que cruza la industria. Algunos productos de
software pueden generar una lista relevante y su asociación de riesgos.
Algunas empresas, utilizan una lista genérica como un punto de partida para
las actividades de identificación de eventos. Por ejemplo, una compañía con un
software de desarrollo de proyecto puede dibujar un inventario detallado de
eventos genéricos relacionado con un proyecto de desarrollo de software.
•Análisis Interno
•Esto puede ser parte de un ciclo de proceso rutinario de planificación de
negocio, típicamente vía reuniones con el personal de la unidad de negocio. El
análisis interno algunas veces utiliza información desde otras personas
(clientes, proveedores, otras unidades de negocio) o sujeto a unidades
expertas fuera de la unidad de negocio ( auditoría interna o externa). Por
ejemplo, una compañía considera la introducción de un nuevo producto y utiliza
su propia experiencia histórica, junto con investigaciones externas del mercado
para identificar los eventos que han impactado el éxito de los productos de la
competencia.
•Escalamiento o Alertas de Límites
•Estos triggers alertan a la administración de potenciales áreas afectadas
comparando actuales transacciones, eventos, o criterios predefinidos. Una vez
los triggers, un evento puede requerir promover una evaluación o una
inmediata respuesta. Por ejemplo, la administración puede monitorear el
volumen de las ventas en un mercado objetivo para nuevos programas de
marketing y redireccionar recursos basado en los resultados. O, la
administración puede rastrear las estructuras de precios de los competidores y
considerar cambiar en sus precios cuando un límite específico sea alcanzado.
•Workshops y Entrevistas
•Esta técnica facilita la identificación de eventos por el conocimiento
acumulado y experiencia de la administración, staff y otro personal a través de
conversaciones estructuradas. El facilitador conversa acerca de los eventos que
pueden impactar el alcanzar los objetivos de la unidad de negocio o de la
compañía.
•Por ejemplo, un controller financiero puede facilitar un workshop con
miembros del equipo de contabilidad para identificar eventos que tienen un
impacto en los objetivos de reporte financiero de una compañía. Combinando el
conocimiento y experiencia del equipo participante, eventos potenciales
importantes serán identificados, de otro modo algunos podrán ser olvidados.
• Lead de Indicadores de Eventos
•Para monitorear los datos relacionados a un evento, la compañía identifica la
existencia de condiciones que podrían dar lugar a un evento, a menudo
referido como un Lead de indicadores de eventos.

•Por ejemplo, una institución financiera tiene indentificada la correlación entre

la tardanza en los pagos de préstamos y los eventuales préstamos no
pagados, y el efecto positivo de intervención temprana. Monitoreando el pago
base disponible, el potencial de no pago podría ser mitigado oportunamente.
• Metodología de Eventos de Pérdida
•Repositorios de datos sobre pérdidas individuales de eventos pasados son una
poderosa fuente de información para identificar amenazas y las causas. Una
vez que la causa es identificada, la administración debería determinar que
evaluación y tratamiento es la más efectiva solución al evento individual.

•Por ejemplo, una compañía que opera una empresa de automóviles mantiene
una base de datos de reclamos de accidentes y a través de análisis, encuentra
que el porcentaje de accidentes es desproporcionado, en números y monto
monetario, en relación al staff de conductores en unidades particulares,
geográficamente y agrupado por edad. Este análisis prepara a la
administración las causas de los eventos y las acciones necesarias.
• Análisis de Flujo de Procesos
•Esta técnica considera la combinación de inputs, tareas, responsabilidades y
salidas que conforman un proceso. Considerando los factores internos y
externos que afectan el ingreso, o las actividades dentro del proceso, una
compañía identifica los eventos que podrían afectar alcanzar los objetivos del
proceso.

•Un ejemplo, un laboratorio médico diagrama un proceso para la recepción y

prueba de muestras de sangre. Usando el mapa del proceso, la compañía
considera que el rango de factores que podrían afectar el ingreso, las tareas y
responsabilidad, identificando las exposiciones relacionado para etiquetar las
muestras.