See

discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/303486432

Introduccin a la Gestin Integral de Riesgos

Empresariales Enfoque: ISO 31000

Book May 2016

CITATIONS READS

0 1,117

2 authors, including:

Edmundo R. Lizarzaburu
ESAN - Escuela de Administracin de Negocios para Graduados
46 PUBLICATIONS 17 CITATIONS

SEE PROFILE

All content following this page was uploaded by Edmundo R. Lizarzaburu on 25 May 2016.

The user has requested enhancement of the downloaded file.

3
4
INTRODUCCIN A LA GESTIN INTEGRAL DE
RIESGOS EMPRESARIALES
ENFOQUE: ISO 31000
CRDITOS
Introduccin a la Gestin Integral de Riesgos Empresariales Enfoque: ISO 31000
Primera edicin: Mayo del 2016 - Lima, Per
ISBN: 978-612-47172-2-2

Editado por:
PLATINUM EDITORIAL S.A.C
Cal. San Lino Nro.148 Urb. Monterrico Chico Lima
Lima - Santiago de Surco
Tel. 511 - (01) 6440640
www.platinumeditorial.com

Autores
Isabel Casares San Jos-Mart, Economista, Actuario de Seguros y Asesora de empresas en
Gestin de Riesgos y Seguros (Espaa).
Edmundo R. Lizarzaburu Bolaos, Universidad ESAN (Per).

Editor Responsable
Valery Motta Saenz

Correccin de texto
Isabel Arevalo Rufasto

Diagramacin y diseo
Greyse Anais Morales Palacios

Publicacin electrnica disponible en:

www.platinumeditorial.com
www.owlbook.org
Reservado todos los derechos. Los documentos de trabajo publicados en este libro son exclusivamente
responsabilidad de los autores y no necesariamente expresan la opinin de Platinum Editorial ni del Instituto de
Regulacin y Finanzas (FRI ESAN).

Libro auspiciada por:

Editorial
www.fri.com.pe www.platinumeditorial.com
INTRODUCCIN A LA GESTIN INTEGRAL DE
RIESGOS EMPRESARIALES
ENFOQUE: ISO 31000

Autores:
Isabel Casares San Jos-Mart, Economista, Actuario de Seguros y Asesora de empresas en
Gestin de Riesgos y Seguros (Espaa).
Edmundo R. Lizarzaburu Bolaos, Universidad ESAN (Per).

Asistentes:
Javier Anderson Pagn , Rayko Zecevich, y Leonel Kevin Pacari alumnos de la Universidad ESAN
Miguel Cndor, egresado de la Universidad ESAN.

Colaboradores:
Diego Cisneros, Exsuperintendente adjunto de banca y microfinanzas de la SBS (Per)
Mnica Chvez, Universidad ESAN (Per)
Hamilton Galindo, Universidad del Pacfico (Per)
Julio Quispe, Universidad ESAN (Per)
Luis Berggrun, Universidad ICESI (Colombia)
Roberto Santilln, EGADE Tecnolgico de Monterrey (Mxico).

9
AGRADECIMIENTOS

A mi esposa Gabriela Barriga, mis hijos Macarena Lizarzaburu y Fausto Lizarzaburu as como a los
alumnos de los diversos cursos impartidos.

Edmundo R. Lizarzaburu Bolaos

A mis alumnos de los distintos cursos y mster por la confianza y el apoyo incondicional que me dan
en todo momento.

Isabel Casares San Jos-Mart

Al Sr. Diego Cisneros, por sus comentarios y por el prlogo escrito para el libro.

Los autores

10
PRLOGO

Los autores proponen un trabajo de aplicacin sobre los principales marcos tericos y de implementacin
de la gestin de los riesgos tomando como eje principal la norma ISO 31000, la cual nos permite
contar con una aproximacin a la gestin sistemtica, ordenada y auditable de los riesgos de cualquier
compaa.

La principal ventaja del camino escogido por los autores es las escalabilidad de las recomendaciones
propuestas para distintos tamaos de empresa y niveles de complejidad del negocio, y casos
prcticos para el desarrollo del lector.

La gestin del riesgo es antigua como la naturaleza de los negocios, existen registros de contratos
sobre futuros del precio del arroz en el antiguo Japn del siglo XVII y los primeros contratos de
seguros para cargamentos martimos se empiezan a esbozar en la China del siglo II. Sin embargo,
la gestin del riesgo como cuerpo terico es relativamente nueva. Las primeras aplicaciones para
gestionar riesgos surgen luego de la segunda Guerra Mundial, con la aplicacin de los libros de teora
de juegos y probabilidades de John von Neumann y Oskar Morgenstern. No es hasta finales del siglo
XX, que la industria financiera aplica de forma intensiva esta metodologa para manejar los riesgos de
manera integral, y los reguladores financieros introducen los conceptos de gestin de riesgos como
mandatorios en todo su mbito regulado (Dionne 2013: 147-166).

Los autores desarrollan los principios del estndar ISO 31000 como marco general para la gestin de los
riesgos y control interno, pero tambin la implementacin de la actualizacin del marco de trabajo de
COSO en su versin 2013, dando nfasis en la gestin de la seguridad de la informacin y el desarrollo
del riesgo de fraude como entidad separada de los otros riesgos. Esta actualizacin de principios
permite una visin sistemtica e integral de la gestin de riesgos y su evolucin en los ltimos veinte
aos.

Mg. Diego Cisneros

11
12
PRESENTACIN
Para iniciar un anlisis de gestin de riesgos empresariales, es necesario tener claros los conceptos
que se utilizarn y que todos conozcan el alcance del control y sus resultados, ya que existen muchas
metodologas y muchos enfoques distintos.

El objetivo de este libro es ayudar a tener un buen comienzo, pues de eso depende que los resultados
sean los esperados. Tambin para entender la necesidad de gestionar los riesgos de una empresa, no
solo reducirlos, y as generalizar un criterio para todo tipo de riesgos, incluidos los riesgos estratgicos,
legales, operacionales, financieros, tecnolgicos, reputacionales, etctera.

Para una eficaz gestin de riesgos de una empresa es necesario no solo contemplar todas las etapas
fundamentales: identificacin, evaluacin, respuesta y supervisin, sino tambin oportunidades de
negocio. Es en la etapa de identificacin de los riesgos donde podemos detectar, adems de las
amenazas para la empresa, oportunidades ocultas tras de estas que pueden ser aprovechadas. Con
la aplicacin de los principios explicados en estas pginas se puede confirmar que tanto la gerencia
de los riesgos como un adecuado sistema de control interno pueden contribuir al logro de objetivos
empresariales.

El buen gobierno de una sociedad en general exige el establecimiento de un control interno adecuado
que permita a la alta direccin de la empresa la toma decisiones, por lo que las empresas deben analizar
los riesgos que son propios de su actividad y mantener mecanismos especficos de control interno
que aseguren la supervisin continuada de los mismos. Son modelos dinmicos que permiten evaluar la
situacin ante la aparicin de riesgos, que incluso podran ser objeto de aseguramiento con terceros.

Es necesario que exista transparencia en la informacin interna, de forma que pueda ser detectada
cualquier amenaza lo antes posible para reducir o anular el impacto antes de que este se produzca.
Nos encontramos ante una demanda creciente de informacin por parte de la empresa, a raz de la
aparicin de nuevas exigencias que la afectan en materia de responsabilidad social, medio ambiente y
sostenibilidad. La informacin se necesita en todos los niveles de la organizacin para, por una parte,
identificar, evaluar y responder a los riesgos, y por otra, dirigir la entidad y conseguir sus objetivos.

Es importante el establecimiento de una comunicacin eficaz en un sentido amplio, que facilite una
circulacin de la informacin (formal e informal). La alta direccin debe brindar un mensaje claro y
preciso al personal sobre la importancia de compartir informacin veraz y oportuna, y la responsabilidad
de cada uno en este objetivo, con el fin de lograr una adecuada administracin y control.

13
14
NDICE
AGRADECIMIENTOS 10
NDICE 15
NDICE DE GRFICOS 17
INTRODUCCIN 15

CAPTULO I: Introduccin a los Riesgos 23
1.1 Normas y estndares Internacionales aplicados a la gestin de riesgos 25
1.2 Modelo COSO 27

CAPTULO II: Gua ISO 31000 Gestin de Riegos 31

2.1 Introduccin a la norma ISO 31000 33
2.2 Qu es la norma ISO 31000? 33
2.3 Principios de la gestin de riesgos 34
2.4 El marco de trabajo para la gestin de riesgo 47
2.5 El proceso de gestin del riesgo 49

CAPTULO III: Metodologa Aplicada 53

3.1 Metodologa aplicada 55

CAPTULO IV: Estructura del Sistema y rea de Riesgos 61

4.1 Introduccin a la estructura general del sistema 63
4.2 Conformacin del comit de administracin integral de riesgos 63
4.3 Conformacin de los especialistas de riesgos 67

CAPTULO V: Proceso de Gestin de Riesgos 71

5.1 Proceso de gestin del riesgo 73

CAPTULO VI: Manuales e Informes de Riesgos 77

6.1 Elaboracin de manuales e informes de riesgos 79
6.2 Manuales de polticas y procedimientos 79
6.3 Manual de tareas y responsabilidades 80
6.4 Manual de administracin de riesgos 81
CAPTULO VII: Control Interno y COSO 83
7.1 Descripcin COSO III 85
7.2 Definicin y evolucin del Enterprise Risk Management 90
7.3 Cumplimiento de objetivos 92
7.4 Los cinco componentes del modelo COSO 93
7.5 Relacin de los objetivos y componentes 100
7.6 Fortalecer el gobierno corporativo 103
7.7 Definicin de control Interno partiendo de bases para el establecimiento de un sistema 105
de gestin de riesgos
7.8 Eleccin de las bases tcnicas 106
7.9 Identificacin de los riesgos 106
7.10 Tipos de tcnicas de apreciacin del riesgo 111

CAPTULO VIII: Identificacin de Controles 121

8.1 Identificacin de los controles 123
8.2 Indicadores de control 123
8.3 Tipos de controles 128
8.4 Controles bsicos sobre el ciclo de produccin 136
8.5 Controles bsicos sobre el ciclo de tesorera 137
8.6 Controles bsicos sobre el ciclo de planillas 138
8.7 Esquema de la normativa interna 140

CAPTULO IX: Mapa de Riesgos 143

9.1 Mapas de riesgos por actividades de negocio 145
9.2 Estructura del mapa de procesos de una organizacin 145
9.3 Estructura del mapa de riesgos 148

CAPTULO X: Matriz de Evaluacin de Riesgos 155

10.1 Matriz de evaluacin de los riesgos 157

CAPTULO XI: Norma Complementaria: ISO 27001 161

11.1 Introduccin a la norma ISO 27001 163
11.2 Antecedentes de la norma 165
11.3 Cumplimiento de normativas y gestin de riesgos 145
11.4 Sistema de gestin de seguridad de la informacin 166

16
CAPTULO XII: Gestin de Proyectos: Enfoque en Riesgos 171
12.1 Gestin de proyectos 173
12.2 Conceptos generales 173
12.3 Direccin de proyectos 175
12.4 Gestin de riesgos en proyectos 183

CAPTULO XIII: Gestin Integral de Riesgos Financieros 187

13.1 Otros temas asociados al riesgo 189
13.2 Introduccin a los riesgos financieros 194

CAPTULO XIV: Casos Prcticos 201
Referencias bibliogrficas empleadas 223

NDICE DE GRFICOS
Grfico 01: Limitaciones del COSO - ERM 30
Grfico 02: Componentes para la gestin de riesgos 33
Grfico 03: Marco de la gestin de riesgo 48
Grfico 04: Actividades del proceso de gestin de riesgos 49
Grfico 05: Principios y directrices de la gestin de riesgos 56
Grfico 06: Gestin estratgica 57
Grfico 07: Proceso del GIR 59
Grfico 08: Estructura de control y manual de implementacin 69
Grfico 09: Exposicin al riesgo 74
Grfico 10: Apetito al riesgo de una organizacin 75
Grfico 11: Riesgo aceptado en una organizacin 76
Grfico 12: nalisis de Riesgo 81
Grfico 13: Establecimiento del entorno de control de una organizacin 87
Grfico 14: Evaluacin de riesgo de una organizacin 88
Grfico 15: Respuesta a los riesgos de una organizacin 89
Grfico 16: Actividades de control de una organizacin 89
Grfico 17: Supervisin de una organizacin 90

17
Grfico 18: Indicadores de ambiente Interno (I) 93
Grfico 19: Indicadores de ambiente interno (II) 94
Grfico 20: Categorizacin de los riesgos 95
Grfico 21: Riesgos internos y externos 95
Grfico 22: Riesgos por niveles de la organizacin 96
Grfico 23: Riesgo residual 97
Grfico 24: Evaluacin del nivel de riesgo 97
Grfico 25: Estrategias para el tratamiento de los riesgos 98
Grfico 26: Tipos de control (I) 99
Grfico 27: Tipos de control (II) 100
Grfico 28: Evolucin de COSO (2013) 101
Grfico 29: El ERM fortalece el gobierno corporativo 104
Grfico 30: Entornos en los que se determinan los riesgos 105
Grfico 31: Ejemplo de clasificacin del riesgo 111
Grfico 32: Atributos de una seleccin de herramientas de evaluacin de riesgo 113
Grfico 33: Infecciones de transmisin hemtica 126
Grfico 34: Tipo de controles preventivos 128
Grfico 35: Tipo de controles detectivos 129
Grfico 36: Categora de controles detectivos: Controlde autorizacin 130
Grfico 37: Categora de controles detectivos, Controles basados en la configuracin del 131
sistema
Grfico 38: Categora de controles detectivos, Controles basados en informes de gestin 132
de riesgos
Grfico 39: Categora de controles detectivos: Controles sobre volcado de datos o 133
interface
Grfico 40: Categora de controles detectivos: Controles de indicadores 134
Grfico 41: Categora de controles detectivos: Controles de supervisin de la direccin 135
Grfico 42: Categora de controles detectivos: Controles de conciliaciones 135
Grfico 43: Categora de controles detectivos, Controles de segregacin de tareas 136
Grfico 44: Ejemplo de Mapa de Procesos 147
Grfico 45: Mapa de riesgo 149
Grfico 46: Ejemplo de mapa de riesgos del rea de administracin 150
Grfico 47: Ejemplo de mapa de riesgos del rea de siniestros (I) 150
Grfico 48: Ejemplo de mapa de riesgos del rea de siniestros (II) 151
Grfico 49: Ejemplo de mapa de riesgos del rea tcnico 152

18
Grfico 50: Ejemplo de mapa de riesgos del rea fiscal y contable 152
Grfico 51: Ejemplo de mapa de riesgos del rea de inversiones 153
Grfico 52: SEVERIDAD = PROBABILIDAD X IMPACTO 158
Grfico 53 :Elementos de la seguridad en la organizacin 163
Grfico 54: Principios fundamentales del SGSI 167
Grfico 55: El ciclo de PHVA aplicado al SGSI 168
Grfico 56: Gua de PMBOK 174
Grfico 57 : Proceso de seguimiento y control 176
Grfico 58 : Grupo de procesos de la direccin de proyectos 177
Grfico 59: Direccin de proyectos 180
Grfico 60: tomado de PMBOK 5ta edicin 181
Grfico 61: Gestin de los riesgos del proyecto 185
Grfico 62: Administracin Integral de Riesgos 191
Grfico 63: Principales categoras de riesgos financieros 195
Grfico 64: Tipo de riesgo mercado e impacto negativo 197
Grfico 65: Riesgos financieros 198
Grfico 66: Incertidumbre especfica 199
Grfico 67: Modelo de mapa de procesos 204
Grfico 68: Modelo de mapa de una industria 204
Grfico 69: Significado de la simbologa 205
Grfico 70: Diagrama causa-efecto 207
Grfico 71: Conclusiones: Cambios y actividades afectadas (I) 211
Grfico 72: Conclusiones: Cambios y actividades afectadas (II) 219
Grfico 73: Organigrama 221
Grfico 74: Escala de impacto y probabilidad 22

19
ABREVIATURAS
AIR.- Administracin Integral de Riesgos.
BCRP.- Banco Central de Reserva del Per
COSO.- Committee of Sponsoring Organizations of Treadway Commission.
ERM.- Enterprise Risk Management - Gestin del riesgo empresarial.
IPPC.- Intergovernmental Panel on Climate Change.
ISO.- International Organization for Standardization.
MILA.- Mercado Integrado Latinoamericano.
OADS.- rgano de administracin, direccin o supervisin.
OCDE.- Organizacin para la Cooperacin y el Desarrollo Econmico.
OSHA.- Occupational Safety and Health Administration.
ORSA.- Own Risk and Solvency Assessment Evaluacin interna de los riesgos y de su solvencia.
PAS 99: Sistemas de Gestin Integrados.
PMI.- Project Management Institute.
RM.- Risk Management.
SBS.- Superintendencia de Bancos y Seguros.
SCI.- Sistema Control de Riesgos.
UNE-ISO 31000.- Gestin del riesgo. Principios y directrices.

20
 INTRODUCCIN

En la actualidad, los profesionales de la gestin del riesgo tienen una labor importante en las empresas
donde laboran, debido a que deben inculcar y fomentar la gestin del riesgo como parte de la cultura
de su organizacin.

Es por ello que el reto al que se enfrentan hoy las empresas y los profesionales del riesgo no es solo
romper el mito referido a que la gestin del riesgo se relaciona con estar asegurados o coberturados,
sino que tienen que involucrar a todo el personal en el manejo y administracin de los riesgos de la
empresa, de tal manera que puedan reducir el impacto y la probabilidad de ocurrencia de los mismos en
las operaciones. Los sistemas de gestin de riesgos requieren una planificacin y evaluacin cientfica
y rigurosa, que se cimenta en informacin veraz y oportuna.

Dentro de las empresas, los administradores de los riesgos son los responsables del manejo de los
planes de accin y deben asegurar su efectividad al momento de implementarlos. Los riesgos estn
asociados a diversos conceptos, uno de ellos es la incertidumbre, situacin que hace importante el uso
de herramientas estadsticas para evaluarlos y sobre todo gestionarlos.

Ante todo esto, la gestin de riesgos aparece para dar solucin a las necesidades que se presentan ante
diversas amenazas, incertidumbres y eventos de riesgo a los que estn expuestas todas las actividades
que forman parte del desarrollo de una empresa u organizacin.

Diversos ejemplos de mala gestin del riesgo han atrado la atencin de los medios de comunicacin
de todo el mundo y sus consecuencias son demasiado evidentes por su impacto en los trabajadores,
los consumidores y la reputacin de la empresa.

La gestin de riesgo es y ha sido objeto de un nmero significativo de publicaciones y trabajos

acadmicos. Este libro proporciona una gua en el desarrollo de un mecanismo para la gestin eficiente
de los riesgos basado tanto en las normas ISO 31000 e ISO 31010, como en el marco COSO 2013,
incluyendo, donde sea necesario, las buenas prcticas descritas en BS 31100 y PAS 99 para la gestin
de procesos de una manera integrada.

Lo importante de los riesgos es identificarlos. Si se identifican se pueden gestionar, si se gestionan se

puede monitorear y establecer planes de accin y de mejora.
21

View publication stats