1. Falta de personal de auditoría interna calificado y competente.
2. Complejidad de la infraestructura de sistemas.
3. Falta de propiedad sobre los controles y riesgos relacionados por parte de la gerencia/los propietarios de los procesos comerciales.
4. Estructuras de datos fragmentadas e incompletas.
5. Falta de tecnología adecuada para asistir a las pruebas de los controles internos.
¿Qué es el riesgo?
¿Oportunidad y recompensa?
....van de la mano cuando comprendemos los riesgos y conocemos nuestras capacidades.
Riesgo operacional es el riesgo de pérdidas directas o indirectas que resultan de procesos internos inadecuados o de fallas en los mismos, fallas humanas, de sistemas y como consecuencia de sucesos externos.
Descargar OriginalPara que se pueda decir que existe un riesgo, deben estar presentes tres elementos:
1. La posibilidad de que algo suceda: un evento;
2. Que dicho evento contenga cierta incertidumbre, y
3. La espera de un resultado por una operación, acción, actividad, costo, o inversión.
En este sentido entenderemos por riesgo, a la probabilidad de un incumplimiento, pérdida o de una menor ganancia a la esperada en el logro de metas, objetivos, transacciones o de una inversión.
¿Cuál es nuestra actitud frente al riesgo?
¿Reactiva, deseando que se destruya lo menos posible, o?
¿Proactiva, deseando que no ocurran incendios?
Reactiva
Se reacciona al presentarse los problemas o imprevistos. Técnica de los bomberos.
Proactiva
Se busca una anticipación o predicción de los problemas o imprevistos y tener planes de contingencia.
¿Qué es el riesgo?
¿La probabilidad de que un evento no deseado ocurra y no se logren los objetivos?, o
¿La probabilidad de que un evento deseado no ocurra y no se logren los objetivos ?.
Un riesgo es:
Un evento ó condición con cierta incertidumbre y si éste ocurre tiene un efecto positivo o negativo en los objetivos de la empresa.
Un riesgo tiene una causa y, en caso de ocurrencia, también implica un efecto o una consecuencia.
Un riesgo implica simultáneamente amenazas a los objetivos, metas y resultados de la entidad, operación o proyecto y a la vez oportunidades para mejorar dichos objetivos, metas o resultados esperados.
Los riesgos tienen su origen en la incertidumbre que está presente en todos los proyectos y en general en la ejecución y gestión de los procesos operativos.
Los riesgos conocidos son aquellos que han sido identificados y analizados, es posible establecer un plan específico para atenderlos.
Obviamente, los riesgos desconocidos no pueden ser administrados, no obstante, las jefaturas y encargados de procesos pueden encaminar este tipo de riesgos mediante un plan de contingencia basado en experiencias previas con circunstancias similares.
Incertidumbre: No se conoce la probabilidad de ocurrencia del evento.
Riesgo: Se conoce la probabilidad de ocurrencia del evento.
Impacto del riesgo: Se busca establecer el impacto que el evento riesgoso ocasionará sobre el proyecto.
Riesgo
¿Qué es un riesgo en el contexto de negocios?
1. Un riesgo es cuando un evento o acción puede afectar adversamente la capacidad de una organización de obtener sus objetivos y/o implementar sus estrategias.
2. Los riesgos se incrementan en mayor proporción que las oportunidades que surgen del desarrollo del negocio.
Es el proceso que permite identificar, analizar y resolver proactivamente los riesgos de un proyecto. Entonces el objetivo principal de la gestión de riesgos es el de maximizar las repercusiones positivas (oportunidades) y minimizar las negativas (pérdidas).
Riesgo:
Contingencia o proximidad de que suceda algo que tendrá un impacto en los objetivos. La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad.
Factor de riesgo:
Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgos o tienden a aumentar la exposición, pueden ser internos o externos de la entidad.
Es todo elemento cuya presencia o modificación aumenta la probabilidad de producir un daño
En quien está expuesto a él.
Fuente del riesgo:
Se refiere al origen que pueden tener los riesgos. existen riesgos de fuente externa, que son aquellos que nacen de situaciones que están fuera de la administración y control de la institución y riesgos de fuente interna son aquellos originados dentro del servicio, como los relacionados a las capacidades del personal y a la efectividad de los sistemas de información
Causa
Factor externo o interno que genera un riesgo.
Consecuencias
Resultado más probable (lesiones en las personas, daños a los equipos, al proceso o a la propiedad) como resultado de la exposición a un factor de riesgo determinado.
Exposición al riesgo:
El riesgo que permanece después de que la dirección haya realizado sus acciones para reducir el impacto y/o la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta a un riesgo.
Evento:
Un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo específico.
Frecuencia:
Una medida de las veces que sucede un evento expresado como la cantidad de ocurrencias en un tiempo dado.
Mapa de riesgos:
Herramienta que permite visualizar los riesgos a los que está expuesta la empresa, clasificados por origen y por categoría.
Evento con impacto negativo: riesgo
Evento con impacto positivo: oportunidad se quiere:
Llevar a la organización por el camino deseado evitando baches y sorpresas en el camino.
Es toda circunstancia o situación que aumente la probabilidad de que un riesgo se materialice.
1. Incumplimiento en la asistencia de docentes
2. Falta de supervisión en cumplimiento de plan de estudios
3. Desactualización de planes de estudios
4. Políticas inadecuadas.
5. Falta de capacitación del personal.
6. Equipo obsoleto.
7. Falta de planeación de las actividades.
8. Instalaciones inapropiadas para el desarrollo de las actividades.
La gestión de riesgos es la disciplina que combina los recursos financieros, humanos, materiales y técnicos de la empresa, para identificar y evaluar los riesgos potenciales y decidir cómo manejarlos con una combinación óptima de costo – efectividad.
El concepto maneja fundamentalmente los elementos referidos a garantizar la seguridad y estabilidad integral de una organización de sus bienes, de las persona, etc., de amenazas actuales y futuras que pueden dañar la supervivencia de éstas.
Toda actividad u operación implica riesgos.
Además, la aceptación del riesgo es esencial para el progreso y a menudo los fracasos son una parte fundamental del aprendizaje. Aunque algunos riesgos no se pueden evitar, el intentar reconocerlos y controlarlos no debe limitar las oportunidades de emplear la creatividad.
El objetivo de la gestión de riesgos no es otro que maximizar las repercusiones positivas (oportunidades) y minimizar las negativas (pérdidas) asociadas a un riesgo del proyecto.
Sólo una política efectiva de gestión de riesgos puede asegurar un equilibrio entre riesgo y oportunidades.
Gestión de riesgos
1. Es mucho más que evitar riesgos, permite potenciar la capacidad de discernir sobre las decisiones o apuestas que hace la institución.
2. Es una herramienta útil para los líderes, ya que deben dar seguridad a todos los stakeholders que la institución enfrenta y domina el riesgo, al tiempo en que va cambiando su entorno.
3. Permite alinear la estrategia, los procesos, las personas, la tecnología y el conocimiento, erradicando las barreras funcionales o culturales de modo de adoptar un enfoque holístico, integral y anticipado.
Para una mayor eficacia, la gestión del riesgo en una organización debe tener en cuenta los siguientes principios:
1. Crea valor.
2. Está integrada en los procesos de una organización.
3. Forma parte de la toma de decisiones.
4. Trata explícitamente la incertidumbre.
5. Es sistemática, estructurada y adecuada
6. Está basada en la mejor información disponible.
7. Está hecha a medida.
8. Tiene en cuenta factores humanos y culturales.
9. Es transparente e inclusiva.
10. Es dinámica, iterativa y sensible al cambio.
11. Facilita la mejora continua de la organización.
La gestión de riesgos se basa en un enfoque de gestión proactiva
1. ¿Cuáles son nuestros riesgos internos y externos?
2. ¿Los estamos detectando a tiempo?
3. ¿Cuáles son los riesgos más críticos?
4. ¿Cuáles son los procesos con riesgos más críticos?
5. ¿Tenemos los controles adecuados?
6. ¿Quién es el responsable de administrarlos?
7. ¿El sistema de control interno es eficiente?
8. ¿Se están permanentemente monitoreando los riesgos?
9. ¿ Los sistemas de información actualizan en forma periódica los hallazgos y los sistemas de comunicación entrega a los niveles adecuados y en forma oportuna?
Diseño e implantación de un modelo de gestión del riesgo.
El diseño e implantación de un modelo de gestión del riesgo, permitirá a la organización:
1. Fomentar la gestión proactiva en lugar de la reactiva.
2. Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles de la organización.
3. Mejorar la identificación de oportunidades y amenazas.
4. Cumplir con los requisitos legales y normativos aplicables así como las normas internacionales.
5. Mejorar la información financiera.
6. Mejorar la gestión empresarial.
7. Mejorar la confianza de los grupos de interés (stakeholders).
8. Establecer una base fiable para la toma de decisiones y planificación.
9. Mejorar los controles.
La gestión de riesgos es más eficaz si se adopta una tendencia proactiva para identificar, analizar y resolver los riesgos de la siguiente manera:
1. Anticipación a los problemas en lugar de reaccionar a ellos cuando ya se han producido.
2. Tratamiento de la raíz del problema en lugar de tratar los síntomas.
3. Planes para la resolución de problemas preparados con antelación antes de que se produzcan los problemas.
4. Uso de un proceso conocido, estructurado y repetible para resolver el problema.
5. Uso de medidas preventivas siempre que sea posible.
Mejorar la gestión de riesgos
Las organizaciones de todo el mundo se enfrentan a una serie de nuevos retos y riesgos sin precedentes que están obligando a muchas de ellas a adoptar nuevos enfoques de gestión del riesgo empresarial - Erm.
Al revisar su Erm, las empresas están mejorando sus métodos de valoración de riesgos, haciéndolos más útiles y prácticos.
Se están estudiando las relaciones entre los riesgos y asegurando que se asignan responsabilidades sobre los mismos de forma clara.
Un aspecto clave en la asignación de responsabilidades es facilitar a los propietarios de los riesgos mecanismos eficaces para poder medirlos y comunicar posibles desviaciones de los límites de tolerancia fijados para cada uno de ellos.
Una vez definida la forma de valoración, hay que identificar las fuentes de los datos y, siempre que sea posible, establecer una alerta automática para facilitar a cada responsable la supervisión de sus riesgos.
La automatización de la supervisión de riesgos mediante la supervisión continua de una manera que sea repetible y sostenible es el primer paso para que la dirección y los auditores internos avancen hacia un proceso continuo de evaluación de los riesgos.
De igual manera, la auditoría continua puede ayudar al departamento de auditoría interna en la supervisión de los riesgos que afectan al universo de auditoría de la organización, permitiendo una “evaluación continua” de los mismos para las áreas incluidas en el alcance de sus revisiones.
Auditoría interna puede optar por establecer análisis basados en excepciones, o centrarse más en las tendencias de indicadores de un área específica de riesgo.
