Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf

7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf

1/35

Actividades de Control


2/35

Actividades de Control

Las actividades de control son las polticas y procedimientos

que ayudan a asegurar que se llevan a cabo las respuestas

de la direccin a los riesgos.

Las actividades de control tienen lugar a travs de laorganizacin, a todos los niveles y en todas las funciones.

Incluyen una gama de actividades tan diversas como

aprobaciones, autorizaciones, verificaciones, conciliaciones,

revisiones del funcionamiento operativo, seguridad de losactivos y segregacin de funciones.


3/35


4/35

Integracin con la Respuesta al Riesgo

Despus de haber seleccionado las respuestas al riesgo, la

direccin debe identificar las actividades de control

necesarias para que se lleven a cabo adecuada y

oportunamente

Las respuestas al riesgo sirven como puntos bsicos para

establecer las actividades de control

Debe existir un vnculo entre objetivos, respuestas a los

riesgos y actividades de control

En este sentido, las actividades de control estn integradas

directamente en el proceso de gestin


5/35

Tipos de Actividades de Control

Revisiones a Alto Nivel

Gestin Directa de Funciones o Actividades

Procesamiento de la Informacin Controles Fsicos

Indicadores de Rendimiento

Segregacin de Funciones


6/35

Polticas y Procedimientos

Las actividades de control implican dos componentes:

una poltica que establece lo que debe hacerse y

procedimientos para llevarla a cabo.

Por ejemplo, una poltica podra exigir la revisin de las

actividades de contratacin de clientes por parte de un

director de oficina de una entidad.

El procedimiento constituye dicha revisin en s misma,realizada de manera oportuna y con atencin a los factores

establecidos en la poltica.


7/35

Controles sobre los Sistemas de Informacin

Pueden usarse dos amplios grupos de actividades de control de

los sistemas de informacin.

El primero lo forman los controles generales, que se aplican a

muchos de esos sistemas, si no a todos, y ayudan a asegurar que

siguen funcionando continua y adecuadamente.

El segundo son los controles de aplicacin, que incluyen fases

informatizadas dentro del software para controlar el proceso.

Ambos tipos de controles, combinados con controles manuales deproceso cuando sea necesario, operan juntos para asegurar la

integridad, exactitud y validez de la informacin.


8/35

Controles Generales

Gestin de Tecnologas de Informacin

Infraestructuras de la Tecnologa de Informacin Gestin de la seguridad

Adquisicin, desarrollo y mantenimiento de software


9/35

Controles de Aplicacin

Equilibrar las Actividades de Control

Dgitos de Control Listados predefinidos de datos

Pruebas de razonabilidad de datos

Pruebas lgicas


10/35

Aspectos Especficos

Debido a que cada entidad tiene su propio conjunto de objetivos y

enfoques de implantacin, existirn diferencias en las respuestas al

riesgo y las actividades de control relacionadas.

Incluso cuando dos entidades tuvieran objetivos idnticos y tomasen

decisiones similares respecto a cmo alcanzarlos, las actividades decontrol probablemente seran distintas.

Cada entidad est gestionada por personas diferentes que tienen

criterios individuales diferentes en la aplicacin de controles. Es ms, los

controles reflejan el entorno y sector en que opera una entidad, as como

su dimensin y complejidad de organizacin, la naturaleza y alcance de

sus actividades y sus antecedentes y cultura.


11/35

Informacin y Comunicacin


12/35

Informacin y Comunicacin

La informacin pertinente se identifica, capta y comunica deuna forma y en un marco de tiempo que permiten a laspersonas llevar a cabo sus responsabilidades

Los sistemas de informacin usan datos generados

internamente y otras entradas de fuentes externas y sussalidas informativas facilitan la gestin de riesgos y la toma dedecisiones informadas relativas a los objetivos

Tambin existe una comunicacin eficaz fluyendo en todasdirecciones dentro de la organizacin.

Todo el personal recibe un mensaje claro desde la altadireccin de que deben considerar seriamente lasresponsabilidades de gestin de los riesgos corporativos.


13/35

Las personas entienden su papel en dicha gestin y cmo las

actividades individuales se relacionan con el trabajo de los

dems

Asimismo, deben tener unos medios para comunicar haciaarriba la informacin significativa

Tambin debe haber una comunicacin eficaz con terceros,

tales como los clientes, proveedores, reguladores y

accionistas


14/35


15/35

Informacin

La informacin se necesita a todos los niveles de laorganizacin para identificar, evaluar y responder a losriesgos y por otra parte dirigir la entidad y conseguir susobjetivos

La informacin operativa de fuentes internas y externas, tantofinanciera como no financiera, es relevante para mltiplesobjetivos de negocio

La informacin financiera, por ejemplo, se usa para elaborar

los estados financieros con fines de informacin y tambinpara tomar decisiones operativas, tales como la supervisindel funcionamiento y la asignacin de recursos


16/35

De la Informacin al Conocimiento

La informacin procede de muchas fuentes internas y

externas, de forma cuantitativa y cualitativay facilita

respuestas a las condiciones cambiantes.

Un reto para la direccin es cmo procesar y depurar grandesvolmenes de datos para convertirlos en informacin

manejable y se enfrenta a l estableciendo una

infraestructura de sistemas de informacin para buscar,

captar, procesar, analizar y comunicar la informacin

relevante.


17/35

Sistemas Estratgicos e Integrados

Como las empresas se han hecho ms colaboradoras con losclientes, proveedores y socios de negocio y se integran mscon ellos, la divisin entre los sistemas de informacin de unaentidad y la de los terceros es cada vez ms tnue.

Como resultado, el procesamiento y la gestin de datos amenudo llega a ser una responsabilidad compartida demltiples entidades.

En tales casos, la arquitectura de los sistemas de informacin

de una organizacin debe ser suficientemente flexible y gilcomo para integrarse eficazmente con los tercerosvinculados.


18/35

Integracin con las Operaciones

Los sistemas de informacin a menudo estn totalmente integrados en la

mayora de los aspectos de las operaciones.

Los sistemas de Internet o basados en la red son frecuentes y muchas

empresas tienen sistemas de informacin para toda la entidad, tales

como la planificacin corporativa de recursos

Estas aplicaciones facilitan el acceso a informacin previamente

enmarcada en silos funcionales o departamentales, hacindola as

disponible para un uso amplio de la direccin

Las transacciones se registran y siguen en tiempo real, permitiendo a losdirectivos acceder inmediatamente a informacin financiera y operativa

de forma ms eficaz para controlar las actividades del negocio


19/35

Profundidad y Oportunidad de la Informacin

La infraestructura de la informacin busca y capta datosdentro de un marco de tiempo y con una profundidadconsecuentes con la necesidad de la entidad de identificar,evaluar y responder al riesgo y permanecer dentro de las

tolerancias a l La oportunidad del flujo de informacin necesita ser

coherente con el ritmo de cambio de los mbitos externo einterno de la entidad

La importancia de la profundidad de los datos se ilustra siobservamos diferentes eventos que afectan a una agencia devalores ubicada en una ciudad propensa a las inundaciones


20/35

Calidad de la Informacin

La calidad de la informacin incluye averiguar si:

Su contenido es adecuado Est al nivel correcto de

detalle?

Es oportuna

Est disponible cuando se necesita ydentro de un plazo adecuado?

Est actualizada Es la ltima informacin disponible?

Es exacta

Sus datos son correctos? Est accesible Las personas que la necesitan pueden

obtenerla fcilmente?


21/35

Comunicacin

La comunicacin es inherente a los sistemas de informacin.

Como ya se ha comentado antes, estos sistemas deben

proporcionar informacin al personal adecuado, para que

pueda llevar a cabo sus responsabilidades operativas, deinformacin y de cumplimiento.

Pero la comunicacin tambin debe tener lugar en un sentido

ms amplio, abordando las expectativas, las

responsabilidades de los individuos y grupos y otros temasimportantes.


22/35

Comunicacin Interna

La comunicacin debe expresar eficazmente:

La importancia y relevancia de una gestin eficaz de

riesgos de la organizacin

Los objetivos de la entidad

El riesgo aceptado y las tolerancias al riesgo de la entidad

Un lenguaje comn de riesgos

Los papeles y responsabilidades del personal aldesarrollar y apoyar los componentes de la gestin de

riesgos de la organizacin


23/35

Comunicacin Externa

Existe la necesidad de una comunicacin adecuada no slo

dentro de la entidad, sino tambin con el mundo exterior

Con canales de comunicacin externos abiertos, los clientes

y proveedores pueden proporcionar inputs muy significativossobre el diseo o la calidad de los productos o servicios,

permitiendo a la empresa tratar las demandas o preferencias

del cliente en evolucin

Por ejemplo, las quejas y reclamaciones presentadas por losclientes o proveedores sealan problemas operativos y

posiblemente prcticas fraudulentas o inadecuadas


24/35

Medios de Comunicacin

La comunicacin puede tomar formas tales como un manual de

polticas, escritos internos, correos electrnicos, novedades en los

tablones de anuncios, mensajes en la web y de vdeo

Cuando los mensajes se transmiten verbalmente en grandes

grupos, reuniones reducidas o entrevistas personales

el tono de

voz y el lenguaje corporal ponen nfasis a lo que se dice

La manera como la direccin trata al personal puede comunicar un

mensaje potente

Los directivos deberan recordar que sus acciones hablan ms

fuerte que sus palabras


25/35

Monitoreo / Supervisin


26/35

Monitoreo / Supervisin

La gestin de riesgos corporativos se supervisa revisando

la presencia y funcionamiento de sus componentes a lo largo

del tiempo, lo que se lleva a cabo mediante actividades

permanentes de supervisin, evaluaciones independientes o

una combinacin de ambas tcnicas.

Durante el transcurso normal de las actividades de gestin,

tiene lugar una supervisin permanente.

El alcance y frecuencia de las evaluaciones independientesdepender fundamentalmente de la evaluacin de riesgos y

la eficacia de los procedimientos de supervisin permanente.


27/35


28/35

Actividades de Supervisin Permanente

Muchas actividades sirven para seguir la eficacia de la

gestin de riesgos durante el transcurso normal de la

organizacin

Se derivan de las actividades de gestin, que podran implicarcomparaciones de informacin de fuentes diferentes y el

anlisis y tratamiento de acontecimientos inesperados

Son los jefes de lnea o funcin de apoyo quienes llevan a

cabo las actividades de supervisin y dan meditadaconsideracin a las implicaciones de la informacin que

reciben


29/35

Evaluaciones independientes

Los procedimientos de supervisin permanente normalmente

proporcionan una retroalimentacin importante sobre la

eficacia de otros componentes de la gestin de riesgos

Resulta provechoso echar un nuevo vistazo de vez encuando, centrndose directamente sobre la eficacia de dicha

gestin

Esto proporciona una oportunidad de tener en cuenta la

eficacia continuada de los procedimientos de supervisinpermanente


30/35

Alcance y Frecuencia

Las evaluaciones de la gestin de riesgos varan en alcance y

frecuencia segn la significatividad de los riesgos y la

importancia de las respuestas a ellos, as como los

correspondientes controles disponibles para gestionarlos

Las reas de riesgo de alta prioridad y sus respuestas

tienden a evaluarse ms a menudo

El alcance de la evaluacin tambin depender de qu

categoras de objetivos

estratgicos, operativos, deinformacin y de cumplimiento- van a tenerse en cuenta


31/35

Quin evala?

A menudo, las evaluaciones tienen la forma de

autoevaluaciones, en las que los responsables de una

determinada unidad o funcin establecen la eficacia de la

gestin de riesgos corporativos en sus actividades.

Los directores de lnea se centran en los objetivos operativos

y de cumplimiento y el controller de la divisin afronta los

objetivos de informacin.

A continuacin, la alta direccin considera las evaluacionesde la divisin, junto con las de otras divisiones de la empresa.


32/35

Proceso de Evaluacin

La evaluacin de la gestin de riesgos corporativos constituye

un proceso en s misma

Aunque los enfoques o tcnicas varan, hay que aportar al

proceso una disciplina, con fundamentos inherentes a ella El evaluador debe entender cada actividad de la entidad y

cada componente de la gestin de riesgos corporativos a

abordar

Puede resultar til centrarse primero en cmo la gestin deriesgos corporativos funciona de manera significativa a veces,

esto se denomina diseo del sistema o proceso


33/35

Metodologa

Se dispone de una variedad de metodologas y herramientasde evaluacin, incluyendo listas de comprobacin,cuestionarios, cuadros de mando y tcnicas de diagramas deflujo.

Como parte de su metodologa de evaluacin, algunasempresas comparan su proceso de gestin de riesgoscorporativos con el de otras empresas con buena reputacinen este terreno, que pueden facilitar informacin comparativa.

Las comparaciones pueden realizarse directamente o bajo el

control de asociaciones o sectoriales y, as, las funciones derevisin cercana de algunos sectores pueden ayudar a unaentidad a evaluar su gestin de riesgos respecto a susiguales.


34/35

Documentacin

El alcance de la documentacin sobre gestin de riesgos

corporativos de una entidad vara con su dimensin,

complejidad y factores similares.

Las organizaciones ms grandes normalmente disponen demanuales escritos de polticas, organigramas formales,

descripciones escritas de las funciones del personal,

instrucciones operativas y diagramas de flujo de los sistemas

de informacin.

Las entidades ms pequeas habitualmente tienen un

volumen considerablemente menor de documentacin.


35/35

Informacin de Deficiencias

Las deficiencias en la gestin de riesgos corporativos de una

entidad pueden proceder de muchas fuentes, incluyendo los

procedimientos de supervisin permanente de la entidad, las

evaluaciones independientes e informacin de terceros.

Una deficiencia es una situacin dentro de la gestin de

riesgos corporativos que merece atencin y que puede

representar una debilidad percibida, potencial o real, o una

oportunidad para fortalecer la gestin de riesgos corporativos

y aumentar la probabilidad de que se logren los objetivos de

la entidad.

Documents

Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf