UNIVERSIDAD ALAS PERUANAS

FACULTAD DE INGENIERÍAS Y ARQUITECTURA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA

DE SISTEMAS E INFORMATICA

ANÁLISIS Y RESUMEN ERM-COSO, MODELO CAUSAL DE RISEGO, MAPA

DE RIESGOS

UNIVERSIDAD ALAS PERUANAS FILIAL

AYACUCHO

PROFESOR : Ing. EDGAR YANCCE

ALUMNO : CHAVEZ LUNAZCO ROBERTO

CURSO : CONTROL DE LOS SISTEMAS DE NEGOCIO 

CICLO : X – Ciclo

Ayacucho – Perú
2016
ÍNDICE

Contenido
ÍNDICE........................................................................................................................................2
DESCRIPCIÓN DE COMPONENTE DEL COSO II.............................................................3
RELACIÓN ENTRE COSO I Y COSO II................................................................................4
ANÁLISIS...................................................................................................................................4
COSO Y AUDITORIA INTERNA............................................................................................5
PRINCIPALESCAMBIOS DE COSO ERM 2016 CON COSO ERM 2004.......................6
COSO ERM propuesto junio 2016 – tiene 23 principios...............................................7
MODELOS DE GESTIÓN DE RIESGOS..............................................................................9
VALORACIÓN GENERAL DE LOS MODELOS DE GESTIÓN DE RIESGOS...............9
MODELOS CAUSALES...........................................................................................................9
LOS MAPAS DE RIESGOS..................................................................................................10
CASO DE MAPA DE RIESGO:............................................................................................14
DESCRIPCIÓN DE COMPONENTE DEL COSO II
1. AMBIENTE INTERNO

 Sirve como la base fundamental para los otros componentes del

ERM, dándole disciplina y estructura.

 Dentro de la empresa sirve para que los empleados creen conciencia

de los riesgos que se pueden presentar en la empresa

2. ESTABLECIMIENTOS DE OBJETIVOS

 Es importante para que la empresa prevenga los riesgos, tenga una

identificación de los eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.

 La empresa debe tener una meta clara que se alineen y sustenten

con su visión y misión, pero siempre teniendo en cuenta que cada
decisión con lleva un riesgo que debe ser previsto por la empresa.

3. IDENTIFICACIÓN DE EVENTOS

 Se debe identificar los eventos que afectan los objetivos de la

organización aunque estos sean positivos, negativos o ambos, para
que la empresa los pueda enfrentar y proveer de la mejor forma
posible.

 La empresa debe identificar los eventos y debe diagnosticarlos como

oportunidades o riesgos. Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.

4. ACTIVIDADES DE CONTROL

 Son las políticas y procedimientos para asegurar que las respuestas

al riesgo se lleve de manera adecuada y oportuna.
 Preventiva, defectivas, manuales, computarizadas o controles
gerenciales

5. RESPUESTA AL RIESGO
Una vez evaluado el riesgo la gerencia identifica y evalúa posibles
repuestas al riesgo en relación a las necesidades de la empresa. Las
respuestas al riesgo pueden ser:

 Evitarlo: Se discontinúan las actividades que generan riesgo

 Reducirlo: Se reduce el impacto o la probabilidad de ocurrencia o
ambas.
 Compartirlo: Se reduce el impacto o la probabilidad de ocurrencia al
transferir o compartir una porción del riesgo.
  Aceptarlo: No se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.

6. INFORMACIÓN Y COMUNICACIÓN

 La información es necesaria en todos los niveles de la organización

para hacer frente a los riesgos identificando, evaluando y dando
respuesta a los riesgos.
 La comunicación se debe realizar en sentido amplio y fluir por toda la
organización en todos los sentidos.
 Debe existir una buena comunicación con los clientes, proveedores,
reguladores y accionistas.

7. MONITOREO
Sirve para monitorear que el proceso de administración de los riesgos
sea efectivo a lo largo del tiempo y que todos los componentes del
marco ERM funcionen adecuadamente. El monitoreo se puede medir a
través de:
c ti
eA
d m vid
o an
i d
eto
r seo E vp
u alu
n acitu o
l n
es s
c o n ti n
o
u

RELACIÓN ENTRE COSO I Y COSO II

ANÁLISIS
COSO II “ERM” toma muchos aspectos importantes que el coso I no considera,
como por ejemplo:
  El establecimiento de objetivos
 Identificación de riesgo
 Respuesta a los riesgos
 Se puede decir que estos componentes son claves para definir las
metas de la empresa.
 Si los objetivos son claros se puede decidir que riesgos tomar para
hacer realidad las metas de la organización.
 De esta manera se puede hacer una clara identificación, evaluación,
mitigación y respuesta para los riesgos.
COSO EN LA ORGANIZACIÓN

COSO Y AUDITORIA INTERNA

 La auditoría interna se considerará entonces como una parte del sistema
de control.
 Informe COSO es una herramienta utilizada por la Auditoria interna para
realizar el control interno de la empresa.
 La responsabilidad de los Auditores Internos en este proceso es la de
revisar el Control implementado.
COSO ERM tiene lo siguiente que no tiene COSO
 COSO ERM incluye las estrategias.
 COSO ERM incluye establecimientos de objetivos, la identificación de
eventos y la respuesta a los riesgos.

PRINCIPALESCAMBIOS DE COSO ERM 2016 CON COSO ERM 2004

 Tiene un enfoque más amplio y explicita más claramente la relación con
la estrategia; el cambio del nombre del documento así lo muestra; el del
2004 se llamaba “ Marco de Gestión de Riesgo Empresarial”, el del 2016
se llama
 “Marco de Gestión de Riesgo Empresarial- Alineación del Riesgo con la
Estrategia y el desempeño.”(Nota la estrategia si estaba el 2004, ahora
se ahonda en ella y su relación con el riesgo)
 Se sistematiza su contenido estructurándolo en 23 principios (COSO)
2013 hizo algo parecido al formular 17 principios).
 Lo relaciona con la misión y visión de la empresa.
 La estrategia y los riesgos se relacionan desde el proceso de
planificación estratégica, su ejecución y control.
 El monitoreo toma más importancia.
 Relaciona el riesgo con la performance obtenida por la empresa en sus
distintos niveles.
 Refuerza la accountability en los distintos niveles.
 El apetito de riesgo pasa a ser una parte importante y su relación con las
estrategias.
 Debe relacionarse los riesgos al formular los objetivos de la empresa.
 Prioriza los riesgos.
 Enfatiza el uso de información relevante.
 Considera la evolución de las tecnologías y la data análisis.
 Se hace cargo de la globalización de los mercados.
 Tiene en cuenta lo relativo a trasparencia.
  La cultura de la empresa y su relación con el riesgo pasa a ser un factor
importante.

COSO ERM propuesto junio 2016 – tiene 23 principios

Nota: El tema de los 23 principios es la parte central del documento

abarcando 100 páginas, con definiciones, detalle de cada uno y
ejemplos; aquí va sólo el enunciado de ellos.

1. El Directorio ejerce la supervisión de los riesgos

 El Directorio supervisa la estrategia y lleva a cabo las
responsabilidades de gobierno de los riesgos para apoyar la gestión
de la Administración en la consecución de la estrategia y objetivos
del negocio.
2. Establece el Gobierno y Modelo operativo
 La organización establece el gobierno y estructuras operativas en el
logro de la estrategia y objetivos del negocio.
3. Define los comportamientos organizacionales deseados
 La organización define los comportamientos deseados que caracterizan
los valores fundamentales y actitudes hacia el riesgo.
4. Demuestra compromiso con la integridad y la ética
 La organización demuestra un compromiso con la integridad y los
valores éticos.
5. Hace cumplir las rendiciones de cuentas ( accountability )
 La organización establece las rendiciones (o dar cuenta) a las personas
en todos los niveles responsables de la empresa en la gestión de
riesgos, y se responsabiliza para proporcionar normas y directrices.
6. Atrae, desarrolla y retiene a las personas con talento
 La organización se compromete en la construcción del capital humano
en alineación con los objetivos de la estrategia y de los negocios.
7. Considera el Riesgo en un contexto de negocios
 La organización considera los efectos potenciales del negocio en el
contexto del perfil de riesgo.
8. Define el apetito de riesgo
 La organización define el apetito de riesgo en el contexto de la creación,
la preservación, y la realización de valor.
9. Evalúa estrategias alternativas
Y el impacto en el perfil de riesgo.
10. Considera el riesgo al tiempo que establece los objetivos de negocio-
 La organización considera el riesgo en el establecimiento de los
objetivos de negocio en los distintos niveles y el apoyo a la estrategia de
la empresa.
11. Define la variación aceptable en la Performance
 La organización define la variación aceptable en su performance en
relación con los objetivos estratégicos y los objetivos de los negocios.
12. Identifica Riesgo de Ejecución-
 La organización identifica el riesgo de ejecución que afecta el logro de
los objetivos del negocio.

13. Evalúa la severidad del riesgo-

 La organización debe evaluarla..
14. Prioriza los riesgos
 La organización da prioridad a los riesgos como base para la selección
de las respuestas a los riesgos.
15. Identifica y de riesgo selecciona las respuestas a ellos
 La organización identifica y selecciona las respuestas al riesgo.
16. Evalúa el riesgo de Ejecución
 La organización evalúa los resultados de rendimiento operativo y su
relación con el riesgo.
17. Desarrolla un portfolio de riesgo
 La organización desarrolla y evalúa su portfolio de riesgo.
18. Usa información relevante
 La organización utiliza la información relevante que soporta la
administración de riesgo.
19. Utilización de los Sistemas de información
 La organización aprovecha los sistemas de información como soporte
en la administración de riesgos.
20. Comunicación de información de riesgos
 La organización usa los canales de comunicación en la gestión de la
administración de riesgos.
21. Informes de Riesgo, Cultura, y desempeño de la Organización
 La organización informa sobre riesgo, cultura y performance tanto
vertical como horizontalmente en su interior.
22. Monitoreo y cambios sustanciales
 La organización identifica y evalúa los cambios de origen interno y
externo que pueden tener un impacto en la estrategia y objetivos de
negocios.
23. Monitoreo en la administración de riesgos
 La organización monitorea la performance en la administración de
riesgos va a continuación relación de los principios con la estrategia y
sistematización de los principios.

MODELOS DE GESTIÓN DE RIESGOS

Actualmente se utilizan una serie de modelos para realizar un proceso lógico y

sistemático que puede ser utilizado cuando se toman decisiones para mejorar
la efectividad y eficiencia de las empresas. Los modelos permiten identificar y
estar preparados para lo que puede suceder, se trata de tomar acciones
destinadas a eludir y reducir la exposición a los costos u otros efectos de
aquellos eventos que ocurran, en lugar de reaccionar después de que un
evento ya ha ocurrido e incurrir en los costos que implican recuperar una
situación.

VALORACIÓN GENERAL DE LOS MODELOS DE GESTIÓN DE RIESGOS

Luego de haber realizado el análisis de los modelos anteriores, se evidenció
que el uso de los mismos va emparejado a las particularidades específicas que
posean los proyectos, ya que permiten revelar y manejar riesgos de alguna
forma u otra. Sin embargo no permiten estimar cómo afectan estos el tiempo de
desarrollo de un proyecto, los costos, el alcance y otras áreas de desarrollo del
proyecto. La mayoría de estas herramientas poseen la desventaja de que no se
comercializan libremente y el enfoque está definido más desde el punto de
vista cualitativo que cuantitativo. Muchas carecen de un Plan de gestión de
riesgos, así como un Plan de contingencia para erradicarlos una vez ocurridos.
Además no tienen en cuenta las dependencias que existen entre los diferentes
factores de riesgos.

MODELOS CAUSALES
A partir de los modelos causales se pueden establecer las causas de algunos
eventos y predecir sus efectos. El conocimiento causal puede ser empleado
para facilitar el proceso de toma de decisiones.
El modelado causal resulta importante para entender el proceso de toma de
decisiones; sin embargo, continúa siendo un área relativamente poco
estudiada. La causalidad se ve generalmente como una relación precisa: la
misma causa provoca siempre el mismo efecto. Pero en el mundo cotidiano, los
enlaces entre causa y efecto son frecuentemente imprecisos o imperfectos por
naturaleza. Para considerar la causalidad desde un punto de vista
computacional, se requiere la obtención de modelos causales imprecisos. Por
esto es necesario considerar la utilización de técnicas, dentro de estas se
tienen las Redes Bayesianas (RB) y los Mapas Cognitivos Difusos (MCD)
(Leyva, et al., 2012).
Los modelos más utilizados a nivel mundial para el análisis de los riesgos, no
son capaces de modelar las dependencias entre los factores de riesgos, sin
embargo los métodos probabilísticos causales han tenido un buen auge en los
últimos años, pues han logrado representar las interdependencias entre los
riegos combinándolos de alguna forma con la opinión de expertos.
Los MCD y las RB proporcionan un análisis cuantificable en relación a los
riesgos y permiten tomar una decisión genuina de gestión de riesgos. El
enfoque de los modelos causales ayuda a identificar, comprender y cuantificar
las complejas interrelaciones, las cuales incluso aparentemente son situaciones
sencillas cuando en realidad pueden convertirse en complejas. Pueden ayudar
a dar sentido a cómo surgen los riesgos, cómo están conectados, cómo se
podrían representar para así poder lograr la mitigación.

LOS MAPAS DE RIESGOS

El mapa de riesgos es una herramienta que tiene por objeto mostrar

gráficamente el diagnóstico del proceso de evaluación de riesgos en una fecha
dada. Se determina mediante la interacción de la probabilidad o frecuencia por
el impacto de los tipos de riesgos en los diferentes procesos, actividades o
funciones de un negocio. En simultáneo, contribuye a realizar una revisión o
diagnóstico del control interno que existe para mitigar los riesgos.

En realidad ayuda mediante sucesivas diagramaciones a conocer las diversas

instancias por las que pasa una evaluación de riesgos hasta definir el
tratamiento de los riesgos.

 Inicialmente proporciona el resultado de la evaluación de riesgos por los

responsables de la gestión de riesgos.
 Contribuye a decidir los desplazamientos del resultados inicial para lograr
un nuevo nivel una vez propuesto el tratamiento de los riesgos, este último
respetando el límite de exposición al apetito al riesgo.
Refleja el mapa de riesgos definitivo en la que se definió qué nivel del
riesgo se desea aceptar, luego de decidir por asumir, prevenir, proteger o
transferir parte del riesgo.
 En auditoría el mapa de riesgos es quizá el más utilizado, pero es
necesario recordar que existen otras herramientas a ser consultadas que
proporcionan importante información para la realización de un efectivo
trabajo de auditoría basada en riesgos.
El análisis de los mapas de riesgos contribuye a:

1. Verificar que la herramienta exista y se emplea en la evaluación de riesgos,

independientemente de la decisión a que estos gráficos pueden obedecer a
diversas denominaciones y escala de frecuencia e impacto. Ejemplo,
pueden ser 3x3, 5x5, 7,x7 etc. Del mismo modo si su diseño es en físico, a
colores o uso de diversos aplicativos.
2. Su existencia contribuye a identificar la ubicación de los controles
establecidos para mitigar los riesgos, es decir conocer la brecha entre el
riesgo inherente y residual.
3. Promueve entre los auditores a una reflexión crítica para determinar si los
controles aplicados son fiables, efectivos o débiles para mitigar el tamaño
de los riesgos.
4. Contribuye a dar solidez y minimiza la desconfianza en la oportunidad de
mejora sugeridas por el auditor, al utilizar el mismo diagnóstico de los
dueños de la gestión de riesgos.
5. Un mapa de riesgos actualizado permite priorizar las revisiones del
inventario de materias auditables en la confección del plan anual de control,
en forma conjunta con otros criterios de selección.
6. Su empleo como única herramienta mejora la comunicación en entrevistas
que se haga a los responsables de los riesgos del proceso auditado.
7. Ante la ausencia de mapas de riesgos oficiales, es importante advertir las
grandes limitaciones que tendría el auditor si decide elaborar por su cuenta
estos mapas al carecer de la opinión importante de los dueños de los
procesos operativos.
Existen otras herramientas prácticas que forman parte de la evaluación de
riesgos, las mismas que deberían ser consultadas en simultáneo por los
auditores. Estas son: autoevaluación o “Risk Control Self Assessment”,
indicadores de riesgo, medidas de frecuencia y severidad, análisis de
escenarios, entre otros.

El resultado de las autoevaluaciones permite recoger de los dueños de los

procesos su percepción actualizada del estado de los riesgos y controles, así
como oportunidades de mejora inmediata.

Los indicadores de riegos se definen cómo los datos estadísticos o métricas

que permiten conocer la posición del riesgo en una entidad, sobre todo para
conocer el nivel de riesgo inherente y residual. Son generalmente cuantitativos
o pueden ser cualitativos, cuyos valores son calculados por lo general con base
en datos históricos.

Las medidas de frecuencia y severidad suelen ser registros recogidos de

incidentes históricos, mediante los cuales se puede tener una idea de la
magnitud esperada ante la materialización de un determinado riesgo. Por lo
general se grafican en escalas de niveles de frecuencia y nivel de impacto.

Finalmente, el análisis de escenarios permite conocer que tan bien se

encuentra posicionada una entidad ante posibles eventos de vulnerabilidad, por
lo general experimentados en el pasado. Estos análisis pueden ser históricos
(se recoge tendencias), paramétricos (se asume la presencia de una situación
o tipo de distribución) y Ad- Hoc (resulta de la combinación de las anteriores).
 

Es una herramienta gráfica que muestra los riesgos a los que está expuesta la
organización, identificando las áreas/actividades/activos (procesos de la
empresa) que podrían verse afectados por un suceso.
Beneficios
Identifican las amenazas/oportunidades de la organización
Miden la importancia de cada riesgo (en términos de frecuencia e intensidad)
Informan en cada momento el nivel de riesgos que asume la organización
Dan a conocer a la organización y a su entorno los riesgos que le afectan
Permiten comparar los riesgos entre sí y respecto al global de la empresa
CASO DE MAPA DE RIESGO: