ESTANDARES DE GESTIÓN DE RIESGOS

EGNA DAYANA PUMALPA

DONNY JEFREY QUILINDO
INGRI NATALIA TACUE
YEIMY LUCIA MONTILLA PAZ
 ESTÁNDAR
AUSTRALIANO
Estándar australiano de administración del riesgo AS/NZS 4360
Este Estándar fue preparado por el Comité Conjunto de Estándares Australia/
Estándares Nueva Zelanda OB-007 de Administración de Riesgos. El mismo
provee una estructura genérica para establecer el contexto, identificar, analizar,
evaluar, tratar, monitorear y comunicar los riesgos.
Este Estándar revisado incorpora la experiencia ganada a través de la aplicación
de la edición 1999, y el pensamiento actual respecto de la administración de
riesgos.
 ESTÁNDAR AUSTRALIANO
APLICACIÓN

Este estándar brinda una guía genérica para administrar el riesgo.

Puede ser aplicado aun amplio rango de actividades de cualquier empresa ya sea
publica o privada.

Especifica los elementos del proceso de administración de riesgos, es genérico e

independiente de cualquier sector o industria. Su diseño e implementación esta
influenciado por las necesidades de cada organización.

Puede aplicarse en todas las etapas de una actividad, proyecto o producto.

El máximo beneficio se obtiene aplicando el proceso de administración de riesgos
desde el principio.
 ESTÁNDAR AUSTRALIANO
Una buena administración se centra en la identificación y el tratamiento de esos
riesgos para aumentar la probabilidad de éxito y reducir la probabilidad de fracaso
como la incertidumbre de lograr los objetivos y metas generales de la organización.

La administración de riesgos puede ser aplicada a muchos niveles en una

organización. Puede ser aplicada a un nivel estratégico, tácticos y
operacionales.
Para cada etapa del proceso deberían mantenerse registros adecuados.
 ESTÁNDAR AUSTRALIANO
ELEMENTOS PRINCIPALES DEL PROCESO DE ADMINISTRACION DE
RIESGOS
 ESTÁNDAR AUSTRALIANO
DETALLES DEL PROCESO DE ADMINISTRACION DE RIESGOS
 ESTÁNDAR AUSTRALIANO
ANALISIS DEL RIESGO

El análisis de riesgo debería ser llevado a cabo a distintos niveles de detalle

dependiendo del riesgo, la información, datos y recursos disponibles.
puede ser:
• Cualitativo
• Semi-cuantitativo
• Cuantitativo
o una combinación de ellos, dependiendo de las circunstancias.
 ESTÁNDAR AUSTRALIANO
ANALISIS DE SENSIBILIDAD

Algunas de las estimaciones realizadas en el análisis del riesgo son

imprecisas, y se lleva a cabo un análisis de sensibilidad para verificar el efecto
de la incertidumbre en las suposiciones y datos.
El análisis de sensibilidad es una forma de comprobar la adecuación y efectividad
de los controles y de las opciones de tratamiento de riesgos potenciales.
 ESTÁNDAR AUSTRALIANO
EVALUACIÓN DEL RIESGO

El objetivo de la evaluación de riesgos es tomar decisiones, basadas en los

resultados del análisis de riesgo, de los riesgos que requieren tratamiento y sus
prioridades.
Los riesgos bajos o tolerables podrían ser aceptados con un tratamiento futuro
Mínimo. Deben ser monitoreados y revisados periódicamente para
asegurar que se mantienen igual.
Si los riesgos no son bajos o tolerables, deben ser tratados utilizando
una o más de las opciones consideradas en el tratamiento del riesgo.
 ESTÁNDAR AUSTRALIANO
TRATAMIENTO DEL RIESGO

Involucra identificar el rango de opciones para tratar el riesgo, evaluar esas

opciones, preparar planes de tratamiento del riesgo e implementarlos.

· Evitar el riesgo, no seguir adelante con la actividad que crea el riesgo.

· Cambiar la probabilidad de ocurrencia.
· Cambiar las consecuencias.
· Transferir el riesgo.
· Retener el riesgo.

Las opciones deberían ser evaluadas sobre la base del grado de reducción de
las
pérdidas, y el alcance de cualquier beneficio adicional u oportunidades creadas.
Pueden aplicarse una cantidad de opciones, ya sea individualmente o
combinadas.
 ESTÁNDAR AUSTRALIANO
MONITOREO Y REVISION

Es necesario monitorear la eficacia de todos los pasos del proceso de

administración de riesgos. Este es un paso importante para la mejora continua.
 ESTÁNDAR AUSTRALIANO
REGISTRAR PROCESO DE ADMINISTRACION DE RIESGOS

Debería registrarse en forma adecuada cada etapa del proceso de

administración de riesgos.
Deben registrarse las presunciones, hipótesis, métodos, fuentes de datos,
análisis, resultados y razones para las decisiones.
Los registros de tales procesos son también un aspecto importante de un buen
gobierno corporativo.
Norma Técnica Colombiana
NTC-ISO 31000
Gestión Del Riesgo
Principios Y Directrices
 ISO 31000
Todas las actividades de una organización implican riesgo. Las
organizaciones gestionan el riesgo mediante su identificación y análisis
y luego evaluando si el riesgo se debería modificar por medio del
tratamiento del riesgo con el fin de satisfacer los criterios del riesgo. A
través de este proceso, las organizaciones se comunican y consultan
con las partes involucradas, monitorean y revisan el riesgo y los
controles que lo están modificando con el fin de garantizar que no se
requiere tratamiento adicional del riesgo.
Aunque todas las organizaciones gestionan el riesgo en algún grado,
esta norma establece un número de principios que es necesario
satisfacer para hacer que la gestión del riesgo sea eficaz. Esta norma
recomienda que las organizaciones desarrollen, implementen y
mejoren continuamente un marco de referencia cuyo propósito sea
integrar el proceso para la gestión del riesgo en los procesos globales
de gobierno, estrategia y planificación, gestión, procesos de
presentación de informes, políticas, valores y cultura de la organización.
 OBJETO DE LA ISO 31000

 brinda los principios y las directrices genéricas sobre la gestión del riesgo.
 puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación,
grupo o individuo.
   esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza,
bien sea que tenga consecuencias positivas o negativas.
 Esta norma se puede aplicar durante toda la duración de una organización y a un
amplio rango de actividades, incluyendo estrategias y decisiones, operaciones,
procesos, funciones, proyectos, productos, servicios y activos.
  Aunque esta norma suministra directrices genéricas, no se pretende promover la
uniformidad de la gestión del riesgo en todas las organizaciones. 
 Se pretende que esta norma sea utilizada para armonizar los procesos de la gestión del
riesgo en las normas existentes y futuras. 
 Esta norma no está destinada para fines de certificación.
 PRINCIPIOS
Si la organización pretende una
gestión de riesgo eficaz debe cumplir
con los siguientes principios:

La gestión del riesgo crea y protege La gestión del riesgo contribuye al logro demostrable
el valor de los objetivos y a la mejora del desempeño.

La gestión del riesgo es una parte La gestión del riesgo no es una actividad
integral de todos los procesos de la independiente que se separa de las actividades y los
organización procesos principales de la organización

La gestión del riesgo es parte de la La gestión del riesgo ayuda a quienes toman las
toma de decisiones decisiones

La gestión del riesgo aborda La gestión del riesgo toma en consideración a la

explícitamente la incertidumbre incertidumbre, su naturaleza y la forma en que se
puede tratar.

Un enfoque sistemático, oportuno y estructurado

La gestión del riesgo es sistemática,
para la gestión del riesgo contribuye a la eficiencia y
estructurada y oportuna
a resultados consistentes, comparables y confiables.
 PRINCIPIOS

La gestión del riesgo se las entradas se basan en fuentes de información como datos
basa en la mejor históricos, experiencia, retroalimentación de las partes
información disponible involucradas, observación, previsiones y examen de expertos.

La gestión del riesgo está La gestión del riesgo se alinea del contexto externo e interno y
adaptada del perfil de riesgo de la organización.

La gestión del riesgo toma en La gestión del riesgo reconoce las capacidades,
consideración los factores percepciones e intenciones de individuos externos e
humanos y culturales internos

La gestión del riesgo es intervención de las partes involucradas en todos los niveles
transparente e inclusiva de la organización garantiza que la gestión del riesgo siga
siendo pertinente y se actualice
La gestión del riesgo es
dinámica, reiterativa y gestión del riesgo siente y responde continuamente al
receptiva al cambio cambio
La gestión del riesgo deberían desarrollar e implementar estrategias para
facilita la mejora continua mejorar la madurez de su gestión de riesgos junto con
de la organización todos los otros aspectos de su organización
 MARCO DE REFERENCIA

* El éxito de la gestión del riesgo dependerá de la eficacia del

marco de referencia para la gestión.
* El marco ayuda a la gestión eficaz del riesgo a través de la
aplicación del proceso para la gestión del riesgo en los diversos
niveles y en contextos específicos de la organización.
* El marco garantiza que la información acerca del riesgo
derivada del proceso para la gestión del riesgo se reporte de
manera adecuada y se utilice como base para la toma de
decisiones y la rendición de cuentas en todos los niveles
pertinentes de la organización.
 DIRECCIÓN Y COMPROMISO

La introducción de la gestión del riesgo, y garantizar su

eficacia, requiere de compromiso por parte de la dirección de
la organización y debe:
 * definir y aprobar la política.
* garantizar alineación.
 * determinar indicadores.
* alinear los objetivos.
* garantizar la conformidad legal y reglamentaria.
* asignar obligaciones y responsabilidades.
 * garantizar que se asignan los recursos.
 * comunicar los beneficios.
 * garantizar que el marco de referencia es adecuado.
 DISEÑO DEL MARCO DE REFERENCIA
PARA LA GESTIÓN DEL RIESGO

1. Entender a la organización y su contexto.

2. Establecer la política para la gestión del
riesgo.
3. Rendición de cuentas.
4. Integración en los procesos de la
organización.
5. Recursos.
6. Establecer mecanismos para la
comunicación interna y la presentación de
informes.
7. Establecer mecanismos para la
comunicación externa y la presentación de
informes.
IMPLEMENTAR LA GESTIÓN DEL RIESGO

• Implementar el marco de referencia para gestionar el riesgo

• Implementar el proceso para la gestión del riesgo

MONITOREAR Y REVISAR EL MARCO DE REFERENCIA

MEJORA CONTINUA DEL MARCO DE REFERENCIA

 PROCESO
El proceso para la gestión del riesgo debe: ser parte integral de la gestión,
estar incluido en la cultura y prácticas, y adaptado a los procesos de
negocio de la organización; el proceso comprende:
COMUNICACIÓN Y CONSULTA
La comunicación y la consulta con las partes involucradas son importantes
dado que ellas dan sus opiniones acerca del riesgo con base en sus
percepciones de éste. Estas percepciones pueden variar debido a las
diferencias en los valores, las necesidades, las asunciones, los conceptos y
los intereses de las partes involucradas.
ESTABLECIMIENTO DEL CONTEXTO
* Establecer el contexto externo
* Establecer el contexto interno
* Establecer el contexto del proceso para la gestión del riesgo
* Definir los criterios del riesgo
 ESTABLECIMIENTO DEL
CONTEXTO
Al establecer el contexto, la organización articula sus objetivos, define los
parámetros externos e internos que se van a considerar al gestionar el riesgo y
establece el alcance y los criterios del riesgo para el resto del proceso.
* Establecer el contexto externo: es importante con el fin de garantizar que los
objetivos y las preocupaciones de las partes involucradas externas se toman en
consideración al desarrollar los criterios del riesgo.
* Establecer el contexto interno: es todo aquello dentro de la organización que
pueda tener influencia en la forma en que la organización gestionará el riesgo.

* Establecer el contexto del proceso para la gestión del riesgo: establecer objetivos,
estrategias, alcance y los parámetros de las actividades de la organización, o de
aquellas partes de la organización en donde se aplica el proceso para la gestión del
riesgo.
* Definir los criterios del riesgo: Los criterios deberían reflejar los valores, objetivos
y recursos de la organización
 VALORACIÓN DEL
RIESGO
La valoración del riesgo es el proceso total de identificación del
riesgo, análisis del riesgo y evaluación del riesgo.
Identificación del riesgo: identificar las fuentes de riesgo, las
áreas de impacto, los eventos, sus causas y consecuencias
potenciales.
Análisis del riesgo: entrada para la evaluación del riesgo y para
las decisiones sobre si es necesario o no tratar los riesgos y
sobre las estrategias y métodos más adecuados para su
tratamiento.
Evaluación del riesgo: facilitar la toma de decisiones, basada en
los resultados de análisis, a acerca de cuáles riesgos necesitan
tratamiento y la prioridad para la implementación del
tratamiento.
 TRATAMIENTO DEL
RIESGO
involucra la selección de una o más opciones para modificar los
riesgos y la implementación de opciones.
El tratamiento del riesgo implica un proceso cíclico de:
* valoración del tratamiento del riesgo
 * decisión sobre si los niveles de riesgo residual son tolerables
* si no son tolerables, generación de un nuevo tratamiento para el
riesgo.
 * valoración de la eficacia de dicho tratamiento.
 TRATAMIENTO DEL RIESGO

Selección de las opciones para el tratamiento del riesgo:

La selección de las opciones más adecuadas para el
tratamiento del riesgo implica equilibrar los costos y los
esfuerzos de la implementación frente a los beneficios
derivados con respecto a los requisitos legales,
reglamentarios y otros
Preparación e implementación de los planes para el
tratamiento del riesgo: El propósito de los planes para el
tratamiento del riesgo es documentar la forma en que se
van a implementar las opciones de tratamiento
seleccionadas.
 MONITOREO Y REVISIÓN

 Tanto el monitoreo como la reedición deben ser planes del proceso

para la gestión del riesgo e incluir verificación o vigilancia regulares.
Pueden ser periódicos o según convenga.
 Las responsabilidades del monitoreo y la revisión deben estar
claramente definidas.
 Los procesos de monitoreo y revisión de la organización deben
comprender todos los aspectos del proceso para la gestión del riesgo
 REGISTRO DEL PROCESO PARA
LA GESTIÓN DEL RIESGO
Las actividades para la gestión del riesgo deben tener trazabilidad; los
registros brindan la base para la mejora de los métodos y las herramientas, así
como del proceso global.
En las decisiones con respecto a la creación de registros se debe tener en
cuenta:
* las necesidades de la organización con respecto al aprendizaje continuo.
* los beneficios de reutilizar la información con propósitos de gestión.
* los costos y esfuerzos involucrados en la creación y el mantenimiento de los
registros.
* las necesidades legales, reglamentarias y operativas para los registros.
* los métodos de acceso, la facilidad de recuperación y los medios de
almacenamiento.
 * el periodo de retención.
*  la sensibilidad de la información.
 BASILEA

El Comité de Basilea o Comité de Supervisión Bancaria de Basilea es una

entidad que brinda orientación a nivel mundial en materia de regulación financiera.
Sus recomendaciones, plasmadas en los Acuerdos de Basilea, no son de
obligatorio acatamiento.
 BASILEA

La historia del Comité de Basilea comienza en 1974. Fue creado por los
gobernadores de los bancos centrales de los países que formaban el G 10 en ese
momento. Actualmente, participan representantes de las autoridades monetarias
de Bélgica, Canadá, Francia, Alemania, Italia, Japón, Luxemburgo, Países Bajos,
España, Suecia, Suiza, Reino Unido y EE.UU.
 OBJETIVO DE
BASILEA?

El Comité de Basilea es fortalecer en general los sistemas bancarios. Para

alcanzar esa meta, se fomentan normas respecto a diversos temas
como blanqueo de capitales, buen gobierno corporativo, manejo del riesgo
crediticio, control interno, entre otros.
 PROPOSITOS
• Definir un marco general de exigencia de recursos propios de las entidades
bancarias en función de los riesgos asumidos.

•Promover la seguridad y solvencia del sistema financiero global, evitando crisis

financieras.

•Emitir el marco normativo prudencial y las mejores practicas bancarias a nivel

internacional.

•Mitigar el riesgo de manera integral, tanto el riesgo de crédito, de mercado,

operativo y de liquidez.

•Articular un sistema que asegure un marco de actuación para las instituciones

financieras globales, que se fortalezca el Control Interno en las instituciones.

•La revisión periódica y actualización de la normativa, de acuerdo a las exigencias

de nuestro tiempo.
 BASILEA l

 Basilea I fue adoptado por casi todas las naciones con un sistema
financiero activo internacionalmente. Es decir, no ha sido aceptado únicamente
por los miembros del comité.
 BASILEA ll

Basilea II del 2004 se constituyeron otras disposiciones. Entre ellas destaca el

llamado a los bancos a preocuparse por su solvencia y la disciplina del mercado.
Esto último quiere decir que las entidades financieras deben ser transparentes al
informar sobre el nivel de riesgo de sus operaciones.
 BASILEA lll

Basilea III fue publicado en el 2010 su aspecto más relevante es el control

de riesgo sistémico en ese sentido, se refiere a la preservación constante
de reservas, tanto en recesión como en expansión económica.
 COSO I

En 1992 la comisión publicó el primer

informe Internal Control COSO I con el
objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de
control interno, facilitando un modelo
en base al cual pudieran valorar sus
sistemas de control interno y generando
una definición común de la misma
teniendo en cuenta que ha sido de gran
aceptación desde su primera
publicación
 COSO I
es una metodología para la implementación y la
gestión de un sistema de control interno. Con base en
el COSO, las entidades pueden diseñar sus propios
sistemas de control interno, mediante la identificación
de los riesgos que afectan el cumplimiento de los
objetivos del control interno, la implementación de
medidas para afrontar esos riesgos y la evaluación del
cumplimiento de esas medidas.

Proporcionar liderazgo intelectual a través del

desarrollo de marcos generales y orientaciones
sobre la Gestión del Riesgo, Control Interno y
Disuasión del Fraude, diseñado para mejorar el
desempeño organizacional y reducir el alcance del
fraude en las organizaciones.
 COMPONENTES Y PRINCIPIOS DEL COSO I

El COSO está integrado por cinco componentes:

• Ambiente de control.

• Evaluación de riesgos.

• Actividades de control.

• Información y comunicación.

• Actividades de monitoreo.
 COSO II
en 2004 se publica coso nosotros lo conocemos como marco integrado de riesgos, el que
extendió el concepto de control interno de coso I a la gestión de riesgos en la que se
implica a la totalidad de la plantilla de la entidad.

PASAMOS A TENER DE 5 COMPONENTES EN COSO I, A 8 EN COSO II, SIENDO LOS

SIGUIENTES:

1. Ambiente de control
2. Establecimiento de objetivos
3. Identificación de eventos
4. Evaluación de Riesgos.
5. Respuesta a los Riesgos.
6. Actividades de control.
7. Información y comunicación
8. Supervisión.
 COSO II

 
En este ámbito, el modelo clasifica en los
objetivos de toda entidad

• Objetivos estratégicos.

• Objetivos operativos

• Objetivos relativos a la información

suministrada a terceros.

• Objetivos relativos al cumplimiento

regulatorio
 EJEMPLOS DE LA IMPLEMENTACIÓN DEL
MARCO COSO

En temas de Ambiente de Control, el definir e

implementar el Código de Ética, apoyados de un
Buzón de Denuncia ayuda a identificar los
esquemas de fraude que se materializan en la
empresa.

• Mejora de los procesos de la Compañía a través

del establecimiento de controles, a nivel de
automatización, alineación con los riesgos del
negocio, y con el cumplimiento de objetivos.

• Cambios en la Función de Auditoría Interna

alineada a los riesgos de negocio críticos,
asegurando el cumplimiento y apego de políticas,
así como las actividades de control claves
definidos en cada componente.
 Relación entre Componentes y
Principios

De los cinco componentes de

Control Interno que establece COSO,
se deberán considerar los 17
principios que representan los
conceptos fundamentales
relacionados con los componentes
para el establecimiento de un
efectivo Sistema de Control Interno.
 HAMBIENTE DE CONTROL

1. integridad y valores éticos

2. ejerce una supervisión del desarrollo y el

rendimiento

3. estructuras, líneas de reporte y las autoridades y

responsabilidades

4. compromiso a atraer, desarrollar y retener

personas

5. retiene individuos comprometidos

 Evaluación de Riesgos

6. identificación y valoración de los

riesgos

7. Identifica y analiza los riesgos

8. considera la posibilidad de fraude

9. identifica y evalúa cambios

 ACTIVIDADES DE CONTROL

10. actividades de control que contribuyen

a la mitigación de riesgos

11. actividades de control generales sobre

la tecnología

12. despliega actividades de control a

través de políticas y procedimientos
 INFORMACION Y COMUNICACIÓN

13. información relevante y de

calidad

14. comunica información

internamente

15. comunica con grupos externos

 ACTIVIDADES DE MONITOREO

16. selecciona, desarrolla, y realiza evaluaciones

17. evalúa y comunica deficiencias de control interno

Estructura Integrada de Control
Interno.
 COSO III

COSO III es un documento que contiene las

principales directrices para la implementación
y gestión de un sistema de control interno, el cual
ha tenido gran aceptación desde su publicación
en 1992, y se ha convertido en el estándar de
referencia en todo lo relacionado al control
interno.

Luego de más de 20 años, en 2013, se publicó la

actualización del Marco Original, que dio como
resultado COSO III, desde diciembre 2014 derogó a
COSO I facilita la evaluación del diseño
e implementación de los controles establecidos en
las organizaciones para mitigar riesgos.
COMPONENTES Y PRINCIPIOS DE
COSO III
 BIBLIOGRAFÍA

Comité de Supervisión Bancaria de Basilea. “Convergencia Internacional de

Medidas y Normas de Capital”. Basilea, 2006. recuperado de: https
://www.google.com/url?sa=t&source=web&rct=j&url=https://
www.cmfchile.cl/portal/principal/613/articles-27227_doc_pdf.pdf&ved=2ahUKEwiMtKPQ
m9ryAhW8RTABHbNDDiAQFnoECDAQAQ&usg=AOvVaw1X9E4iwj_qFovjhU5rZ_Z
Análisis económico. El ABC de la regulación bancaria 2012. recuperado de: https://
www.redalyc.org/pdf/413/41324545006.pdf
Aplicación del estándar australiano de administración del riesgo AS/NZS 4360:1999 en la
empresa GECELCA. Recuperado de: https://www.redalyc.org/pdf/646/64612241006.pdf
Administración de riesgo; Estándar australiano – neo zelandés. Recuperado de:
https://docplayer.es/16068883-Estandar-australiano-neo-zelandes.html
metodología coso para evaluación de riesgos y controles universidad libre seccional
Pereira pagina 22 - 48 Recuperado de:
https://repository.unilibre.edu.co/bitstream/handle/10901/18516/APLICAR
%20METODOLOG%C3%8DA%20COSO%20PARA%20EVALUACI%C3%93N%20DE
%20RIESGOS_unlocked.pdf?sequence=1&isAllowed=y
 BIBLIOGRAFÍA

fortalecimiento del sistema de control interno enfoque coso universidad EAN pagina 43 – 69.
Recuperado de: https
://repository.ean.edu.co/bitstream/handle/10882/9837/RodriguezJavier2020.pdf?sequence=1
aplicación de la metodología coso I para el diseño de un sistema de control interno
pagina 8 – 17 recuperado de:
https://bibliotecadigital.univalle.edu.co/bitstream/handle/10893/12483/0586420.pdf;jsessionid
=31E2A941CC4D3F0BD52F4B3465F19D45?sequence=1

NTC ISO 31000, Gestión de Riesgo. Principios y Directrices, 2011; pág. 1- 26. recuperado de:
http://
simudatsalud-risaralda.co/normatividad_inv9/normas_tecnicas/NTC-ISO31000_Gestion_del_rie
sgo.pdf
NTC ISO 31010, Gestión de Riesgo. Técnicas de Valoración del Riesgo, 2013; pág. 1- 103.
recuperado de: https://
www.umng.edu.co/documents/20127/517101/ISO+31010.pdf/162891f7-4591-2486-12e4-90b9
ecb2017c?t=1575487373025
Norma ISO 31000, El Valor de la Gestión de riesgos en las organizaciones; pág. 1-24. recuperado
de: https://www.isotools.org/pdfs-pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf