Evaluación De Riesgos - Deloitte
COSOEvaluación de RiesgosEnterprise Risk ServicesNoviembre, 2015
Principios RelacionadosComponenteContenidoEvaluación de Riesgos1.Especifica objetivos para la identificación yvaloración de los riesgos relacionados a dichosobjetivos2.Analiza los riesgos para determinar cómodeben de administrarse3.Considera la posibilidad de fraude en laevaluación de riesgos4.Identifica y evalúa cambios que puedenimpactar significativamente la gestión deriesgos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Qué es el Riesgo?Objetivos de una compañía Los objetivos de una compañía son proteger el valor de sus activosexistentes y crear nuevos activos/valor para el futuro. Valor para la compañía es el valor integrado para los stakeholders en sutotalidad (internos y externos).Riesgo Riesgo es el impacto y la probabilidad de que una amenaza (o de unaserie de eventos/ amenazas) puedan afectar de manera adversa laconsecución de los objetivos. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Tomar riesgos es bueno o es malo?Riesgos Norecompensados(pérdida de valor) Dos líneas de pensamiento El tomar riesgos es malo y es necesario evitarlo.Riesgosrecompensados(creación de valor) El tomar riesgos es bueno dentro de un marco/ contexto donde el riesgo sea bienadministrado. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
El tomar riesgos es malo y es necesario evitarlo(Preservación del Valor) El mercado castiga severamente el fallar en la preservación de los activos existentes(sin premio / el riesgo es malo) Bottom-up y foco en las operaciones, reporte y cumplimiento. La gran mayoría de los esfuerzos para administrar el riesgo se enfocan en los activosactuales y se realizan aisladamente. El manejo tradicional del riesgo es probabilístico – habitualmente no se trata el riesgoen los extremos. Riesgo sin retribución, por ejemplo: no es atractivo el tomar riesgo cuando secompara con la desventaja que implican las pérdidas en las que se puede incurrir. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
El tomar riesgos es bueno(Creación de Valor) El mercado premia la habilidad de crear y sustentar el crecimiento futuro (algunosriesgos valen la pena / son buenos) Sin riesgo, no hay retribución. Esta es la base del capitalismo, por ejemplo: Realizarinversiones riesgosas y obtener buenos rendimientos de ellas. Mejor entendimiento de lo ventajoso de las grandes inversiones y sus riesgos parallegar al éxito y como superarlos. La dirección se enfoca en riesgos críticos para la estrategia de la empresa y suejecución. La toma de riesgos tiene retribuciones, por ejemplo: las compañías reciben premiospor tomar y administrar eficazmente los riesgos asociados con nuevos productos,nuevos mercados, nuevos modelos de negocios, alianzas, adquisiciones, etc. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
1. Especifica objetivospara la identificación yvaloración de losriesgos relacionados adichos objetivos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Asociando riesgos a los objetivos y creadores devalorUn programa de administración integral de riesgos provee un proceso para la identificación, valoracióny respuesta de riesgos que impactan el cumplimiento de los objetivos e iniciativas estratégicas de laCompañía.La asociación entre crecimiento, riesgos y retorno ha sido identificado como el beneficio número 1 quelas compañías esperan de un programa de administración de riesgosCreación de valorGeneradores devalorGeneración de ingresosControl de costosAdministración decapitalManejo deexpectativasObjetivosRiesgosPrioritariosRiesgos estratégicos, operacionales, de cumplimiento y de procesosOcasionados por la estrategia, la gente, los procesos, sistemas y factores externosProceso de administración de riesgos utilizado para identificar, escalar, evaluar, priorizar,responder, monitorear y reportar riesgos que impactan el cumplimiento de los objetivos deuna Compañía 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Análisis de la estrategia1. Riesgo a la estrategia: ¿Qué tiene que salir bien para que una estrategia seaexitosa?- ¿En qué supuestos se basa la estrategia?- ¿Qué podría impedir que la estrategia sea exitosa?2. Riesgo de la estrategia: ¿Qué impacto podría tener esta estrategia en nuestronegocio y en otras iniciativas?- Consecuencias de la ejecución de la estrategia 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Estrategia de Administración de RiesgosVinculación del Riesgo con los objetivos y la estrategiaCrecimientode IngresoIniciativaEstratégica #1RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)IniciativaEstratégica #2RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)Estrategia de Administración de RiesgoValor paralosAccionistasMargen deOperaciónIniciativaEstratégica #3RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)IniciativaEstratégica #4RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)Estrategia de Administración de RiesgoEficienciasde losActivos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.IniciativaEstratégica #5RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)IniciativaEstratégica #6RiesgosPotencialesIndicadoresclaves deRiesgos (KRIs)
Categorías de RiesgosLas cuatro categorías más relevantes desde laperspectiva de un inversionista son:1.Riesgos estratégicos – riesgos tanto para losobjetivos estratégicos como de los objetivosestratégicos. La alta gerencia (C-suite) identificalos riesgos más importantes a través del procesode planificación y obtiene aprobación de la Junta.VigilanciaTono desde laDirección2.Riesgos Operativos – grandes riesgos queafectan la habilidad de la organización para lograrel plan estratégico.EstratégicoInfraestructura Común deRiesgo3.Riesgos Financieros – incluyen informaciónfinanciera, valoración, cobertura, riesgos demercado y liquidez y riesgos de crédito eninstituciones financieras.4.Riesgos de Cumplimiento – riesgos nocompensados, generalmente el foco principalpara las actividades de gestión de riesgoempresarial 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.GenteProcesosTecnologíaFinancieros Operativos CumplimientoProceso de sgosResponder alosriesgosDiseñar,implementar yprobarcontrolesSupervisar,asegurar yescalarClasificación de RiesgosGobiernoEstrategia yPlaneaciónOperaciones eInfraestructuraCumplimientoReportefinanciero
Administración del Riesgo basado en ValorValor para laCompañíaLa Administración es responsablepor crear y preservar valor en laCompañíaRiesgos de laCompañíaGobiernoCrecimientode GananciasEstrategiaMargenOperativo1. ¿Cómo la compañía puede fallar enalcanzar sus objetivos de valor ?Capital2. ¿Qué puede causar dicha falla?Eficiencia deactivosExpectativas3. ¿Cuáles serían los efectos de la falla?4. ¿Qué se está haciendo actualmentepara prevenir, detectar, corregir oescalar dicha falla?5. ¿Cuál es nuestra vulnerabilidada dicha falla? 2015 Galaz, Yamazaki, Ruiz Urquiza, e)FactoresExternos
El Rol de la Alta DirecciónEl Consejo de Administración está involucrado en el ejercicio de supervisión delControl Interno para cada uno de los cinco componentes de COSO; en cuanto a laEvaluación de Riesgos a continuación se señalan las actividades realizadas:Componente de ControlInternoActividades de supervisión de la JuntaAmbiente de ControlSupervisar la definición y aplicación de los estándares de conducta de laorganización.Evaluación del RiesgoDesafiar a las Gerencias en la Evaluación de Riesgos para el logrode objetivos, incluyendo el impacto potencial de cambios significativos(ejemplo: el Riesgo de entrar en un mercado nuevo), fraude ocorrupción.Actividades de ControlSupervisar a las Gerencias en su desempeño de actividades.Información y ComunicaciónObtener, revisar y discutir información de la Compañía relacionada con elcumplimiento de objetivos.Actividades de MonitoreoEvaluar y supervisar la naturaleza y el alcance sobre el monitoreo de las actividades,cualquier incumplimiento o falta de apego a los controles por parte de la administración(“brincarse los controles”), así como las evaluaciones de la administración yremediación de deficiencias. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
2. Analiza los riesgospara determinar cómodeben de administrarse 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Identificación de riesgosGobierno de controlCódigo de ÉticaMarco de control de operacionesCanales de denunciasOperacionesDisponibilidad de equipos deperforación.Logística dispersa que expone a lacompañía a robos, atentados,accidentes, etc. Interrupciones dela producción por Incendios, etc.Reemplazo de reservas de O&GIndustria de O&G opera con recursosno renovables. Riesgo: continuidadoperativa está basada en elreemplazo de los volúmenesproducidos. Selección de áreas.GobiernoCorporativoOperaciones eEstrategiaMedio AmbienteInfraestructuraDisponibilidad de capitalIndustria de capital intensivo querequiere de fuertes inversiones enforma continuadaOrganizaciónRegulaciones de MedioAmbienteCumplimientoRiesgo regulatorioLa industria de O&G seencuentra sujeta a un fuerteescrutinio de organismosgubernamentales a nivelmundial. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.ReporteInformes de Gestión /SocietariosRequerimiento de EdosFinancieros (impairments,estimación de reservas, abandonode activos, etc.).KPI’s.Informes de Gestión / Presupuesto
Identificación de riesgos (cont.)¿Cuáles son los desafíos en la identificación de riesgos? Los riesgos por definición son potenciales, en consecuencia difusos. Toda actividad se enfrenta a múltiples riesgos, y nunca existe la certeza absoluta dehaberlos identificado en su totalidad. Los actores no entienden siempre lo mismo por “riesgo”: se confunde la historia con laprobabilidad, y la no detección con la no ocurrencia. Sin saber los objetivos establecidos, es difícil hacer propuestas efectivas de gestión deriesgos y que generen valor. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
10 Riesgos frecuentemente divulgados*RankingRiesgos DivulgadosMenciones1Condiciones Económicas / Cambios2942Cambios Legales/ Regulatorios/ Ambientales Adversos2883Competidores y Acciones Competitivas2814Interrupciones del Negocio (incluyen interrupciones desuministro y desastres naturales/ problemas climáticos)2775Litigios / Problemas de Capital Intelectual2136Estrategia de Fusiones y Adquisiciones / Ejecución /Integración1927Estabilidad Política / Riesgo País1898Cambios no Anticipados sobre la Demanda de losConsumidores/ Preferencias1879Inhabilidad de Desarrollo/ Nuevo Productos de Mercado15610Actividades Terroristas/ Guerra/ Malestar149* Riesgos divulgados públicamente en Reportes anuales (10K) de Compañías Públicas en Estados Unidos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Evaluación de RiesgosRiesgo Inherente y Residual El Riesgo Inherente es el riesgo existente ante la ausencia de algunaacción que la dirección pueda tomar para alterar tanto la probabilidad o elimpacto del mismo.RIESGO INHERENTE PROBABILIDAD inh * IMPACTO inh Impacto Inh: impacto de un evento, sin considerar las acciones y controles mitigantes. Probabilidad Inh: probabilidad de ocurrencia de evento no deseado sin considerar lasacciones y controles mitigantes.Definidos los riesgos inherentes se deben identificar los controles mitigantes y deahí resulta el riesgo residual: El Riesgo Residual es el riesgo que persiste luego de la respuesta de laDirección al Riesgo.RIESGO RESIDUAL RIESGO INHERENTE – EFECTIVIDAD DE CONTROLESo RIESGO RESIDUAL PROBABILIDAD res * IMPACTO res 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Evaluación de RiesgosRiesgo Inherente y Residual (cont.) La Evaluación del Riesgo se aplica primero al Riesgo Inherente. Una vez que se desarrollaron las respuestas a los riesgos, la Direcciónconsidera el Riesgo Residual. Las iniciativas efectivas de ERM requieren que se evalúe el RiesgoInherente y el Residual.Consideraciones de Riesgo Inherente Las personas suelen ser demasiado optimistas sobre su habilidad paraadministrar el riesgo. Una compañía necesita asegurarse que entiende el riesgo inherente y queha administrado el mismo de forma tal que se encuentre dentro de su perfilde riesgo (Apetito de Riesgo), es decir que acepta la vulnerabilidad. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Evaluación del riesgoMapeo de los riesgos inherente al riesgo residualAImpacto(Riesgo inherente)2do PasoBRiesgo ResidualEvaluacióndecontrolesProbabilidad(Riesgo Inherente)1er PasoRiesgo Inherente 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.Impacto(Riesgo Residual)AABMarco MARCIAumento deAseguramientomitigación delde r CIRMedida d(Riesgo Residual)A
Mantener el equilibrio— riesgo vs recompensa Evitar un enfoque de "una sola vista"en la protección de valor Se requiere una toma de riesgos"inteligente" hacia riesgos que creanvalor Priorizar la atención en riesgos a losobjetivos estratégicos Alinear los objetivos de administraciónde riesgos con las iniciativas yobjetivos estratégicos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Enfoque en el costo total del riesgo—racionalizando el costo de la mitigación El Costo de Fallar (COF) frecuentementees disperso, difícil de cuantificar ymuchas veces se esconde por debajo delo visibleCost ofRisk Management El COF muchas veces es mayor que elcosto que implica administrar riesgos Racionalizar el costo y los esfuerzospara administrar riesgos debe hacerseconsiderando el apetito al riesgo El costo total del riesgo debe de sercalculado y considerarse en lapriorización de las opciones derespuesta al riesgo 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.Cost ofFailure
3. Considera laposibilidad de fraude enla evaluación de riesgos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Introducción¿Qué es fraude?Fraude es engañar o aprovecharse del error de una persona de manera intencionadapara hacerse ilícitamente de alguna cosa o alcanzar un lucro indebido. (1)Existen diversos factores de riesgo que pueden propiciar el fraude en lasorganizaciones, por ejemplo:PersonalProcesos Falta/ debilidad de controlesFalta de políticas y procedimientos, faltade apego por parte del personalDocumentación confusaAlteración de informaciónFalta de supervisión a las operacionesConflictos de interésAdministración Directivos que controlan más de unafunción claveAusencia de auditorías periódicasInadecuado resguardo de informaciónsensitiva/ confidencialAusencia de un código de conducta(sanciones) Riegos defraude Baja o alta rotación del personalSalarios bajos vs nivel deresponsabilidadExceso de confianza del empleadoFalta de personal backup en posicionesclavePersonal sin ausencias sin rotaciónSistemasInadecuada segregación de funcionesFalta/ debilidad de controlesautomáticosFalta de administración de accesos delos usuarios a sistemasFalta/ debilidad en el monitoreo deoperaciones(1) Fundamento Legal del Código Penal Federal, Artículo 386 al 389 y lo aplicable del Libro Segundo, Título Décimo. 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Combatir el fraude desde el origen— atacar lascausas y no solo los síntomasCompañías líderes llevan a cabo lassiguientes actividades como parte de unprograma formal antifraude: Educar a los líderes sobre las implicaciones yconsideraciones de negocio de los riesgos defraudeDefinir el alcance y objetivos de un programaantifraudeDocumentar las actividades antifraudeexistentes en la compañíaEvaluar las actividades antifraude existentesen la compañíaIdentificar áreas potenciales de remediaciónEstablecer y ejecutar un plan para laremediaciónCrear documentación soporteConducir recorridos o "walthroughs" formalesCapacitar sobre conciencia de fraude,evaluación de riesgos de fraude, ética yvaloresMonitorear la efectividad de los controles 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.Crear unambiente n ycomunicaciónEjecutarevaluacionesde riesgos defraudeDiseñar eimplementaractividades decontrolantifraude
Tendencias en la gestión de riesgos de fraude¿Cuáles han sido y serán los motivadores y móviles de fraude más frecuentesen su organización? 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Tendencias en la gestión de riesgos de fraude 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
4. Identifica y evalúacambios que puedenimpactarsignificativamente lagestión de riesgos 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Monitoreo de alertas tempranas— atención enlas métricas correctas Los indicadores clave de riesgosrepresentan medidas que indican lapresencia potencial, estado o tendenciade una condición de riesgo Cuando son diseñadas y utilizadascorrectamente, las métricas de riesgostienen un valor predictivo y puedenactuar como alertas tempranas parapermitir acciones anticipadas29 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Evaluar el riesgo con un nuevo giro— ubicar el“Cisne Negro” antes de que él te encuentre 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.Plot risks according to the risk factors on a risk mapto visualize the prioritization of key enterprise risks.HE BImpact on Value En el libro The Black Swan, NassimTaleb describe el impacto de eventosaltamente improbables Evaluar riesgos con base en probabilidadasumida ha llevado a fallas catastróficasy grandes oportunidades perdidas La mayor parte de las herramientas ymétodos de identificación de riesgos sonretrospectivas. En un mundo cambiante,las premisas tradicionales nopermanecen verdaderas Una nueva visión del riesgo implicaconsiderar impacto vs vulnerabilidad vsvelocidad de aparición, dejando en unsegundo plano a la probabilidad. Proporciona un enfoque mejorado parapriorizar la respuesta a los riesgosGACFJDKey Risks CategoryAInternational M&A StrategyBCompetitive ActionsCConsumer DemandsDCountry RiskENew Product DevelopmentFDisaster RecoveryGProduct SupplyHIT SecurityITaxJLegal/Regulatory ChangesSpeed of OnsetIDays or WeeksHLIDVulnerabilityMonthsHYears
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructuralegal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 210,000 profesionales,todos comprometidos a ser el modelo de excelencia.Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,bajo el nombre de “Deloitte”.Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas(en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar susfinanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrircualquier persona o entidad que consulte esta publicación.
Control Interno para cada uno de los cinco componentes de COSO; en cuanto a la Evaluación de Riesgos a continuación se señalan las actividades realizadas: Componente de Control Interno Actividades de supervisión de la Junta Ambiente de Control Supervisar la definición y aplicación de los estándares de conducta de la organización.
XaaS Models: Our Offerings @DeloitteTMT As used in this document, "Deloitte" means Deloitte & Touche LLP, Deloitte Tax LLP, Deloitte Consulting LLP, and Deloitte Financial Advisory Services LLP. These entities are separate subsidiaries of Deloitte LLP. Deloitte & Touche LLP will be responsible for the services and the other subsidiaries
Deloitte & Touche South Africa is referred to throughout this report as Deloitte South Africa, and Deloitte Pan African Trust is referred to throughout this report as Deloitte Africa. Deloitte Africa holds practice rights to provide professional services using the Deloitte name which it extends to Deloitte entities within its territory,
5.1. prevencion de riesgos biomecanicos por manipulacion manual de cargas 30 5.2. prevencion de riesgos quimicos 30 5.3. prevencion de riesgos biologicos 31 5.4. prevencion de riesgos auditivos 32 5.5. prevencion de riesgos ergonomicos 33 5.6. vigilancia mÉdica del empleado 34 capÍtulo 6 ejecuciÓn del plan de
Mapa de Riesgos, y de un esquema de atención, así como su seguimiento respectivo. El desarrollo de esta Guía Breve se ha nutrido de diversos modelos de evaluación de riesgos, pero principalmente de la Guía de Autoevaluación de Riesgos en el Sector Público elaborada por la Auditoría Superior de
Las ART tienen como obligación: Brindar todas las prestaciones que fija la ley, tanto preventivas como dinera- rias y de salud. Evaluar la verosimilitud de los riesgos que declare el empleador. Brindar capacitación a los trabajadores en técnicas de prevención de riesgos Promover la integración de comisiones paritarias de riesgos del trabajo y co-
May 02, 2011 · Deloitte & Touche LLP Cleveland, Ohio 1 216 589 5717 tgriffiths@deloitte.com Theresa Cui . Engagement Consultant . Deloitte & Touche LLP . Cleveland, Ohio Cleveland, Ohio 1 216 589 5018 1 216 . tcui@deloitte.com . Kathie Schwerdtfeger Advisory Principal Deloitte & Touche LLP . Austin, Texas 1 512 691 2333 . kschwerdtfeger@deloitte.com .File Size: 720KB
Knabe, Andrea Consulting Deloitte Consulting LLP Chicago Kwan, Anne Consulting Deloitte Consulting LLP San Francisco . Miller, Christian L. Tax Deloitte Tax LLP Washington DC . Smith, Sandra Consulting Deloitte Consulting LLP Chicago Spangrud, Chad Audit & Assurance Deloitte & Touche LLP Costa Mesa Springs, Christanna R. Tax Deloitte Tax .
el proceso como la evaluaci n parte de la educaci n, la medici n es una fase de la evaluaci n y el instrumento a utilizar, es la herramienta de la medici n. Cuando se van a aplicar los instru-mentos de medici n se debe seguir con se-veridad ciertas condiciones, como las que Zamora (1998) se ala: a. las personas que lo aplican pueden
