UNIVERSIDAD DE SANTIAGO DE CHILE

Facultad de Administración y Economía

Magíster Contabilidad y Auditoria de Gestión

COSO ERM

Ariel Muñoz Piña.

Contador Público y Auditor.
Post-titulo en Auditoria de Gestión

1
ADMINISTRACIÓN DE RIESGO Y EL CONTROL MODERNOS EN LAS ENTIDADES

Antecedentes sobre la comisión Treadway

En el año 1985, se forma en USA, la Comision Treadway, cuyo presidente era James C.
Treadway, la cual en la actualidad se llama COSO, que es una comisión dedicada a mejorar
la calidad de la divulgación financiera respecto de la ética de los negocios, los controles
internos y el gobierno corporativo.

Todos sabemos que esta comisión está formada por las 5 asociaciones relacionadas con los
aspectos normativos americanos como son:

• La Asociación Americana de Contabilidad

• El Instituto Americano de Contadores Públicos Certificados (IACPA)
• El Instituto Americano Financiero de Ejecutivo
• El Instituto Americano de Auditores Internos
• Asociación Nacional Americana de Contadores Públicos

También sabemos, que la citada comisión, le solicitó en el año 1992, a la empresa de

auditoría Americana Coopers & Lybrand, que redactara las conclusiones a las cuales habían
llegado los participantes en materia de control interno, y ese año aparece el informe
C.O.S.O. (Comité of Sponsoring Organizations of the Treadway Comisión), el cual lo
incorpora como en las normas de auditoría americanas a través del SAS 78 en el año 1997.
En Chile, el Colegio de Contadores lo incorporó como una norma de auditoría a través de la
NAGA 44 y 54 en la década del 2000.

Pero para entender mejor el sistema de control interno de una entidad, tenemos que darle
valor a todo lo que se ha escrito sobre la materia a contar del siglo pasado, durante el cual la
profesión del Contador Público y Auditor, tuvo su mayor desarrollo, especialmente en lo
relativo al control interno, por lo tanto, donde se creo la doctrina, los procedimientos y las
normas.

Antecedentes históricos del Control Interno

A principio del siglo XX, Laurence R. Dicksee, señaló que los auditores deberían preocuparse
del control interno para llevar a cabo sus auditorías, y es precisamente en este siglo donde los
aspectos doctrinarios del CI, tienen su mayor auge, hay una preocupación permanente par
parte de la profesión respecto del tema.

En el año 1947, el IACP, emitió un documento denominado " Declaración tentativa de normas
de auditoría, su alcance y la significación de su aceptación general ", documento que fue
aprobado por los miembros del Instituto Americano en el año 1948.

En ese documento se indicaba las normas a las cuales estaban sujetos los profesionales
auditores, y en una norma relativa al trabajo se indicaba que el profesional auditor debía
"Estudiar y evaluar el Control Interno existente en la empresa, para determinar el
alcance, naturaleza y oportunidad en la aplicación de las pruebas de auditoría".

Luego, en vista de lo anterior el mismo IACP, nombró una comisión el año 1948 para dedicarse
a los aspectos doctrinarios del control interno. La citada comisión definió el control interno el año
1949.

2
Definición de Control Interno (año 1949)

“El control interno comprende el plan de organización, todos los métodos coordinados y
las medidas adoptadas en la empresa, para proteger sus activos, verificar la exactitud y
confiabilidad de sus datos contables, promover la eficiencia en las operaciones y
estimular la adhesión a las políticas ordenadas por la gerencia".

En el año 1958, el mismo instituto subdividió el Control Interno, ya que se entendía que este
contenía controles de tipo contables y de tipo administrativos.

Esa división se lleva a cabo denominando 2 tipos de controles, el Control Interno Contable y el
Control Interno Administrativo.

Control Interno Contable

La profesión definió al CI Contable como "El plan de organización y todos los métodos y
procedimientos relacionados directamente con la protección de los activos y la
confiabilidad de los registros financieros".

Además, se agregó que el control interno contable, incluye controles tales como:

• Sistema de autorizaciones y aprobaciones

• Separación de funciones relacionada a registro y custodia de activos.
• Controles físicos sobre los activos
• La auditoría interna.

Control Interno Administrativo

También el IACP, procedió a definir el CI Administrativo, como "El plan de organización y

todos los métodos y procedimientos que se relacionan principalmente con la eficiencia
en las operaciones, la adhesión a las políticas de la gerencia”.

Este control interno administrativo incluye controles tales como:

• Análisis estadísticos
• Estudio de tiempo y movimiento
• Informes de funcionamiento de la organización
• Programas de adiestramiento de personal
• Controles de calidad.

Alcance del control interno

De las definiciones anteriores se llega a la conclusión que el control interno se extiende mucho
más allá de los aspectos contables financieros, o sea abarca a toda la organización, a todas las
funciones que se ejecutan en ella.

Objetivos del control interno (año 1949)

De la propia definición entregada en el año 1949 por el IACP, se desprenden 4 objetivos del
control interno y son los siguientes:

a) Protección de los activos

3
b) Asegurar la calidad de la información
c) Promover la eficiencia operacional
d) Impulsar la adhesión a las políticas de la empresa

a) Protección de los activos

Este objetivo del control interno implicaba, que en la medida que la empresa posea
procedimientos de CI, para todas sus operaciones, los recursos que ella posea estarán más
protegidos, esto quiere decir que los procedimientos de control por ejemplo impedirían que se
efectuaran gastos que no guardan relación con la empresa, se evitaría también ejecutar tareas
innecesarias, se evitarían las duplicidades de funciones y en general se lograría con un sistema
de control interno que las operaciones sigan el curso normal de ellas.

b) Asegurar la calidad de la información

Es importante señalar que en la medida que existan los procedimientos de control interno para
obtener, procesar y entregar información, es obvio que esta será de mejor calidad que la
obtenida en empresas que no posean procedimientos.

Cabe agregar que estos procedimientos deben existir para todo tipo de información, sea esta
contable, presupuestaria o estadística.

c) Promover la eficiencia de las operaciones

Este objetivo del sistema de CI, debe permitir asegurar que la empresa, al emplear los
procedimientos de control interno establecidos, sus operaciones se logren en forma eficiente,
o sea lograr su misión, metas, objetivos, políticas a través de un uso adecuado de todos sus
recursos. Entonces, la entidad debe obtener el máximo de beneficio en el uso racional de sus
recursos.

Para lograr esto último, la entidad debe efectuar permanentes evaluaciones de los
procedimientos y de los resultados obtenidos con los planes establecidos, e informar a los
responsables de la gestión, de las deficiencias encontradas.

d) Impulsar la adhesión a las políticas de la empresa

Es importante destacar en este objetivo del CI, es que la gerencia, y en general todos los
ejecutivos y supervisores que posea la organización, logren que el personal que lideran,
cumplan con los procedimientos establecidos, y los tomen como propios, para determinar
que las operaciones se ejecuten de acuerdo con esos lineamientos, y así lograr las metas
que deben alcanzarse.

Luego en la década de los años 70, el mismo IACP, empezó a definir un sinnúmero de
aspectos doctrinarios, y también a utilizar en forma fundamental el control interno para llevar a
cabo las auditorías, y es así como en esa época se fijan los siguientes conceptos.

Conceptos básicos relativos al Control Interno

En relación con el control interno, existen numerosos conceptos que deben ser definidos para
una mayor comprensión del sistema, entre los cuales tenemos:

1. Responsabilidad de la dirección o gerencia de la empresa frente al Control interno

4
La responsabilidad de crear, mantener, o corregir los procedimientos de control interno, es de la
gerencia general de la organización, como así mismo su implantación. Luego entonces el
sistema de control interno debe quedar bajo la continua supervisión de la gerencia de una
entidad, para determinar si está funcionando como se requiere. Sin embargo a partir del informe
COSO, la responsabilidad es de todos en la organización.

2. Seguridad razonable de obtener los objetivos del control interno

Es importante destacar que no existe una seguridad absoluta que todos los objetivos del control
interno se pueden lograr en una organización, ya que en algunos casos los procedimientos de
control interno no se pueden implantar por un problema de costo, ya que el COSTO DE
CUALESQUIER CONTROL NO PUEDE SER SUPERIOR A LOS BENEFICIOS QUE DE
ESTE PROVENGAN. Por lo anterior la relación costo-beneficio debería ser un criterio
importante que se tiene que considerar, cuando se desee crear un sistema de control interno en
una organización.

3. Sistema de procesamiento de datos

Los objetivos del control interno se pueden alcanzar cualesquiera sea el sistema de
procesamiento de la información que posea la entidad, sea este manual, mecanizado o
computacional, ya que lo que debería verse afectado son los procedimientos que se utilizan
para procesar la información en cualesquiera de los sistemas.

4. Limitaciones del control interno

En cualesquier sistema de control interno que exista en una organización, siempre van a existir
limitaciones, que necesariamente se deben considerar, ya sea cuando se implemente o cuando
se evalué, ya que la mayoría de los procedimientos de control interno se pueden ver afectado
por las siguientes causas:

• Falta de entendimiento de los procedimientos

• Errores de juicio en la aplicación de los procedimientos
• Descuidos personales
• Fatiga
• Colusión.

Los auditores, sean estos internos o externos, cuando están estudiando el sistema,
evaluando o comprendiéndolo, deben considerar el riesgo de las situaciones descritas.

5. Personal

En todo sistema de control interno, hay que considerar que la seguridad razonable de alcanzar
los objetivos, de la organización dependerá en gran medida de la competencia, integridad,
objetividad que posea el personal de la empresa.

6. Segregación de funciones

El sistema de control interno debe evitar que funciones incompatibles sean llevadas por una
misma persona, con el propósito de evitar errores o irregularidades en el manejo de las
operaciones.

5
Es así como es necesario que las funciones de registro deben ser distintas de la de caja, la de
facturación de la de cobranza, la de contabilidad de la de bodega, el vendedor, distinto del
cajero., y otras numerosas funciones incompatibles.

7. Ejecución de las transacciones

Las transacciones que se ejecutan en la empresa deben ser aquellas que están debidamente
autorizadas por personas responsables, y el sistema de control interno debe permitir que así se
proceda.

Estas autorizaciones, se relacionan, con los pagos, el endeudamiento, con las políticas de
crédito, políticas de contratación de personal, políticas de remuneraciones, adquisiciones de
bienes, autorizaciones para utilizar recursos de la entidad y otras.-

8. Registro de las transacciones

Los procedimientos de control interno referentes a la contabilización de las operaciones,

requieren que estas se registren en los períodos en que ellas ocurrieron, y en las cuentas que
correspondan.

9. Acceso a los activos

Los procedimientos de control interno, deben estar diseñados de tal forma, que el acceso a los
recursos de la entidad, esté limitado a las personas debidamente autorizadas, ya sea del punto
de vista físico, sino que también de la utilización que puede dárseles.

10. Comparación de los registros con los activos

El sistema de control interno, debe poseer procedimientos que permitan que las personas que
trabajan en la entidad puedan comparar la existencia física del bien con lo que aparece
registrado. (Arqueo de Caja, Toma de inventarios y otros procedimientos de auditoría).

Ahora bien de estos conceptos algunos de ellos en la actualidad tienen plena vigencia.

Elementos del Sistema de Control Interno

En la misma época de los años 70, la profesión de auditoría definió los elementos del sistema
de control interno existentes en la entidad, a través del SAS 1 y señaló que ellos estaban
conformados por:

1. Un plan de organización
2. Un sistema de procedimientos y métodos
3. Un grado de calidad del personal
4. El sistema de Información.

Con posterioridad la profesión incorpora como elementos del sistema:

5. Las prácticas sanas

6. El control automático y el deliberado (Auditoría Interna)

En la década del 80, el IACP, emite más de 7 documentos (SAS), que vienen a cambiar en
forma sustancial, la forma de llevar a cabo las auditorías, y en relación con los riesgo aparece el

6
SAS 47 y respecto del control interno, se emite el SAS 55 en 1988, el cual nos cambia la norma
de auditoría y los elementos del mismo, y al sistema se le denomina estructura.

Luego entonces en esa fecha, se cambia la norma vigente desde el año 1947 y se señala:

“El auditor deberá adquirir una comprensión suficiente de la estructura de control

interno, para determinar la naturaleza, oportunidad y extensión necesaria de las pruebas
que deberán ejecutarse"

Esta norma es recogida por el Colegio de Contadores a través de los documentos NAGAS y se
aplica en nuestro país a través de la NAGA 14 NAGA 22 y NAGA 44 de 2001.

La profesión cambia los elementos señalados en los primeros documentos emitidos, por
elementos de la estructura de control interno y fueron los siguientes

a) Ambiente de Control
b) Procedimientos de Control
c) Sistema contable.

En esta oportunidad, se le da mucha importancia a los riesgos de auditoría para los exámenes
que los auditores deben efectuar, y ellos son los de detección, el inherente y el de control, y el
profesional auditor debe evaluarlos durante el proceso de su examen, ya que estos influyen
directamente en la selección de la muestra, y en los rubros de mayor interés para efectos de la
auditoría.

También la profesión le da importancia a los comites de auditoría en las organizaciones como

una instancia de control diferentes a las existentes.

Luego en el año 1992, el "Committee of Sponsoring Organizations of the Treadway Commission

(COSO), conformadas por el Instituto Americano de Contadores Públicos, La Asociación
Americana de Contabilidad, el Instituto de Auditores Internos Americano y otras entidades, le
encargaron a la empresa de auditores Coopers & Lybrand, la redacción de un documento final
sobre control interno, el cual se le denominó informe COSO.

Por otra parte a través del SAS 78, se modifica los aspectos doctrinarios del SAS 55, y se
adopta como parte integrante de las Normas de Auditoría , las conclusiones del citado informe
COSO.
Luego entonces a contar del mes de enero de 1997 entra en vigencia lo señalado en el SAS 78.

Segunda Norma de Auditoría según SAS 78

Tal como lo indicamos en los párrafos precedentes la nueva norma sobre el control interno
señala " Un suficiente entendimiento del control interno, tendrá el auditor, al planear la
auditoría, para determinar la naturaleza, tiempo y extensión de las prueba a ser
desarrolladas".

Además de lo anterior se define al sistema de control interno en forma diferente.

Definición del Sistema de Control Interno (SAS 78)

El mismo SAS 78, señala lo siguiente. “ El control interno es un proceso efectuado por el
consejo de directores de la entidad, gerencia y demás personal, designado para
proporcionar una razonable seguridad en relación con los logros de los objetivos de las

7
siguientes categorías: a.-seguridad de la información financiera, b.-efectividad y
eficiencia de las operaciones, y c.-cumplimiento de las leyes y regulaciones aplicables.”

ELEMENTOS O COMPONENTES DEL SISTEMA DE CONTROL INTERNO

Además de la definición de control interno que reemplaza la fijada en el año 1949, se fijan
nuevo elementos del sistema, que tanto el informe COSO, como el SAS 78, le denominan
componentes y ellos son los siguientes:

A.-AMBIENTE DE CONTROL

El ambiente de control. Establece el comportamiento del control en una entidad, o sea el nivel
de compromiso que asume una entidad respecto del control , o sea como el personal
comprende el control dentro de una organización., y constituye la base de todos los demás
elementos y componentes del sistema de CI en una empresa.

Luego el ambiente de control tiene una incidencia fundamental en las actividades

empresariales de una organización, ya sea en el establecimiento de objetivos, como en la
evaluación de los riesgos de la misma.

Entre los factores que se relacionan con este componente tenemos los siguientes:

a) Valores de integridad y ética

b) Compromisos de competencia
c) Junta de directores o participación del comité de auditoría.
d) Filosofía de la gerencia y estilo de dirección
e) Estructura organizacional
f) Asignación de autoridad y responsabilidad
g) Políticas y prácticas de recursos humanos.

1.-Valores de integridad y ética

El estilo de dirección, y la forma como la gerencia perciben el control en la organización, va

formando las normas de comportamiento al interior de una empresa, y refleja además la
integridad de la gerencia y su compromiso con los valores éticos.

La integridad y los valores éticos de las personas de una organización son fundamentales, para
la confianza que se pueda depositar en una entidad, ya que la integridad es un requisito previo
al comportamiento ético de todos los aspectos relacionados con una empresa.

La comisión Treadway señala en su informe COSO, “Que un clima vigoroso dentro de la

empresa y a todos los niveles de la misma, es esencial para el bienestar de la
organización, de todos sus componentes, y del público en general. Un clima así
contribuye de forma significativa a la eficiencia de las políticas y de los sistemas de
control de la empresa, y permite influir sobre los comportamientos que no están sujetos
ni a los sistemas de control más elaborado”.

Es importante recordar que la eficiencia del sistema de control interno de una organización no
puede pasar a llevar la integridad y los valores éticos de las personas que crean los
procedimientos de control, administran y supervisan.

8
Por otra parte es necesario señalar, que el comportamiento ético, así como la integridad de la
dirección son productos de una cultura corporativa, que debe materializarse en la creación de
normas éticas y de comportamiento de las personas que trabajan en una entidad.

Todos sabemos que en algunas entidades pueden existir fraudes u otras irregularidades y estos
se dan en una empresa por las siguientes razones:

a.-Por la existencia de una motivación

b.-Por la poca posibilidad de ser descubierto
c.-Por la existencia de una oportunidad
d.-Para poner a prueba la capacidad de los defraudadores.

La entidad debe evitar la ocurrencia de lo señalado y así evitar que se produzcan situaciones de
ésta naturaleza

La alta dirección de una empresa es la responsable de trasmitir los valores éticos y las normas
de comportamiento a todos sus empleados.

2.-Compromiso de competencia profesional

Cabe hacer presente que el nivel de competencia de las personas que laboran en una entidad,
debe reflejarse en el conocimiento y en las habilidades necesarias para llevar a cabo las tareas
que se le recomienden

La propia organización debe definir el nivel de conocimiento y habilidades que deben poseer las
personas en un determinado puesto, como así mismo debe tanto la organización , como las
propias personas deben preocuparse del perfeccionamiento continuo, para no perder la
competencia para ejecutar las tareas de la entidad en forma eficiente.

3.-Consejo de administración, directorio, o consejo de directorio, y comité de auditoría

El entorno de control y la cultura de las organizaciones están fuertemente influenciados por

el directorio de las organizaciones, que representan a los dueños, y por el comité de
auditoría.

Indudablemente, que para tener el grado de importancia que se requiere, necesariamente

tienen que ser independientes respecto de la dirección o gerencia de la empresa, como también
la experiencia y grado de competencia de sus miembros.

Fuera de lo anterior es importante destacar cual es el grado de compromiso que ellos adquieren
con la entidad, ya que depende de esto, para determinar su influencia en toda la organización, y
por consiguiente en el ambiente de control.

4.-La filosofía de la dirección o gerencia y el estilo operativo o de gestión

Corresponde a la forma de actuar de la gerencia general de una entidad, y su actitud frente a la

información financiera, la selección de las alternativas disponibles respecto de los principios de
contabilidad generalmente aceptados, la escrupulosidad y prudencia con la cual se obtienen las
estimaciones contables, las actitudes frente a las funciones informáticas y contables, como
también frente al personal, la forma con que se cumplen con las responsabilidades de la
entidad., o sea en general como se lleva a cabo la administración de la entidad.

5.-Estructura organizativa o estructura organizacional

9
Una estructura organizativa, bien diseñada por la entidad, debe proporcionar el marco dentro de
la cual sus actividades deben ser planeadas, ejecutadas, controladas y supervisadas.

Esta estructura, debe tener bien diseñado, los niveles de autoridad y responsabilidad dentro de
ella, como también las fuentes de información que la entidad requiere para la toma de
decisiones y para el control.

Ahora bien es importante señalar que cada entidad debe adoptar la estructura organizacional,
que más concuerde con los objetivos que se requiere alcanzar, sin embargo esta estructura
puede variar por distintas razones, tales como:

-Tamaño de la entidad
-Dispersión geográfica
-Objetivos de la entidad
-Tipo de productos que entrega la entidad al mercado

6.-Asignación de autoridad y responsabilidad

La entidad debe tener claramente establecidos, ya sea a través de manuales y del organigrama
de ella los niveles de autoridad y responsabilidad existente en una empresa.

Es importante destacar, que en algunas entidades la tendencia es delegar más autoridad y los
niveles más bajo, para situar el proceso de toma de decisiones en esa primera línea, por otra
parte hay otras empresas que delegan la autoridad sólo cuando sea necesario, pero
independiente de la forma como se delegue es importante que el personal de la empresa
conozca los diferentes niveles de autoridad y responsabilidad existentes en una organización.

7.-Políticas y prácticas de recursos humanos

Esto se refiere a la contratación, orientación, entrenamiento, evaluación, promoción y

compensación del recurso humano que trabaja en una entidad.

Es necesario destacar, que del punto de vista del CI, la organización debe tener procedimientos
claros respecto del punto anterior, y además que ellos sean conocidos por los empleados y
profesionales de la entidad.

También contribuirá al ambiente de control, la preparación que posea el recurso humano

con que cuenta una organización, sus valores éticos y el grado de compromiso que
adquiere con la empresa.

B. EVALUACIÓN DE LOS RIESGOS

Las organizaciones se encuentran con una serie de riesgos, cuyo origen puede ser interno,
como externo, que necesariamente debe evaluarse o tener en consideración.

Estos riesgos afectan a la empresa en su quehacer diario, en su competencia, su situación

financiera y otros aspectos fundamentales.

Sin embargo, si bien el sistema de control interno puede minimizarlos, es imposible bajar
estos riesgos a un nivel cero.

10
Ahora bien, tal como lo señalamos, es importante evaluar estos riesgos, que consiste en la
identificación y análisis de los factores que podrían afectar alcanzar los objetivos de la
entidad.

Luego la identificación de los objetivos, es una condición previa a la evaluación de los

riesgos, por lo cual la identificación de los objetivos es una fase clave en el proceso de
gestión.

Los riesgos en la información, incluyen eventos externos e internos, una vez que los riesgos
son identificados, la gerencia debe considerar su importancia, la probabilidad de su
ocurrencia, y como deben ser manejados.

Sobre el particular, la gerencia puede iniciar planes, programas o acciones para identificar
los riegos específicos, o para decidir o aceptar un riego, ya sea por el costo u otra
consideración.

Estos riesgos pueden surgir debido a las siguientes circunstancias:

1.-Cambios en los ambientes operacionales

2.-Nuevo personal
3.-Nuevos o sistemas reorganizados de información
4.-Rápido crecimiento
5.-Nuevas tecnologías
6.-Nuevas líneas de producto o actividades
7.-Estructuración de la entidad.
8.-Operaciones extranjeras
9.-Pronunciamientos de contabilidad.
10.-Clima de ética y presión para el logro de los objetivos de la entidad.
11.-Tamaño de los recursos, liquidez o volúmenes de transacciones
12.-Condiciones económicas del país
13.-Complejidad de las operaciones
14.-Dispersión geográfica de las operaciones

Los riesgos identificados por la alta dirección, están directamente relacionados con los
procesos críticos, en los que se involucran a las diversas áreas de una entidad. Por lo tanto
es importante que los auditores, sean estos internos o externos identifiquen los riesgos, y así
asignar prioridades de revisión a las actividades con probabilidades de riesgo mayor. Ahora
bien respecto al COSO ERM, este punto es debidamente ampliado

Consideraciones para el establecimiento de prioridades

Es importante destacar que los aspectos más importante en el establecimiento de

prioridades en la planeación de una auditoría, respecto de la identificación de los riesgos es
la siguiente:

-Fecha y resultado de la última auditoría

-Exposición financiera en términos de riesgos
-Riesgos y pérdidas potenciales
-Requerimiento de la gerencia
-Cambios importantes en las operaciones
-Oportunidades para obtener beneficios operativos
-Cambios en los equipos de los auditores y capacidad de los mismos.

11
Para determinar de una forma razonable los riesgos operativos, de una entidad, los
auditores, sean internos o externos se deben evaluar los riesgos, para lo cual es necesario
ponderar la importancia de las diversas operaciones de la empresa y la eficiencia de los
controles de ellas.

Para lo anterior se puede utilizar el siguiente modelo de evaluación de riesgos, basado en el

marco del control interno, respecto de los objetivos y componentes del C.I.

Objetivos

-Eficiencia en el costo
-Eficacia en las operaciones
-Confiabilidad de la información
-Cumplimiento con la normativa
-Salvaguarda de los recursos

Componentes
-Ambiente de control
-Evaluación de los riesgos
-Actividades de control
-Información y comunicación
-Monitoreo o supervisión

Utilizando el modelo de evaluación de riesgo a nivel de función, áreas o rubros, es necesario

determinar lo siguiente:

1.-La importancia de cada función, área o rubro frente a los objetivos de control.
2.-Asignar valores a los menos importantes y a los más críticos.
3.-Estimar la eficacia de los controles internos en cada uno de los componentes.

Los valores asignados se ponderan por cada uno de los componentes y representan el
riesgo residual posterior a las operaciones de los controles. Por lo tanto un valor menor
refleja más confianza en el funcionamiento efectivo del control interno.

Todo lo anterior es una forma de evaluar el control interno que propone el informe COCO
(Criterio of Control Board) de Canadá

C.-ACTIVIDADES DE CONTROL

Son las políticas y procedimientos que ayudan a asegurarse que las acciones necesarias,
serán tomadas en cuenta para establecer los riesgos y lograr los objetivos de la entidad.

O sea son las actividades de control que realiza la gerencia y demás personal de la entidad
para cumplir diariamente con las labores asignadas. Estas actividades están relacionadas
con las políticas, sistemas y procedimientos relacionados con aprobaciones, autorizaciones,
verificaciones, conciliaciones, inspecciones, revisiones de indicadores y salvaguarda de los
recursos.

Ahora bien, es importante tener en cuenta que para realizar una auditoría, respecto de este
componente, es necesario que se consideren, las actividades de control más relevantes,

12
dentro del marco de las políticas y procedimientos establecidos y que pertenecen a lo
siguiente:

-Realización de revisiones
-Proceso de información
-Controles Físicos
-Segregación de deberes.

D.-INFORMACIÓN Y COMUNICACIÓN

En la organización, el sistema de información es fundamental para lograr los objetivos de la

entidad, el sistema de información está compuesto por los subsistemas contables,
presupuestarios y estadísticos.

Es importante destacar que la calidad de los subsistemas, afecta las habilidades de la

gerencia para la toma de decisiones, y afecta también los informes que se emiten.

Por lo anterior es importante que la información que se genera sea comunicada

oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus
responsabilidades.

El sistema de información de la empresa debe abarcar métodos y registros que:

-Identifiquen y registren todas las operaciones ocurridas

-Describa las operaciones con detalle para poder clasificar.
-Mida las operaciones en términos cuantitativos
-Determine el período en las cuales las operaciones ocurrieron.
-Presente correctamente las operaciones en los estados que deban emitirse.

Por otra parte la comunicación incluye proporcionar información en todos los sentidos, tanto
al interior como externamente.

También es importante que todos comprendan la importancia del control interno para lograr
los objetivos de la entidad, y tener bien establecidos los canales a través de los cuales debe
fluir la información de la empresa.

Además es necesario señalar que se debe generar información de calidad y comunicarla

oportunamente, de tal manera que las personas la comprendan y puedan cumplir con sus
obligaciones.
La comunicación debe adquirir formas tales como manuales, memorando, órdenes de
servicios, circulares u otras.

E.-VIGILANCIA, SUPERVISION O MONITOREO

Los sistemas de control interno de una organización, necesitan que permanentemente estén
siendo evaluados, para determinar si están funcionando tal como han sido prescritos, o en
caso contrario efectuar las correcciones pertinentes.

Ahora bien, esta labor le corresponde en primer lugar a quienes tienen autoridad dentro de
una entidad, y también a todo el personal, y a las auditorías, tanto las internas como las
externas.

13
Queremos señalar también que todo lo anterior es lo que conocemos sobre CI, hasta el mes
de Julio de 2003, cuando se reúne nuevamente la comisión COSO, y emite un nuevo
documento a contar de esa fecha, denominado COSO ERM, cuyo principal contenido es el
que se indica a continuación:

El Control Interno Moderno y los riesgos (COSO ERM)

Para nadie es un sorpresa en la actualidad la administración ha evolucionada en forma

extraordinaria en el último tiempo y por lo tanto esa misma evolución nos ha llevado a los
auditores a ejecutar nuestras tareas de una forma diferente que en el pasado. Es así, como
en el año en el año 1985 es creada, por agrupaciones relacionadas con la auditoría, la
Comisión Nacional sobre Información Financiera Fraudulenta, conocida como la “Comisión
Treadway”, la cual durante cinco años se centro en la tarea de definir bajo un nuevo marco
conceptual, relacionado con el control interno, su doctrina, objetivos y componentes, de tal
manera de poder estandarizar muchos aspectos.

Es bueno recordar tal como lo hemos indicado con antelación, en este apunte, en el año
1992 se emite un documento denominado “Informe C.O.S.O.” (Committee of Sponsoring
Organizations of the Treadway Commission), el cual entrega una doctrina, enfoques y
metodologías modernas dirigido especialmente a los niveles estratégicos, logísticos y
tácticos dentro de la organización. Y también para los profesionales de la auditoría.

Este documento define el CONTROL INTERNO lo define como:

“un proceso efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes
categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas que sean aplicables”.

El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los
cuales eran el Ambiente de Control, Evaluación de Riesgos, Actividades de Control,
Información y Comunicación; y Supervisión.

En esa misma época, en todas partes del mundo se emitieron con diferencias de meses o
años, más o menos, diferentes informes que hablaban de control interno. Se puede citar el
Informe Caldbury y turnbull en Inglaterra, el King en Sudáfrica, el COCO en Canadá, el
Peters en Holanda, el Olivencia en España, el Veniot en Francia, y otros

También es importante destacar que a comienzo de la década del 80 , se comienza a hablar

de los Riesgos., especialmente cuando aparece el SAS 47, que lo define y señala cuales
son los que afectan a una auditoría a los estados financieros, el Inherente, el de control y el
de detección, este último relacionado con los auditores . En esta misma época ya se habla
de evaluación de riesgo, de mapa de riesgo, de matrices de riesgos etc.

Es importante señalar que en año 1999 y surge un nuevo informe, esta vez en Reino Unido
llamado Informe Turnbull al alero de la Bolsa de Valores de Londres, que acrecienta la
importancia de la Administración de Riesgos en el mundo empresarial y organizacional, y
que entrega una Guía para los Directores y Administradores de Empresas.

14
El nuevo COSO (ERM)

Para nadie es un misterio que el INCPA incorporó el informe COSO, como una norma
Americana, sólo el año 1997, a través de su boletín SAS 78, pero acontecimientos tan
importantes como la caída de grandes empresas Americanas en insolvencias, no obstante
que tenían auditorías y sistemas de control interno, llevó nuevamente a reunir la comisión
COSO para reestudiar el documento anterior a la luz de los acontecimientos de estos años
en el mundo empresarial y de la auditoría.

Es así como en julio de 2003 se le solicitó a la empresa Pricewaterhouse Coopers emitiera

un nuevo documento denominado COSO ERM o COSO dos

El COSO II, incluye una guía actualizada que proporciona herramientas de ayuda a las
empresas en la administración de sus riesgos, ampliando de 5 a 8 los componentes de la
Administración de Riesgos Empresariales. Con ello, se entrega una respuesta a las
necesidades que viven las empresas en la actualidad, las cuales operan en ambientes
donde factores como la globalización, la tecnología, reestructuraciones, regulaciones,
mercados cambiantes y competencias, entre otros, crean la incertidumbre.

Considerando toda la literatura existente en el tema de riesgos y control interno, este

proyecto, encargado y desarrollado por la empresa “PricewaterhouseCoopers”, la cual,
fundamentándose en el primer informe (C.O.S.O. I), unificó criterios construyendo una
estructura que proporciona definiciones fundamentales, conceptualizaciones, categorías de
objetivos, componentes, principios y otros elementos, que permiten contar con una estructura
de riesgos sólida.

La Comisión Treadway plantea en la temática fundamental de su segundo informe, que la

administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos
operacionales de la organización, debiendo integrarse a todos los controles internos, hasta el
resultado final y en la retroalimentación pertinente de todos los procesos.

La Administración de riesgos existe para mantener y mejorar el valor de las inversiones de

sus dueños, accionistas e interesados en la Organización, por lo cual debe enfrentarse a la
incertidumbre, en el menor de los casos evitarla, teniendo presente que en ésta se
encuentran los riesgos y las oportunidades asociadas. Donde, la posibilidad cierta de
mantener, reforzar o perder el capital, emerge de las decisiones estratégicas de la dirección,
de las decisiones operativas de personal no directivo, de la marcha de las operaciones
diarias, como también de la información interna o externa disponible.

La administración de riesgos no es un fin en si mismo, más aún es un importante medio

para alcanzar los objetivos empresariales (Estratégicos, operacionales, de Información y de
Cumplimiento de Regulaciones) y no opera en forma aislada en una entidad, más bien se
transforma en un colaboradora en los procesos de administración. La Administración de
Riesgos se interrelaciona con el gobierno corporativo, entregando información a la mesa
directiva sobre los riesgos más significativos y como ellos están siendo administrados, como
también lo hace en el desarrollo de la gestión, proporcionando las medidas más precisas de
control interno para minimizar los citados riesgos.

15
Componentes COSO I - 1992
1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión
Componentes COSO II - 2004
1. Ambiente de Control Interno
2. Establecimiento de Objetivos
3. Identificación de Eventos
4. Evaluación de Riesgos
5. Estrategias frente al Riesgo
6. Actividades de Control
7. Información y Comunicación
8. Supervisión

Como se puede observar desde el COSO I, el componente que tiene una profundización
mayor, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de
un control interno moderno, es más como leerán en las páginas siguientes, se comienza a
desarrollar la definición global de Administración de Riesgos Empresariales (ERM en inglés).

ADMINISTRACION DE RIESGOS

La Comisión Treadway define a la Administración de Riesgos como “un proceso, efectuado

por el Directorio, Administradores y otras personas de la entidad, aplicados a la
estrategia establecida en la empresa, diseñado para identificar potenciales eventos
que puedan afectarla, y administrar los riesgos que están dentro de su cantidad y
capacidades, para proveer una seguridad razonable con respecto al logro de los
objetivos”.

La nueva definición anterior, entrega cierta terminología fundamental para la administración

de riesgos, la cual al igual que el primer informe comienza a establecer una estructura básica
e integrada de conceptos entre el control interno y la administración de riesgos, los cuales
son:

Un proceso; esto se refiere a que la administración de riesgos no es un suceso aislado, sino

que representa una serie de acciones que se extienden por toda la empresa a través de sus
actividades propias, siendo estas últimas inherentes a la gestión de la dirección.

Las personas; La administración de riesgos es efectuada por personas que se desempeñan

en el Consejo de Administración, la dirección y los demás miembros de la organización, a
través de acciones y palabras. Estas personas son las que establecen la visión, misión,
estrategia y objetivos de la entidad, e implantan los mecanismos de administración de
riesgos.

Aplicada en la Estrategia; Una entidad define su visión y misión, y luego sustentado en

éstas, establece sus objetivos estratégicos, los cuales son las metas de más alto nivel de la
organización. También fija objetivos operacionales para la organización en forma integral y
para unidades específicas, como divisiones y procesos, las cuales se derivan de la
estrategia.

Aplicada a través de la Empresa; Para tener éxito en aplicación de la administración de

riesgos, una entidad debe considerar el alcance total de sus actividades. De todos los niveles
de la organización sin excepción, como planificación estratégica, asignación de recursos,
unidades de negocios y sus procesos como comercialización, recursos humanos, créditos,
abastecimiento, como también considera proyectos y nuevas iniciativas.

Cantidad de riesgo; Esto es la cantidad de riesgo que una organización está deseosa de
aceptar en pos del logro de sus objetivos.

16
Proporcionar una seguridad razonable; La administración de riesgos, por muy bien
diseñada que se encuentre, sólo puede aportar un grado de seguridad razonable con
respecto al logro de los objetivos organizacionales. Es casi imposible evitar la Elusión y
Colusión, que sin lugar a dudas afecta la Administración de los Riesgos Empresariales.

Logro de los objetivos; Dentro del contexto establecido en la misión o visión, está la
definición de los objetivos y la selección de estrategias para alcanzarlos.

Las cuatro categorías de objetivos detallados (objetivos estratégicos, operativos, de

información y cumplimiento de normas), la administración de riesgos los relaciona con sus
ocho componentes, que vinculados entre sí, le dan una estructura sólida y vital a la entidad
para conseguir los objetivos organizacionales y darle un valor agregado a la función de
Auditoría Interna.

Los ocho componentes del COSO II se amplían en los próximos puntos: Ambiente interno;
Definición o Establecimiento de objetivos; Identificación de eventos; Evaluación de riesgos;
Respuesta o Estrategia frente al riesgo; Actividades de control; Información y comunicación;
y Supervisión (Monitoreo o Vigilancia).

COMPONENTES DEL CONTROL INTERNO EN LA ADMINISTRACION DE RIESGOS.

AMBIENTE DE CONTROL INTERNO

El Ambiente de Control Interno, armoniza el conjunto de circunstancias que enmarcan el

accionar de una entidad desde la perspectiva del riesgo, siendo determinante en las
conductas y procedimientos organizacionales. Es una consecuencia, asumida de la actitud
de la alta dirección, la gerencia, y por los otros integrantes de la organización, con relación a
la importancia del riesgo y su impacto sobre las actividades y resultados. Ejerce un
ordenamiento, a través de la influencia que provee al comportamiento del personal en su
conjunto.

El ambiente interno en una entidad, que comienza en la gerencia, es la base para el resto de
los componentes de la administración de riesgos, proporcionando estructura y disciplina.
Influye en el establecimiento de estrategias y objetivos, estructuración de actividades, en la
información como en los sistemas de comunicación y en la supervisión de los procesos. El
Ambiente Interno también es influenciado por factores como la historia de la organización, su
cultura y subcultura, su estilo de dirección, competencia y desarrollo del personal, asignación
de autoridad y responsabilidad, sus valores éticos.

Todos los factores que afectan de una forma u otra a una organización, variarán en su
capacidad de afectar en conformidad al tamaño de la entidad, a la forma de administrar y en
la medida en que cada uno de estos factores sea considerado.

El informe C.O.S.O. II, define de la siguiente forma los factores del Ambiente de Control:

Filosofía de Administración de Riesgos

La filosofía refleja el valor que la entidad le entrega a la administración de riesgos y cómo

esta actitud afecta a la aplicación de los otros factores, lo cual se manifiesta en sus
declaraciones de políticas y otro tipo de comunicaciones, a través de palabras y acciones
diarias. Esto se refiere a la capacidad de entendimiento que poseen los integrantes de una

17
entidad con respecto a la administración de riesgos, y si a sus empleados y directores se les
facilita o potencia habilidades para reconocer los riesgos en forma eficaz, escogerlos,
dirigirlos y tratarlos.

Cantidad de riesgo

Es la cantidad de riesgo que una organización está dispuesta a aceptar con el fin de alcanzar
sus objetivos. Considera para este efecto en forma frecuente categorías como alta, media o
baja, o expresarse cuantitativamente en forma aproximada, reflejando un balance entre
metas de crecimiento, retorno y riesgo. El apetito de riesgo está directamente relacionada
con la estrategia de una organización, donde el retorno deseado debe estar alineado con la
capacidad de riesgo posible, por lo tanto, la administración de riesgos debe asesorar a la
dirección a escoger una estrategia consistente con sus alcances.

Cultura de riesgo

Es un conjunto compartido de actitudes, valores y prácticas que caracterizan como una

entidad considera el riesgo en sus actividades diarias. Este factor, para algunas empresas
proviene de los dos primeros factores, en otras es parte del azar, pero en ambos casos
puede en algunas empresas haber una o más culturas de riesgos diferentes o incluso dentro
de una misma unidad comercial, proceso o departamento. La administración de riesgos
debe considerar cómo su cultura de riesgo afecta su equilibrio con otros elementos propios
de su control, para lo cual, donde exista inconveniente la administración de riesgos debe
tomar acciones para ajustar la filosofía y el apetito de riesgos, o volver a pensar la forma de
cómo se está aplicando la administración de riesgos en la empresa.

• Subcultura de riesgos
En algunas organizaciones existen unidades de negocios, procesos, funciones o
departamentos que de una forma u otra, dependiendo de sus objetivos, poseerán
culturas levemente diferentes. Sus gerentes, en forma individual, se sienten
preparados para tomar más riesgos, mientras otros son más conservadores, y estas
diferentes culturas algunas veces se cruzarán en sus propósitos. Para lo cual la
administración de riesgos debe velar por los equilibrios de ciertos choques que se
puedan presentar, en beneficio de la Organización como un todo.

• Reconociendo la realidad del riesgo.

Si una organización no ha sufrido pérdidas o no ha tenido ninguna exposición
significativa al riesgo, ella no debe sucumbir al mito de que un evento con
consecuencias adversas no se presentará en ella, aunque pueda tener empleados
competentes, procesos eficaces y tecnología confiable. La administración de riesgos
debe tener presente que muchas variables en los ambientes internos y externos
pueden cambiar rápidamente, y volver a una entidad completamente vulnerable en sus
aspectos más sólidos y/o afectarla gravemente desde aquellos más despotenciados, o
en conjunto.

Consejo de Administración y el Comité de Auditoría.

Es un de los factores más críticos del ambiente interno e influencia fundamental para otros
elementos de la administración de riesgos. Hoy se habla de los gobiernos corporativos y
como ellos afectan el funcionar de las Organizaciones. Ambos estamentos de la empresa,
son y deben ser independientes de la administración, donde sus acciones juegan un rol vital
para organización, como también la experiencia y calidad de sus miembros, el grado de
participación y examen de actividades o vigilancia. Otro punto importante que incluye al

18
Consejo de Administración y al Comité de Auditoría es que se plantean preguntas difíciles a
la Dirección relativas a la estrategia, planes y desarrollo. Es así como el Consejo y el Comité
deben estar preparados para cuestionar y supervisar las actividades de la gerencia,
presentar opiniones alternativas y tener disposición para actuar cuando se originan
situaciones no deseadas, inesperadas o problemas de hecho, a través de la interacción del
Comité de Auditoría con los auditores externos e internos.
Integridad y valores éticos.

Los objetivos y estrategias de una organización, y la forma como ellos son implementados y
alcanzados están basados en preferencias, valores de juicio y estilos de gestión. Los cuales,
en su conjunto, definen la integridad, el compromiso ético y las normas de comportamiento
para la administración, las que deben ir más allá de cumplir con las regulaciones y normas
legales, donde la integridad es un requisito previo al comportamiento ético en cada uno los
distintos aspectos de las actividades de una organización.

A menudo establecer valores éticos en una entidad es difícil, complejo y frustrante, debido a
la necesidad de considerar los intereses de distintas partes, debiéndose establecer un
equilibrio entre los intereses de la organización con clientes, empleados, proveedores,
competidores y la comunidad.

La gerencia general es la figura dominante de la organización y a menudo da la pauta ética

de la misma. Se pueden producir prácticas fraudulentas o cuestionables a la hora de
presentar información financiera. Estos mismos factores pueden incidir en el comportamiento
ético. Los individuos pueden cometer actos fraudulentos, ilegales o poco éticos,
simplemente porque la organización en la que trabajan les incita o tienta. El poner énfasis
en los resultados, sobre todo a corto plazo, fomenta un entorno en el que se impone un
precio muy alto al fracaso.”.

Otras prácticas tentadoras son: La ignorancia (que no exista una guía explícita de procesos y
funciones); inexistencia de códigos de conducta; malas comunicaciones; complacencia con
las normas éticas; que los empleados sigan los malos ejemplos de la administración; falta de
controles o controles ineficaces, tal como una segregación de funciones deficiente en áreas
sensibles; reducir las probabilidades de detección al tener un alto nivel de descentralización
que impide a la Gerencia estar al tanto de las acciones llevadas a cabo en los niveles más
bajos; una función de auditoría interna débil y/o que no sea capaz de detectar e informar
acerca de comportamientos indebidos; sanciones menores por comportamientos indebidos
sin poder ejemplificador; inexistencia de mecanismos para animar a los funcionarios a
informar de irregularidades e infracciones y acciones disciplinarias para los que no informen.

Compromiso de competencia del personal.

La competencia refleja el conocimiento y las habilidades necesarias para realizar las tareas
asignadas. La Dirección determina el grado de perfección con la cual debe desarrollarse
cada tarea, teniendo en cuenta los objetivos de la organización, como los planes y
estrategias de la Gerencia para su obtención. La Dirección debe especificar el nivel de
competencia para cada trabajo, donde cada función se traduce en niveles de conocimiento y
habilidad, los cuales pueden estar en función de la inteligencia, formación y experiencia de
cada persona, así como el grado de juicio profesional aplicable a una específica función.

Filosofía de Dirección y el Estilo de Gestión.

Este factor determina la manera en que la empresa es gestionada y tiende a definir los tipos
y cantidad de riesgo empresarial que se está dispuesto a aceptar. Una entidad que haya

19
tenido éxito en el momento de correr riesgos importantes puede tener una perspectiva
distinta de la administración de riesgos de otra que se ha enfrentado a sucesos con
consecuencias adversas desde un punto de vista financiero o administrativo, al ingresar a
aventuras económicas peligrosas. Una empresa de gestión informal puede controlar sus
acciones persona a persona con los directores claves, en cambio una formal puede
depender en mayor medida de políticas escritas, indicadores de rendimientos e informes de
excepción, etc.

La forma de actuar es un componente fundamental para este factor, el cual se refleja en la

aptitud adoptada en y ante la presentación de información financiera, la selección de
alternativas disponibles respecto a los principios de contabilidad aplicables, la
escrupulosidad y prudencia de las estimaciones contables y las actitudes frente a las
funciones informáticas y contables, así como hacia el personal.

Estructura orgánica.

Este factor tiende a definir el marco en el cual se planifica, ejecuta, manda, comunican y
supervisan las actividades de una entidad. Una estructura orgánica relevante define las
áreas claves de autoridad y responsabilidad como también el establecimiento de líneas
apropiadas de comunicación. Una entidad desarrolla su estructura organizativa de acuerdo a
sus prioridades estratégicas, algunas pueden ser centralizadas, descentralizadas,
piramidales o planas, por sector, líneas de productos, por zonas o red de distribución, o
funcionales como las del sector público.

Asignación de autoridad y responsabilidad.

Esta etapa se refiere a la medida en que se autoriza a los equipos o a las personas en forma
individual a utilizar iniciativas al momento de enfrentar problemas o tratar temas,
estableciendo límites de autoridad. Esto también incluye el establecimiento de informes y
protocolos de autorización, como de políticas que describan las prácticas más adecuadas
para la entidad, conocimiento y experiencia para el personal clave y los recursos para el
cumplimiento de las funciones. Como también que todo el personal esté en conocimiento y
entienda los objetivos, y cómo su actuar se relaciona con su entorno laboral y contribuye a la
obtención de ellos. Una delegación mayor exige implícitamente un mayor nivel de
competencia al personal, como también la necesidad de contar con procedimientos que
permitan supervisar con eficacia los resultados.

Políticas y Prácticas de Recursos Humanos.

Estas prácticas tienen que ver con contratación, orientación, entrenamiento, evaluación,
asesoramiento, promoción, remuneraciones, como también el indicarles a los empleados los
niveles de integridad, ética y competencia que de ellos se espera. Desde el reclutamiento y
entrevistas el empleado, éste debe sentir el compromiso de la entidad con su persona, a
través de políticas de formación de su responsabilidad y funciones, capacitación para
demostrar los niveles esperados de desempeño; rotación de personal fundamentado en
evaluaciones; las remuneraciones basadas en incentivos por metas, responsabilidades
mayores; y finalmente las amonestaciones en contra de la indisciplina que da a conocer que
no se toleran conductas distintas a las deseadas.

Ambiente Interno - Factores a Considerar:

Filosofía de Administración de Riesgos – Cultura de Riesgos – Directorio y Comité de
Auditoría – Integridad y Valores Eticos – Compromiso de Competencia Profesional –
Filosofía de la Gerencia y Estilo de Operación – Apetito de Riesgo – Estructura Orgánica

20
– Asignación de Autoridad y Responsabilidad – Políticas y Prácticas de Recursos
Humanos.

ESTABLECIMIENTO DE OBJETIVOS.

El establecimiento de los objetivos es una condición previa al desarrollo propiamente tal las
actividades de la entidad, ya que deben haber objetivos antes que la Dirección pueda
identificar, evaluar y manejar los riesgos para su obtención, éstos generalmente vienen
implícitos en la misión y visión de la entidad, las cuales son su razón de ser. Luego, la
Dirección define sus objetivos estratégicos, los cuales son metas de alto nivel y de largo
plazo, las que se sustentan en la visión y misión de la organización, y reflejan la opción de
cómo la entidad buscará darse valor y a la vez rentabilidad a las partes interesadas.

Es fundamental para el éxito, establecer objetivos correctos que se apoyen y se alineen con
la estrategia seleccionada, y que incluya a todas las actividades de la entidad. Es así, como
enfocados en los objetivos estratégicos y en la estrategia misma, una entidad se posiciona
para desarrollar los objetivos operacionales, creando y conservando valor. Cada objetivo
operativo se une e integra a objetivos más específicos que caen en forma de cascada, a
través de la organización, sobre todas las actividades. Al definirse los objetivos, se debe
hacer en forma ordenada y por actividades, con el objeto que la entidad pueda identificar
factores críticos fundamentales.

Los objetivos necesitan ser rápidamente comprendidos y medidos. La administración de

riesgos requiere que el personal en todos los niveles, tenga un cabal entendimiento de los
objetivos de la entidad como de su entorno laboral. Todos los empleados deben tener una
mutua comprensión de lo que se está haciendo y de lo que está siendo cumplido.

A pesar de la diversidad de objetivos que pueden tener las organizaciones, el Informe

C.O.S.O. II establece cierta categoría de objetivos, los cuales pueden tener traslapes en
algunas actividades o apoyarse mutuamente:

• Objetivos estratégicos. Estos tienen directa relación con la planificación de largo plazo,
y son el fundamento de las restantes categorías de objetivos.

• Objetivos operacionales. Estos se relacionan directamente con la eficacia y eficiencia

de las operaciones de la entidad, incluye el desarrollo y alcance de los objetivos, como la
salvaguarda de los recursos contra las pérdidas. Ellos varían de acuerdo a la elección
hecha por la Dirección respecto de la estructura y desarrollo organizacional, que se
fundamentan en la visión, misión, estrategias, prioridades, juicios y estilos de gestión.

• Objetivos de Información financiera. Estos se refieren a la confiabilidad y razonabilidad

de la información financiera o no financiera, acorde con principios contables y de
auditoría, la cual (información) también puede ser interna o externa.

• Objetivos de cumplimiento (Compliance). Estos objetivos establecen la adhesión de la

entidad en cuanto al cumplimiento de leyes, normas y regulaciones que pueden afectar
positiva o negativamente la reputación organizacional.

Establecer los objetivos es un componente de la administración de riesgos (ERM), y aunque

éstos proporcionen metas medibles, un objetivo va a tener un mayor grado de importancia y
prioridad que otros dependiendo de la actividad y de su etapa, teniendo muy presente que se
lograrán ciertos objetivos y otros no, por lo cual la administración de riesgos debe
proporcionar una convicción razonable a la entidad que los objetivos están lográndose a

21
través de un desarrollo consistente de acciones y metas a través de la entidad, identificación
de factores claves y de riesgo, y efectuando evaluaciones desde la selección de objetivos,
los niveles de apetencia y tolerancia al riesgo, y asimismo activar lo controles que los
minimicen, etc.

Establecimiento de Objetivos - Factores a Considerar:

Objetivos Estratégicos – Objetivos relacionados: Operación; Información y de
Cumplimiento – Análisis desde Selección de Objetivos, Cantidad, Tolerancia y Controles.

IDENTIFICACION DE EVENTOS

Los eventos son sucesos que ocurren por casualidad o causalidad, que pueden originarse de
fuentes internas o externas de la empresa, y que pueden afectar el desarrollo de las
estrategias o el logro de los objetivos. Para estos efectos, la Gerencia define rangos de
ocurrencia de eventos potenciales de origen interno o externo y si el impacto va a ser
positivo o negativo.

La identificación del evento es la mejor herramienta, aparte de la evaluación del mismo, sin
embargo, lo limitado de esta práctica es poder establecer de dónde vendrá; pero los eventos
potenciales negativos de remota posibilidad de ocurrencia no deben ser ignorados, ya que
afectarían gravemente a la organización y a sus objetivos.

Como los eventos que influyen en las estrategias y objetivos pueden ser internos o externos,
la administración de riesgos debe reconocer el factor de origen de éstos, como por ejemplo
para el caso de los externos sería la economía y el comercio, catástrofes, medio ambiente,
políticas de gobierno, cambios de hábitos sociales y tecnología; ahora para factores internos
se identifican la infraestructura, personal, procesos y tecnología.

Por otra parte, los eventos también deben identificarse a nivel de actividad, ya que
contribuye a la evaluación de los riesgos y a mantener alineado el apetito con la tolerancia
de riesgo de la entidad.

La metodología de la identificación de eventos puede comprender una variada combinación

de técnicas, pero las más utilizadas son aquellas que consideran el pasado histórico y los
potenciales eventos futuros, como también los eventos potenciales comunes a la industria en
particular.

Lo fundamental es que la metodología dependerá de la cultura de riesgo de la organización,

por lo tanto la administración de riesgos debe tener desarrolladas las capacidades de
identificación, para poder asegurar una correcta evaluación y control de riesgo. En especial,
para aquellos eventos que activan a otros, creando una cadena de eventos
interrelacionados, a los cuales se les debe encontrar su relación para poder controlarlos.
Desde esa perspectiva, es recomendable para las organizaciones agrupar los eventos
potenciales por categorías, incluyendo aquellos sucesos potenciales de la entidad en forma
horizontal y los eventos que operan dentro de las unidades en forma vertical, lo cual permite
a la Dirección desarrollar y comprender las interrelaciones entre los distintos eventos,
ganando tiempo en la identificación de los riesgos como también de las oportunidades, con
información relevante para crear una base de datos o portafolio para la evaluación de los
riesgos y la creación de los controles respectivos; lo cual podría realizarse a través de una
categorización de objetivos estratégicos, operacionales de unidades o procesos.

No todos los eventos representan un impacto negativo, pueden ser positivos o tener ambas
características. Aquellos que representan riesgos requieren ser evaluados y controlados, ya

22
que significan la posibilidad que afecten adversamente el logro de los objetivos. En cambio
los eventos con un impacto potencialmente positivo representan las oportunidades, para lo
cual deben ser encauzados y considerados en el establecimiento de las estrategias o en los
objetivos de los procesos, para que puedan formularse las acciones para considerarlos en el
futuro.
Identificación de Eventos - Factores a Considerar:
Eventos – Factores que Influyen (Externos o Internos) - Metodologías y Técnicas –
Independencia de Eventos – Categoría de Eventos – Riesgos u Oportunidades

EVALUACION DE RIESGOS

Este componente de la administración de riesgos, permite a una entidad considerar la los

factores internos y externos que puedan ocurrir, y hasta que punto los eventos afectarán el
logro de los objetivos de una organización. Aunque algunos factores son comunes a
industrias de un mismo tipo, muchos son únicos a una entidad en particular, debido a sus
objetivos establecidos y a sus acciones pasadas. En la evaluación de riesgos se mezclan los
potenciales eventos futuros relacionados a la entidad y sus objetivos, lo que considera en el
análisis del tamaño de la estructura, la complejidad de los procesos, funciones y el grado de
regulación de sus actividades, entre otros.

La Dirección considera dos tipos de riesgos, siendo el primero el riesgo inherente que es
aquel que afecta a una entidad ante la ausencia de acciones de la administración que
fuercen a alterar la probabilidad de su impacto; y el riesgo residual es aquel que permanece
después que la dirección responde al riesgo a través de sus controles., siendo el segundo un
derivado del primero.

Asimismo, en la evaluación de riesgos, la Dirección considera el impacto potencial de

eventos esperados e inesperados, donde muchos eventos son rutinarios y recurrentes y son
administrados con relativa facilidad con programas y presupuestos. Otros son totalmente
inesperados, y tienen una probabilidad de baja ocurrencia pero de gran impacto potencial y
la respuesta por parte de la organización es individual, sin embargo, la incertidumbre existe
con respecto de ambos tipos de eventos.

La evaluación de la incertidumbre de eventos potenciales es efectuada en dos perspectivas,

probabilidad e impacto. La probabilidad representa la posibilidad que un evento dado ocurra,
mientras el impacto representa su efecto. Es importante que los juicios para distinguir estas
perspectivas sean responsables, cuidadosos y racionales, ya que un riesgo con una
probabilidad baja de ocurrencia y un impacto potencial pequeño garantiza menor
consideración; en cambio un riesgo con probabilidad alta de ocurrir y un impacto potencial
significativo exige una atención especial.

En consecuencia, la administración de riesgos debe evaluar los riesgos en el contexto de la

estrategia y objetivos de la organización, tendiendo a efectuarlo desde una perspectiva de
corto, mediano y largo plazo, aún cuando algunos factores estratégicos posean mayor límite
de tiempo, es vital entregar a la Dirección la información de aquellos riesgos que están fuera
de los límites, por ejemplo, la estimación de un terremoto.

Las estimaciones de la probabilidad e impacto de riesgos futuros es recomendable

determinarlas observando eventos pasados, los que pueden proporcionar resultados buenos
que permitan evitar prejuicios personales, como es lo que sucede con las estimaciones
subjetivas. Sin embargo, en la evaluación como para su análisis propiamente tal sustentado
en el pasado, se debe tener muy presente los datos externos como cambios de los factores

23
con el transcurso del tiempo, para predecir el futuro, que permitan minimizar la probabilidad e
impacto de los riesgos, los cual debe realizarse en forma metódica y no al azar.

La metodología de evaluación de riesgos de una organización comprende una combinación

de técnicas cualitativas y cuantitativas. Las primeras se utilizan cuando no es factible medir
los riesgos o los datos no son suficientes, son poco creíbles o irreales. Esta técnica se ve
potenciada a través de entrevistas, talleres, documentación, etc.

En cambio, las técnicas cuantitativas traen más precisión y se utilizan en actividades más
complejas y sofisticadas, complementando a las técnicas cualitativas. Las técnicas de
evaluación cuantitativas normalmente requieren un grado más alto de esfuerzo, la que por lo
general utiliza métodos matemáticos, lo cual la vuelve dependiente de la calidad de los datos
de apoyo, para una previsión confiable, como resulta de utilizar las técnicas de
benchmarking, modelo probabilístico y no probabilístico. Sin embargo, se pueden utilizar las
dos en conjunto, convirtiéndose en una técnica de evaluación cualitativa, facilitando su
información en base más científicas.

Por otra parte, la Administración de riesgos puede evaluar eventos correlacionados, donde la
combinación de éstos puede significar diferentes probabilidades o impactos. Mientras el
impacto de un único evento fuerte puede ser débil, una secuencia de eventos fuertes tiene
un mayor y significante impacto. Para este último suceso múltiple, la administración de
riesgos debería hacer esfuerzos para evaluar en escenarios de análisis, el impacto de los
eventos y los efectos que éstos originarían, aunque no se debe dejar de tener presente la
constante repetición de eventos menores.

Un riesgo con impacto alto y probabilidad de ocurrencia alta, generalmente se denomina

riesgo de criticidad catastrófica.

Un riesgo con impacto alto y probabilidad de ocurrencia baja, generalmente se denomina

riesgo de criticidad peligrosa.

Un riesgo con impacto bajo y probabilidad de ocurrencia alta, generalmente se denomina

riesgo de criticidad rutinaria.

Un riesgo con impacto bajo y probabilidad de ocurrencia baja, generalmente se denomina

riesgo de criticidad menor.

Evaluación de Riesgos - Factores a Considerar:

Riesgo Inherente y Residual – Probabilidad e Impacto – Metodologías y Técnicas –
Correlación – Criticidad de los Riesgos.

RESPUESTA O ESTRATEGIA FRENTE AL RIESGO.

Habiendo evaluado los riesgos pertinentes, la administración de riesgos debe determinar

cómo responderá o reaccionará ante ellos, lo que incluye evitar el riesgo, reducirlo,
compartirlo y aceptarlo. Considerando la respuesta, se deben tener presente los costos y
beneficios en directa relación con la tolerancia de riesgo deseada.

De acuerdo a lo expresado, la reacción al riesgo se clasifica en las siguientes categorías:

• Evitar el riesgo. Las acciones son dirigidas a eliminar o evitar las actividades que
originan riesgo, como eliminar una línea de productos o no operar con un sector de
clientes.

24
• Reducir el riesgo. En este caso las acciones tienden a reducir la probabilidad, el impacto
o ambos. Por ejemplo, estableciendo controles más rigurosos o automatizar para bajar la
probabilidad; o bajando el monto de las transacciones por cliente; o ambas.

• Compartir el riesgo. La intención en esta situación es minimizar la probabilidad de

riesgo o impacto, compartiendo una parte del riesgo con otros, como sucede con el caso
de los seguros.

• Aceptar el riesgo. Esta se refiere a que no se toma ninguna acción, ante la probabilidad
de riesgo o impacto.

Para muchas entidades, las opciones de respuesta apropiadas para algunos tipos de riesgos
son obvias y bien aceptadas, en cambio para otras las opciones disponibles de respuesta no
están muy claras en el breve plazo y se requiere actividades de identificación más extensas,
como análisis y estudio de mercado. Por lo tanto, la Administración de riesgos de una
organización debe considerar las respuestas potenciales dentro de una categoría de riesgo
(criticidad), lo que entrega una profundidad suficiente para la selección de la respuesta y
cambios de los niveles, respetando las siguientes etapas:

• Evaluar los efectos potenciales de la estrategia de riesgo ante la probabilidad e impacto;

• Evaluar los costos contra los beneficios de respuestas potenciales;

• Analizar las posibles oportunidades para alcanzar los objetivos de la organización, que
van más allá de los riesgos específicos.

Por otra parte, al evaluar las posibles respuestas a los riesgos, se deben analizar los riesgos
inherentes con la intención de alcanzar un riesgo residual que se mantenga alineado con la
tolerancia de riesgos organizacionales, donde una combinación de respuestas puede
proporcionar un resultado óptimo, afectando el riesgo de eventos potenciales.

Considerando lo anterior, al evaluar los efectos de las respuestas a las probabilidad e

impactos, la administración de riesgos debe comprender que una respuesta podría afectar a
la probabilidad de riesgo o el impacto de riesgo diferentemente. Para lo cual, la respuesta
potencial a la evaluación, puede considerar eventos pasados y tendencias actuales y futuras,
como sucede en el caso de los costos contra los beneficios, donde se debe tener presente
que éstos son analizados por medio de diferentes niveles de precisión para definir las
opciones de respuestas alternativas, entre las cuales se cuentan la evaluación subjetiva, el
compromiso de la dirección, los valores éticos, etc.

La administración de riesgos al identificar los eventos que afectan a la organización en el

logro de sus objetivos, puede también hacerlo en forma positiva, las cuales representan
oportunidades que traen consigo algunas opciones de riesgo, y éstas pueden aparecer
cuando las acciones de respuesta a los riesgos están alcanzando un límite de efectividad
total, y en especial cuando el refinamiento de los riesgos proporcionen sólo cambios
marginales en su probabilidad e impacto.

Consecuente, y una vez evaluados los efectos de las alternativas de respuesta a los riesgos,
la dirección decide manejarlas seleccionando una respuesta o combinación de ellas que
enfrente a la probabilidad e impacto de riesgos con la tolerancia de riesgos de la entidad.

25
Una vez seleccionado una respuesta, se necesita un plan de aplicación para ejecutarla y
recalibrar el riesgo en una base residual, como de un procedimiento que permita a la
Dirección asegurar su aplicación eficaz, estos procesos son las Actividades de Control. Aún
cuando, siempre se ha de reconocer que algún grado de riesgo residual existirá, y no sólo
por la escasez de los recursos, sino que también debido a la incertidumbre futura inherente a
todas las actividades.

La administración de riesgos considera a los riesgos desde una perspectiva global creando
un portafolio de riesgos, formando una visión de riesgos general, donde el gerente
responsable de cada departamento, función o unidad comercial desarrolla una evaluación
compuesta de riesgos y respuestas al riesgo para esa unidad. Esta visión entrega el perfil
de riesgo relativo, sus objetivos y tolerancias de riesgos, lo que le permite no exceder el
deseo como la tolerancia de riesgo global de la entidad, manejar el riesgo por unidades en
forma coordinada y enfrentar la probabilidad de riesgos e impactos múltiples o relacionados
por unidades en forma individual y en conjunto a través de respuestas proactivas y con una
asertiva visión para las oportunidades.

Respuesta a los Riesgos - Factores a Considerar:

Identificar Respuestas a los Riesgos – Seleccionar Respuestas – Opinión del Portafolio de
Riesgos.

ACTIVIDADES DE CONTROL

Estas son políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos
de la Dirección sean llevadas a cabo, a través de toda la organización. Estas actividades
son aplicadas con respecto a cada uno de las categorías de objetivos: estratégicos,
operativos, información y cumplimiento, y que en su conjunto son partes del proceso que
permiten a una organización alcanzar sus metas comerciales. Son fundamentales para la
respuesta a los riesgos en forma propia y oportuna.

Existen variados tipos de actividades de control, pero el Informe C.O.S.O.II sólo se limita a
definir cuatro, que son los siguientes:

• Función Directiva o Actividad Administrativa. Los directivos desarrollan funciones o

actividades revisando y desarrollando informes.

• Procesos de Información. Una variedad de controles es desarrollado para comprobar la

exactitud, totalidad y autorización de las transacciones.

• Controles Físicos. Equipos, inventarios, inversiones, caja y otros activos son sometidos
a recuentos físicos y comparados con archivos de control;

• Indicadores de rendimiento. Análisis de diferentes datos combinados entre sí, que en

conjunto con acciones correctivas conforman una actividad de control.

Normalmente, las actividades de control involucran dos elementos que son las políticas, que
establecen qué debe hacerse y los procedimientos que desarrollan las políticas. El resultado
de la aplicación de procedimientos asociados a las políticas debe ser revisado a través de
seguimientos y efectuar las acciones correctivas apropiadas, o en su defecto corregir las
políticas.

Por otra parte, los sistemas de información debido a su papel fundamental en la actualidad
cuentan con una extrema confianza, lo que por consecuencia lógica deben contar con

26
actividades de control integrados, las que se agrupan en controles generales y de
aplicación, donde ambos controles en total contribuyen a asegurar la exactitud, totalidad y
validez de la información.

Los controles generales son aquellos que se aplican a muchos si no a todas las operaciones
y permiten su continuidad, como sucede con los sistemas de administración tecnológica,
infraestructura, seguridad, adquisición de software, desarrollo y mantención.

Los controles de aplicación son aquellos que están incluidos en los procedimientos
informatizados dentro de los software de aplicación, y están diseñados para asegurar la
integridad, exactitud y validez de la captura de datos en los procesos, y evitan que se
introduzcan errores en el sistema, detectándolos y corrigiéndolos, como sucede con la
captura de errores en los datos y su comprobación, cálculos para validar datos, prueba de
datos predefinidos y test de datos lógicos. La íntima relación de ambas categorías de
control informático nace en que los controles generales son necesarios para un adecuado y
seguro funcionamiento de los controles de aplicación que dependen de los procesos
informáticos.

Las actividades de control como respuesta al riesgo de cada organización dependerá de los
objetivos, los juicios personales de la Dirección, la complejidad de la entidad, su historia y su
cultura. Sin embargo, la naturaleza y el alcance de las operaciones de la organización
afectarán a sus actividades de control, por lo cual las organizaciones con diversas funciones
pueden presentar problemas de control más complejos, como sucede en el caso de una
entidad descentralizada y con sucursales. Por el contrario una empresa más simple con
actividades menos variadas y centralizada, con estructura más plana, no enfrentará mayores
complicaciones en sus actividades de control como respuesta a las probabilidades de riesgo
o su impacto.

INFORMACION Y COMUNICACIÓN

Cada organización ha de obtener información relevante financiera o no, relacionada con

actividades internas o externas. Esta información debe ser entregada a las personas a
tiempo, en un formato que les permita llevar a cabo sus responsabilidades de administración
de riesgos como sus otras funciones. La información se vuelve necesaria en todos los
niveles de la organización, desde la más rutinaria hasta la más relevante, tanto de fuentes
internas como externas, lo que permitirá a la entidad mantenerse o adaptarse a las
condiciones cambiantes, para identificar, evaluar y responder a los riesgos, contribuyendo
con ello a que ésta alcance uno o más objetivos, a través de sus distintas categorías.

El desafío para la Dirección es procesar y refinar volúmenes enormes de datos en

información relevante, lo cual se soluciona estableciendo sistemas de información, los cuales
capturan datos, los procesan, analizan e informan pertinente y oportunamente, de una forma
que resulte útil para las actividades de control de una organización. Estos sistemas de
información pueden ser formales e informales y se complementa con los datos que se
obtienen de una conversación con clientes, proveedores o personal, o con la asistencia a
seminarios, ayuda profesional, etc. y que todos en conjunto entreguen información crítica
que permita identificar riesgos y oportunidades.

Los sistemas de información, en atención a las tendencias modernas, se han integrado

fuertemente con fines estratégicos, fundamentados en que los sistemas entregan
información relevante con mayor claridad, lo que les permite contribuir a crear nuevas
oportunidades y ventajas, tornándose más proactivos que reactivos. Asimismo, al integrar los
sistemas de información con las operaciones, se facilita el acceso a información entrampada

27
en departamentos o procesos para ser utilizada por la Dirección en tiempo real y
oportunamente.

Para apoyar a la administración de riesgos, una entidad utiliza datos históricos y presentes.
Los datos históricos permiten a la organización desarrollar soluciones a los actuales
problemas contrarios a los objetivos, planes y expectativas, proporcionando las visiones de
cómo la entidad actuó bajo las condiciones actuales, ya repetidas, lo que permite a la
Dirección identificar tendencias como prever actuaciones y situaciones futuras,
convirtiéndose en una alerta temprana de eventos potenciales. Asimismo, los datos actuales
permiten a una organización determinar su perfil de riesgo presente en un punto específico
y permanecer dentro de rangos de tolerancia de riesgos establecidos, contribuyendo a la
administración de riesgos a tomar visiones en tiempos reales de la existencia de riesgos
inherentes en procesos, funciones o unidades e identificar las posibles variaciones de lo
esperado. En conjunto, ambos tipos de datos permiten a la entidad evaluar la probabilidad e
impacto futuro de eventos potenciales sobre los objetivos y poder efectuar las modificaciones
suficientes sobre las actividades, en conformidad a su deseo y tolerancia al riesgo.

Las oportunidades que permite alcanzar una infraestructura de información adecuada son
fundamentales para una entidad, convirtiéndose en una capturadora de datos en márgenes
de tiempo válido y fuente de información consistente con las necesidades de una
organización que contribuye a identificar, evaluar y responder a los riesgos dentro de un
margen de tolerancia, siendo sus flujos consistentes con la proporción de cambios
organizacionales y con los ambientes internos y externos. La infraestructura convierte los
datos en información real y oportuna que permite a los empleados llevar a cabo la
administración de riesgos y otras responsabilidades. Se proporciona la información correcta
en un formulario dentro de un margen de tiempo real y necesario, al nivel correcto de detalle,
tanto en los departamentos, unidades o procesos como a las personas adecuadas.

Ante la creciente dependencia de los sistemas de información, cada día más sofisticados, y
sistemas de decisión automatizados, la confiabilidad en los datos se vuelve crítica, ya que los
datos inexactos pueden producir riesgos no identificados o evaluaciones y decisiones
erróneas, por lo tanto, la información para ofrecer suficientes datos relevantes para efectuar
una correcta administración de riesgos, debe presentar un nivel de calidad óptimo en lo
referente a: contenido de detalles e información necesaria; oportunidad de la información en
el tiempo y momento necesario; información actualizada y disponible; exactitud de la
información sustentada en datos correctos; finalmente, accesibilidad de la información para
las personas adecuadas y aseguramiento contra los cybercrímenes.

La comunicación es inherente a los sistemas de información, y para toda entidad que cuente
o no con un sistema de información la comunicación juega un rol preponderante, ya que
deben proporcionar información relevante a las personas adecuadas, con el objeto que
cumplan con sus labores operativas en forma adecuada.

La Dirección, en un sentido de comunicación interna, debe entregar a todo el personal clave

de su organización mensajes claros, precisos y eficaces, en especial al personal crítico para
la administración de riesgos, por lo que la comunicación de información sobre los procesos y
procedimientos debe estar alineada con la cultura de riesgo. Por lo tanto, resulta
fundamental para que la comunicación sea efectiva asegurar el conocimiento de la
importancia de una administración de riesgos eficaz; comunicar la tolerancia y apetencia de
riesgos de la entidad; implementar y mantener un lenguaje de riesgo común; y finalmente,
advertir al personal de su rol y de sus responsabilidades en el apoyo a los componentes de
la administración de riesgos.

28
Todos estos puntos en su conjunto permitirán al personal estar atentos y saber que cuando
un evento inesperado ocurre, la atención no sólo será prestada al propio evento sino que
también a las causas. Asimismo, el personal también necesita saber cómo sus actividades
se relacionan con el trabajo de otros, lo que les ayudará a reconocer un problema,
determinar su causa y una acción correctiva, como también estar en conocimiento de
conductas aceptables e inaceptables, y creer de verdad que sus superiores quieren saber
sobre los problemas y de sus soluciones. De esta manera una debilidad potencial en el
sistema puede identificarse y tomar acción para que no se repita.

Los canales de comunicación interna, de los cuales el más importante es el de la Dirección,

deben asegurar que los empleados puedan comunicar la información de riesgos, sin temor a
represalias por la entrega de información relevante. Los canales de comunicación externa
pueden proveer un importante ingreso de información relativa a la calidad de productos o
servicios, preferencias y gustos de los consumidores, cambios del entorno en todas sus
expresiones y factores, lo que afecta directamente a la apetencia y tolerancia a los riesgos
de la entidad. La comunicación externa también debe ser oportuna, pertinente, significativa, y
estar en conformidad a principios y requisitos legales y reguladores.

Un factor importante a considerar en la comunicación con el entorno y el interno de la

entidad, es la forma o medios de comunicación, materializado por manuales de políticas,
memorándum, anuncios, publicidad, medios electrónicos, conductas, mensajes orales,
expresiones corporales, etc. Destacando que el actuar de la dirección con el entorno y con
el trato a sus empleados es la herramienta más poderosa de la comunicación, donde las
acciones dicen más que las palabras, además, que está influenciada por la historia y cultura
de la entidad. Todas estas expresiones en su conjunto pueden crear riesgos como
oportunidades.

SUPERVISION (MONITOREO – VIGILANCIA)

La Administración de riesgos de una organización cambia con el tiempo, las respuestas al

riesgo que alguna vez fueron eficaces pueden no serlo hoy, las actividades de control
pueden encontrarse obsoletas e ineficaces, los objetivos de la entidad pueden cambiar. Esto
puede originarse por cambios de personal, de estructura, nuevos procesos, etc. Estos
cambios hace necesario determinar si los componentes de la Administración de riesgos
siguen siendo eficaces. Esta supervisión se puede hacer a través de actividades continuas o
evaluaciones puntuales, lo que permite fijar una tendencia de este informe C.O.S.O. II, en lo
que se refiere a cuanto mayor sea el nivel y la eficacia de la supervisión y seguimiento
continuos, menor será la necesidad de evaluaciones puntuales. Asimismo, para que exista
una seguridad razonable, la Dirección debe fijar la frecuencia de evaluaciones puntuales,
teniendo en consideración que si la frecuencia aumenta demasiado, se debe centrar los
esfuerzos en una mejor las actividades de supervisión continua. La existencia de ambas
acciones permite el mantener la eficacia del sistema de Administración de riesgos.

Dentro de las actividades de supervisión continua, el informe C.O.S.O. II, presenta las
siguientes:

• Los informes de explotación son integrados y conciliados con otros informes financieros y
usados para administrar operaciones con el objeto de detectar inexactitudes significantes
o excepciones a los resultados.

• Utilización de modelos de evaluación de riesgos, para estimar el impacto potencial de los

movimientos del mercado en la posición financiera de una organización.

29
• La comunicación de los agentes externos debe ser confirmada con la información
internamente generada o señalar problemas.

• Las regulaciones también pueden comunicar a la entidad disposiciones u otras materias

que afecten las funciones o los procesos de administración de riesgos.

• Los auditores internos y externos permanentemente proponen recomendaciones para

fortalecer la Administración de riesgos.

• Los seminarios de formación, las sesiones de planificación y otras actuaciones, proveen

de importante retroalimentación a la Dirección sobre la Administración de riesgos.

• El personal debe ser consultado periódicamente sobre si conocen, cumplen los códigos
de conducta de su entidad.

Mientras la supervisión continua sobre los procesos permite proporcionar una

retroalimentación constante de la efectividad de los otros componentes y factores de la
administración de riesgos, las evaluaciones puntuales que se detallan, permiten una mirada
fresca sobre la efectividad de la administración de riesgos y en especial sobre los
procedimientos de la supervisión continua, y que son los siguientes:

• El alcance y la frecuencia de las evaluaciones puntuales de la administración de riesgos

variará según la magnitud, respuestas y controles de riesgo de la entidad, y si éstos
tienen mayor prioridad o son más críticos, como también a la categoría de objetivos que
afecta.

• No es conveniente que una misma unidad evalúe sus respuestas al riesgo y sus
controles relacionados a la administración de riesgos. Es la Auditoría Interna la que debe
ejecutar esta evaluación como parte de sus actividades regulares o a solicitud de la
autoridad, y también considerar la opinión de la auditoría externa.

• La evaluación puntual de la administración de riesgos es un proceso en si misma, y los

evaluadores deben entender cada una de las actividades de la entidad, establecer
estándares para cada componente y determinar, a través de pruebas, si el proceso
proporciona la seguridad razonable con respecto a los objetivos.

• La metodología es variada y ésta se puede realizar a través de hojas de control,

cuestionarios, encuestas, técnicas de flujogramación y de benchmarking.

• El nivel de documentación de la administración de riesgos de una entidad variará

conforme al tamaño y complejidad de ésta, como de otros factores, por lo general las
empresas grandes tienen todas sus políticas y procesos en manuales, la cual es
optimizada con la evaluación.

La mejor fuente de información de deficiencias en la organización es la administración de

riesgos en sí misma, donde las actividades de supervisión continua, que incluye las de
gestión y las de monitoreo diarios a los empleados proporcionan una identificación rápida de
deficiencias, mientras que las evaluaciones puntuales del sistema de administración de
riesgos pueden señalar áreas que necesiten mejoras, lo cual se realiza a través de
interlocutores como de informes internos y externos a la Dirección.

30