COSO

Evaluacin de Riesgos

Enterprise Risk Services

Noviembre, 2015

Principios Relacionados

Componente

Contenido
Evaluacin de Riesgos

1.

Especifica objetivos para la identificacin y

valoracin de los riesgos relacionados a dichos
objetivos

2.

Analiza los riesgos para determinar cmo

deben de administrarse

3.

Considera la posibilidad de fraude en la

evaluacin de riesgos

4.

Identifica y evala cambios que pueden

impactar significativamente la gestin de
riesgos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Qu es el Riesgo?

Objetivos de una compaa

Los objetivos de una compaa son proteger el valor de sus activos
existentes y crear nuevos activos/valor para el futuro.
Valor para la compaa es el valor integrado para los stakeholders en su
totalidad (internos y externos).

Riesgo
Riesgo es el impacto y la probabilidad de que una amenaza (o de una
serie de eventos/ amenazas) puedan afectar de manera adversa la
consecucin de los objetivos.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Tomar riesgos es bueno o es malo?

Riesgos No
recompensados
(prdida de valor)

Dos lneas de pensamiento

El tomar riesgos es malo y es necesario evitarlo.

Riesgos
recompensados
(creacin de valor)
El tomar riesgos es bueno dentro de un marco/ contexto donde el riesgo sea bien
administrado.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

El tomar riesgos es malo y es necesario evitarlo

(Preservacin del Valor)

El mercado castiga severamente el fallar en la preservacin de los activos existentes

(sin premio / el riesgo es malo)
Bottom-up y foco en las operaciones, reporte y cumplimiento.
La gran mayora de los esfuerzos para administrar el riesgo se enfocan en los activos
actuales y se realizan aisladamente.
El manejo tradicional del riesgo es probabilstico habitualmente no se trata el riesgo
en los extremos.
Riesgo sin retribucin, por ejemplo: no es atractivo el tomar riesgo cuando se
compara con la desventaja que implican las prdidas en las que se puede incurrir.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

El tomar riesgos es bueno

(Creacin de Valor)

El mercado premia la habilidad de crear y sustentar el crecimiento futuro (algunos

riesgos valen la pena / son buenos)
Sin riesgo, no hay retribucin. Esta es la base del capitalismo, por ejemplo: Realizar
inversiones riesgosas y obtener buenos rendimientos de ellas.

Mejor entendimiento de lo ventajoso de las grandes inversiones y sus riesgos para

llegar al xito y como superarlos.
La direccin se enfoca en riesgos crticos para la estrategia de la empresa y su
ejecucin.

La toma de riesgos tiene retribuciones, por ejemplo: las compaas reciben premios
por tomar y administrar eficazmente los riesgos asociados con nuevos productos,
nuevos mercados, nuevos modelos de negocios, alianzas, adquisiciones, etc.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

1. Especifica objetivos

para la identificacin y
valoracin de los
riesgos relacionados a
dichos objetivos
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Asociando riesgos a los objetivos y creadores de

valor
Un programa de administracin integral de riesgos provee un proceso para la identificacin, valoracin
y respuesta de riesgos que impactan el cumplimiento de los objetivos e iniciativas estratgicas de la
Compaa.

La asociacin entre crecimiento, riesgos y retorno ha sido identificado como el beneficio nmero 1 que
las compaas esperan de un programa de administracin de riesgos
Creacin de valor

Generadores de
valor

Generacin de ingresos

Control de costos

Administracin de
capital

Manejo de
expectativas

Objetivos

Riesgos
Prioritarios

Riesgos estratgicos, operacionales, de cumplimiento y de procesos

Ocasionados por la estrategia, la gente, los procesos, sistemas y factores externos
Proceso de administracin de riesgos utilizado para identificar, escalar, evaluar, priorizar,
responder, monitorear y reportar riesgos que impactan el cumplimiento de los objetivos de
una Compaa

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Anlisis de la estrategia

1. Riesgo a la estrategia: Qu tiene que salir bien para que una estrategia sea
exitosa?
- En qu supuestos se basa la estrategia?
- Qu podra impedir que la estrategia sea exitosa?

2. Riesgo de la estrategia: Qu impacto podra tener esta estrategia en nuestro

negocio y en otras iniciativas?

- Consecuencias de la ejecucin de la estrategia

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Estrategia de Administracin de Riesgos

Vinculacin del Riesgo con los objetivos y la estrategia

Crecimiento
de Ingreso

Iniciativa
Estratgica #1

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Iniciativa
Estratgica #2

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Estrategia de Administracin de Riesgo

Valor para
los
Accionistas

Margen de
Operacin

Iniciativa
Estratgica #3

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Iniciativa
Estratgica #4

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Estrategia de Administracin de Riesgo

Eficiencias
de los
Activos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Iniciativa
Estratgica #5

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Iniciativa
Estratgica #6

Riesgos
Potenciales

Indicadores
claves de
Riesgos (KRIs)

Categoras de Riesgos
Las cuatro categoras ms relevantes desde la
perspectiva de un inversionista son:
1.Riesgos estratgicos riesgos tanto para los
objetivos estratgicos como de los objetivos
estratgicos. La alta gerencia (C-suite) identifica
los riesgos ms importantes a travs del proceso
de planificacin y obtiene aprobacin de la Junta.

Vigilancia
Tono desde la
Direccin

2.Riesgos Operativos grandes riesgos que

afectan la habilidad de la organizacin para lograr
el plan estratgico.

Estratgico
Infraestructura Comn de
Riesgo

3.Riesgos Financieros incluyen informacin

financiera, valoracin, cobertura, riesgos de
mercado y liquidez y riesgos de crdito en
instituciones financieras.
4.Riesgos de Cumplimiento riesgos no
compensados, generalmente el foco principal
para las actividades de gestin de riesgo
empresarial

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Gente

Procesos

Tecnologa

Financieros Operativos Cumplimiento

Proceso de Riesgos
Identificar
riesgos

Evaluar
riesgos

Integrar
riesgos

Respon
der a
los
riesgos

Disear,
implementar y
probar
controles

Supervisar,
asegurar y
escalar

Clasificacin de Riesgos
Gobierno

Estrategia y
Planeacin

Operaciones e
Infraestructura

Cumplimiento

Reporte
financiero

Administracin del Riesgo basado en Valor

Valor para la
Compaa

La Administracin es responsable
por crear y preservar valor en la
Compaa

Riesgos de la
Compaa

Gobierno

Crecimiento
de Ganancias
Estrategia
Margen
Operativo

1. Cmo la compaa puede fallar en

alcanzar sus objetivos de valor ?

Capital

2. Qu puede causar dicha falla?

Eficiencia de
activos

Expectativas

3. Cules seran los efectos de la falla?

4. Qu se est haciendo actualmente
para prevenir, detectar, corregir o
escalar dicha falla?
5. Cul es nuestra vulnerabilidad
a dicha falla?

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Operaciones

Infraestructura
(Reporting/
Compliance)
Factores
Externos

El Rol de la Alta Direccin

El Consejo de Administracin est involucrado en el ejercicio de supervisin del
Control Interno para cada uno de los cinco componentes de COSO; en cuanto a la
Evaluacin de Riesgos a continuacin se sealan las actividades realizadas:
Componente de Control
Interno

Actividades de supervisin de la Junta

Ambiente de Control

Supervisar la definicin y aplicacin de los estndares de conducta de la

organizacin.

Evaluacin del Riesgo

Desafiar a las Gerencias en la Evaluacin de Riesgos para el logro

de objetivos, incluyendo el impacto potencial de cambios significativos
(ejemplo: el Riesgo de entrar en un mercado nuevo), fraude o
corrupcin.

Actividades de Control

Supervisar a las Gerencias en su desempeo de actividades.

Informacin y Comunicacin

Obtener, revisar y discutir informacin de la Compaa relacionada con el

cumplimiento de objetivos.

Actividades de Monitoreo

Evaluar y supervisar la naturaleza y el alcance sobre el monitoreo de las actividades,

cualquier incumplimiento o falta de apego a los controles por parte de la administracin
(brincarse los controles), as como las evaluaciones de la administracin y
remediacin de deficiencias.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

2. Analiza los riesgos

para determinar cmo
deben de administrarse

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Identificacin de riesgos
Gobierno de control
Cdigo de tica
Marco de control de operaciones
Canales de denuncias

Operaciones
Disponibilidad de equipos de
perforacin.
Logstica dispersa que expone a la
compaa a robos, atentados,
accidentes, etc. Interrupciones de
la produccin por Incendios, etc.

Reemplazo de reservas de O&G

Industria de O&G opera con recursos
no renovables. Riesgo: continuidad
operativa est basada en el
reemplazo de los volmenes
producidos. Seleccin de reas.

Gobierno
Corporativo

Operaciones e

Estrategia

Medio Ambiente

Infraestructura
Disponibilidad de capital
Industria de capital intensivo que
requiere de fuertes inversiones en
forma continuada

Organizacin

Regulaciones de Medio
Ambiente

Cumplimiento
Riesgo regulatorio
La industria de O&G se
encuentra sujeta a un fuerte
escrutinio de organismos
gubernamentales a nivel
mundial.
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Reporte
Informes de Gestin /Societarios
Requerimiento de Edos
Financieros (impairments,
estimacin de reservas, abandono
de activos, etc.).
KPIs.
Informes de Gestin / Presupuesto

Identificacin de riesgos (cont.)

Cules son los desafos en la identificacin de riesgos?

Los riesgos por definicin son potenciales, en consecuencia difusos.

Toda actividad se enfrenta a mltiples riesgos, y nunca existe la certeza absoluta de

haberlos identificado en su totalidad.

Los actores no entienden siempre lo mismo por riesgo: se confunde la historia con la
probabilidad, y la no deteccin con la no ocurrencia.

Sin saber los objetivos establecidos, es difcil hacer propuestas efectivas de gestin de
riesgos y que generen valor.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

10 Riesgos frecuentemente divulgados*

Ranking

Riesgos Divulgados

Menciones

Condiciones Econmicas / Cambios

294

Cambios Legales/ Regulatorios/ Ambientales Adversos

288

Competidores y Acciones Competitivas

281

Interrupciones del Negocio (incluyen interrupciones de

suministro y desastres naturales/ problemas climticos)

277

Litigios / Problemas de Capital Intelectual

213

Estrategia de Fusiones y Adquisiciones / Ejecucin /

Integracin

192

Estabilidad Poltica / Riesgo Pas

189

Cambios no Anticipados sobre la Demanda de los

Consumidores/ Preferencias

187

Inhabilidad de Desarrollo/ Nuevo Productos de Mercado

156

10

Actividades Terroristas/ Guerra/ Malestar

149

* Riesgos divulgados pblicamente en Reportes anuales (10K) de Compaas Pblicas en Estados Unidos
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluacin de Riesgos
Riesgo Inherente y Residual
El Riesgo Inherente es el riesgo existente ante la ausencia de alguna
accin que la direccin pueda tomar para alterar tanto la probabilidad o el
impacto del mismo.
RIESGO INHERENTE= PROBABILIDAD inh * IMPACTO inh
Impacto Inh: impacto de un evento, sin considerar las acciones y controles mitigantes.
Probabilidad Inh: probabilidad de ocurrencia de evento no deseado sin considerar las
acciones y controles mitigantes.

Definidos los riesgos inherentes se deben identificar los controles mitigantes y de

ah resulta el riesgo residual:

El Riesgo Residual es el riesgo que persiste luego de la respuesta de la

Direccin al Riesgo.
RIESGO RESIDUAL = RIESGO INHERENTE EFECTIVIDAD DE CONTROLES
o RIESGO RESIDUAL = PROBABILIDAD res * IMPACTO res
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluacin de Riesgos
Riesgo Inherente y Residual (cont.)
La Evaluacin del Riesgo se aplica primero al Riesgo Inherente.
Una vez que se desarrollaron las respuestas a los riesgos, la Direccin
considera el Riesgo Residual.
Las iniciativas efectivas de ERM requieren que se evale el Riesgo
Inherente y el Residual.

Consideraciones de Riesgo Inherente

Las personas suelen ser demasiado optimistas sobre su habilidad para

administrar el riesgo.
Una compaa necesita asegurarse que entiende el riesgo inherente y que
ha administrado el mismo de forma tal que se encuentre dentro de su perfil
de riesgo (Apetito de Riesgo), es decir que acepta la vulnerabilidad.

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluacin del riesgo

Mapeo de los riesgos inherente al riesgo residual
A
Impacto
(Riesgo inherente)

2do Paso

Riesgo Residual
Evaluacin
de
controles

Probabilidad
(Riesgo Inherente)

1er Paso
Riesgo Inherente
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Impacto
(Riesgo Residual)

Marco MARCI

Aumento de
Aseguramiento
mitigacin del
de preparacin
riesgo
A
M
Prevenir
Detectar
Corregir
Escalar CI
R
Medida del
Reubicar
impacto
recursos
acumulativo

Vulnerabilidad
(Riesgo Residual)

Mantener el equilibrio riesgo vs recompensa

Evitar un enfoque de "una sola vista"

en la proteccin de valor
Se requiere una toma de riesgos
"inteligente" hacia riesgos que crean
valor
Priorizar la atencin en riesgos a los
objetivos estratgicos
Alinear los objetivos de administracin
de riesgos con las iniciativas y
objetivos estratgicos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Enfoque en el costo total del riesgo

racionalizando el costo de la mitigacin
El Costo de Fallar (COF) frecuentemente
es disperso, difcil de cuantificar y
muchas veces se esconde por debajo de
lo visible

Cost of
Risk Management

El COF muchas veces es mayor que el

costo que implica administrar riesgos
Racionalizar el costo y los esfuerzos
para administrar riesgos debe hacerse
considerando el apetito al riesgo
El costo total del riesgo debe de ser
calculado y considerarse en la
priorizacin de las opciones de
respuesta al riesgo

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Cost of
Failure

3. Considera la
posibilidad de fraude en
la evaluacin de riesgos

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Introduccin
Qu es fraude?
Fraude es engaar o aprovecharse del error de una persona de manera intencionada
para hacerse ilcitamente de alguna cosa o alcanzar un lucro indebido. (1)
Existen diversos factores de riesgo que pueden propiciar el fraude en las
organizaciones, por ejemplo:
Personal

Procesos

Falta/ debilidad de controles

Falta de polticas y procedimientos, falta
de apego por parte del personal
Documentacin confusa
Alteracin de informacin
Falta de supervisin a las operaciones
Conflictos de inters

Administracin

Directivos que controlan ms de una

funcin clave
Ausencia de auditoras peridicas
Inadecuado resguardo de informacin
sensitiva/ confidencial
Ausencia de un cdigo de conducta
(sanciones)

Riegos de
fraude

Baja o alta rotacin del personal

Salarios bajos vs nivel de
responsabilidad
Exceso de confianza del empleado
Falta de personal backup en posiciones
clave
Personal sin ausencias sin rotacin

Sistemas
Inadecuada segregacin de funciones
Falta/ debilidad de controles
automticos
Falta de administracin de accesos de
los usuarios a sistemas
Falta/ debilidad en el monitoreo de
operaciones

(1) Fundamento Legal del Cdigo Penal Federal, Artculo 386 al 389 y lo aplicable del Libro Segundo, Ttulo Dcimo.
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Combatir el fraude desde el origen atacar las

causas y no solo los sntomas
Compaas lderes llevan a cabo las
siguientes actividades como parte de un
programa formal antifraude:

Educar a los lderes sobre las implicaciones y

consideraciones de negocio de los riesgos de
fraude
Definir el alcance y objetivos de un programa
antifraude
Documentar las actividades antifraude
existentes en la compaa
Evaluar las actividades antifraude existentes
en la compaa
Identificar reas potenciales de remediacin
Establecer y ejecutar un plan para la
remediacin
Crear documentacin soporte
Conducir recorridos o "walthroughs" formales
Capacitar sobre conciencia de fraude,
evaluacin de riesgos de fraude, tica y
valores
Monitorear la efectividad de los controles
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Crear un
ambiente de
control

Monitorear
actividades

Compartir
informacin y
comunicacin

Ejecutar
evaluaciones
de riesgos de
fraude

Disear e
implementar
actividades de
control
antifraude

Tendencias en la gestin de riesgos de fraude

Cules han sido y sern los motivadores y mviles de fraude ms frecuentes
en su organizacin?

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Tendencias en la gestin de riesgos de fraude

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

4. Identifica y evala
cambios que pueden
impactar
significativamente la
gestin de riesgos
2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Monitoreo de alertas tempranas atencin en

las mtricas correctas
Los indicadores clave de riesgos
representan medidas que indican la
presencia potencial, estado o tendencia
de una condicin de riesgo
Cuando son diseadas y utilizadas
correctamente, las mtricas de riesgos
tienen un valor predictivo y pueden
actuar como alertas tempranas para
permitir acciones anticipadas

29 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Evaluar el riesgo con un nuevo giro ubicar el

Cisne Negro antes de que l te encuentre

2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Plot risks according to the risk factors on a risk map

to visualize the prioritization of key enterprise risks.

H
E B

Impact on Value

En el libro The Black Swan, Nassim

Taleb describe el impacto de eventos
altamente improbables
Evaluar riesgos con base en probabilidad
asumida ha llevado a fallas catastrficas
y grandes oportunidades perdidas
La mayor parte de las herramientas y
mtodos de identificacin de riesgos son
retrospectivas. En un mundo cambiante,
las premisas tradicionales no
permanecen verdaderas
Una nueva visin del riesgo implica
considerar impacto vs vulnerabilidad vs
velocidad de aparicin, dejando en un
segundo plano a la probabilidad.
Proporciona un enfoque mejorado para
priorizar la respuesta a los riesgos

C
F

J
D

Key Risks Category

International M&A Strategy

Competitive Actions

Consumer Demands

Country Risk

New Product Development

Disaster Recovery

Product Supply

IT Security

Tax

Legal/Regulatory Changes

Speed of Onset

Days or Weeks

ID

Vulnerability

Months

Years

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal nica e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripcin detallada de la estructura
legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditora, impuestos, consultora y asesora financiera, a clientes pblicos y privados de diversas industrias.
Con una red global de firmas miembro en ms de 150 pases, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos ms complejos de los negocios. Cuenta con ms de 210,000 profesionales,
todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, Deloitte significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestacin de servicios de auditora, consultora fiscal, asesora financiera y otros servicios profesionales en Mxico,
bajo el nombre de Deloitte.
Esta publicacin slo contiene informacin general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas
(en conjunto la Red Deloitte), presta asesora o servicios por medio de esta publicacin. Antes de tomar cualquier decisin o medida que pueda afectar sus
finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, ser responsable de prdidas que pudiera sufrir
cualquier persona o entidad que consulte esta publicacin.