Residencia Residencia Resumen del captulo: La evaluacin de riesgos permite a una entidad considerar la amplitud con que los

eventos potenciales impactan en la consecucin de objetivos. La direccin evala estos acontecimientos desde una doble perspectiva probabilidad e impacto- y normalmente usa una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categora, en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y riesgo residual. evaluacin de riesgos se aplica a veces en relacin con una actividad puntual, en el contexto de la gestin de riesgos corporativos su componente con esa misma denominacin constituye una continua e iterativa interaccin de acciones que tienen lugar a travs de la entidad. Riesgo Inherente Es aqul al que se enfrenta una entidad en ausencia de acciones de la direccin para modificar su probabilidad o impacto. Riesgo Residual Es el que permanece despus de que la direccin desarrolle sus respuestas a los riesgos. Estimacin de Probabilidad e Impacto probabilidad puede indicar tanto la posibilidad de que ocurra cierto evento en trminos cualitativos como alta, media y baja o derivados de otras escalas de medida o bien en trminos cuantitativos como porcentaje, frecuencia y ocurrencia o derivados de otras mtricas numricas. Impacto: refleja su efecto. Fuentes de Datos Los datos generados internamente a partir de la experiencia propia de la entidad pueden reflejar un menor sesgo subjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas. Sin embargo, incluso cuando los datos generados internamente sean un input primordial, los datos externos pueden resultar tiles como punto de contraste o para mejorar el anlisis. Perspectivas La direccin formula a menudo juicios subjetivos sobre la incertidumbre y, al hacer esto, debe reconocer sus limitaciones inherentes. Tcnicas de Evaluacin La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de tcnicas cualitativas y cuantitativas. Las tcnicas cuantitativas tpi-camente aportan ms precisin y se usan en actividades ms complejas y sofisticadas, para complementar las tcnicas cualitativas. ejemplos de tcnicas cuantitativas de evaluacin de riesgos.

Benchmarking Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y resultados mediante mtricas comunes e identifica oportunidades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Modelos probalsticos Sobre la base de ciertas hiptesis, los modelos probabilsticos relacionan una gama de eventos con su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalan a partir de datos histricos o resultados simulados que reflejen hiptesis de comportamiento futuro. Se usan modelos probabilsticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en riesgo y tambin para desarrollar distribuciones de prdidas operacionales y crediticias. Modelos no probalsticos Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. La evaluacin del impacto de eventos se basa en datos histricos o simulados e hiptesis de comportamiento futuro. Ejemplos de este tipo de modelos son las medidas de sensibilidad, las pruebas de carga y los anlisis de escenarios. Relaciones entre Eventos cuando exista correlacin entre los eventos o stos se combinen e interaccionen para crear probabilidades o impactos significativamente diferentes, la direccin los evaluar en conjunto. Aunque el impacto de un solo evento pueda ser ligero, el impacto de una secuencia o combinacin de eventos puede ser ms significativo. La observacin de interrelaciones entre probabilidad e impacto de los riesgos constituye una importante responsabilidad de la direccin. Una gestin eficaz de riesgos corporativos requiere que su evaluacin se realice atendiendo tanto al riesgo inherente como a la repuesta a l. Respuestas a los riesgos. Resumen del captulo: Una vez evaluados los riesgos relevantes, la direccin determina cmo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la direccin evala su efecto sobre la probabilidad e impacto del riesgo, as como los costes y beneficios, y selecciona aquella que site el riesgo residual dentro de las tolerancias al riesgo establecidas. La direccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad Las respuestas a los riesgos se incluyen en las siguientes categoras: Evitar Supone salir de las actividades que generen riesgos. Reducir

Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez Compartir La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Las tcnicas comunes incluyen la contratacin de seguros. Aceptar No se emprende ninguna accin que afecte a la probabilidad o el impacto del riesgo.

Al determinar la respuesta a los riesgos, la direccin debera tener en cuenta lo siguiente: Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo y qu opciones de respuesta estn en lnea con las tolerancias al riesgo de la entidad. Los costes y beneficios de las respuestas potenciales Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto Evaluacin de Posibles Respuestas Al analizar las respuestas, la direccin puede tener en cuenta los eventos y tendencias pasadas y los posibles escenarios futuros. Al evaluar las respuestas alternativas, la direccin tpicamente determina su efecto potencial usando las mismas unidades de medicin, u otras congruentes, que las usadas para el objetivo correspondiente. Evaluacin de Costes y Beneficios Normalmente, se tienen en cuenta todos los costes directos relacionados con la implantacin de una respuesta y los costes indirectos que se puedan medir de un modo prctico. Algunas entidades tambin incluyen los costes de oportunidad relativos al uso de recursos. Oportunidades en las Opciones de Respuesta Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin de nuevas oportunidades para la entidad. Respuestas Seleccionadas Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en cuenta los riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciar un proceso iterativo en que la direccin, antes de tomar su decisin, considere dichos riesgos adicionales, incluyendo aquellos que pudieran no ser evidentes de modo inmediato. Perspectiva de Carteras de Riesgos Normalmente, la direccin elige un enfoque en que primero se contemplan los riesgos de cada unidad de negocio, departamento o funcin y luego su director responsable desarrolla una evaluacin compuesta de ellos, que refleja su perfil de riesgo residual respecto a sus objetivos y tolerancias al riesgo.

Actividades de control Resumen del captulo: Las actividades de control son las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la direccin a los riesgos. Las actividades de control tienen lugar a travs de la organizacin, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregacin de funciones. Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la entidad con la que estn relacionadas: estrategia, operaciones, informacin y cumplimiento. Integracin con la respuesta al riesgo Despus de haber seleccionado las respuestas al riesgo, la direccin identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a los riesgos se lleven a cabo adecuada y oportunamente. Tipos de actividades de control controles de prevencin, deteccin, manuales, informticos y de direccin. Las actividades de control tambin pueden tipificarse segn objetivos concretos de control, tales como los de asegurar la integridad y exactitud del procesamiento de datos. Ejemplo de controles Revisiones a alto nivel La alta direccin revisa el funcionamiento real en contraste con presupuestos, previsiones y datos de periodos previos y de competidores. Se hace un seguimiento de las iniciativas importantes tales como las campaas de marketing, la mejora de los procesos de produccin y los programas de contencin o reduccin del coste- para medir hasta qu punto se consiguen los objetivos. Gestin directa de funciones o actividades Los directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Un directivo responsable de los crditos al consumo de un banco revisa los informes por sucursal, regin y tipo de prstamo (garantas), verificando los resmenes, identificando tendencias y comparando los resultados con estadsticas y objetivos econmicos. A su vez, los directores de oficina reciben datos de las nuevas operaciones, clasificadas por responsable del prstamo y por segmento de cliente local. Procesamiento de la informacin Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y autorizacin de las transacciones. Los datos introducidos estn sometidos a comprobaciones en lnea y conciliaciones con ficheros de control aprobados. Controles fsicos Los equipos, existencias, valores, efectivo y dems activos estn fsicamente asegurados, se someten peridicamente a recuentos y se contrastan con los importes de los registros de control.

Indicadores de rendimiento El contraste entre s de diferentes conjuntos de datos operativos o financieros, junto con el anlisis de relaciones y las acciones de investigacin y correccin, constituye una actividad de control. Los indicadores de rendimiento incluyen, por ejemplo, la rotacin de plantilla por unidad. Al investigar resultados inesperados o tendencias inusuales. Segregacin de funciones Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o fraude. Por ejemplo, estn segregadas las responsabilidades para autorizar transacciones, registrarlas y manejar el activo correspondiente Polticas y procedimientos Las actividades de control normalmente implican dos componentes: una poltica que establece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo, una poltica podra exigir la revisin de las actividades de contratacin de clientes por parte de un director de oficina de una entidad de gestin burstil. El procedimiento lo constituye dicha revisin en s misma, realizada de manera oportuna y con atencin a los factores establecidos en la poltica, tales como la naturaleza y volumen de los valores contratados y su relacin con el patrimonio y edad del cliente. Controles sobre los sistemas de informacin Pueden usarse dos amplios grupos de actividades de control de los sistemas de informacin. El primero lo forman los controles generales, que se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguen funcionando continua y adecuadamente. El segundo son los controles de aplicacin, que incluyen fases informatizadas dentro del software para controlar el proceso. Ambos tipos de controles, combinados con controles manuales de proceso cuando sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la informacin. Controles Generales Los controles generales incluyen controles sobre la gestin de la tecnologa de informacin, su infraestructura, la gestin de seguridad y la adquisicin, desarrollo y mantenimiento del software. Gestin de la tecnologa de informacin Un comit de trabajo proporciona supervisin, seguimiento e informacin de las actividades de tecnologa informtica y las iniciativas para su mejora. Infraestructuras de la tecnologa de informacin Los controles se aplican a la definicin, adquisicin, instalacin, configuracin, integracin y mantenimiento de los sistemas. Pueden incluir acuerdos de servicio que establezcan y potencien su funcionamiento, los planes de continuidad del negocio que mantienen la disponibilidad del sistema, el seguimiento del rendimiento de la red para detectar fallos operativos y la programacin de tiempos para las operaciones informticas. Gestin de la seguridad

Son controles de acceso lgico tales como contraseas seguras de restriccin de accesos a la red, bases de datos y aplicaciones.

Adquisicin, desarrollo y mantenimiento del software Los controles sobre la adquisicin e implantacin del software se incorporan a un proceso estable-cido para gestionar el cambio, incluyendo los requisitos de documentacin, la comprobacin de la aceptacin del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos. Controles de Aplicacin se centran directamente en la integridad, exactitud, autorizacin y validez de la captacin y procesamiento de datos. Ayudan a asegurar que los datos se captan o generan en el momento de necesitarlos, que las aplicaciones de soporte estn disponibles y que los errores de interfaz se detecten rpidamente. Equilibrar las actividades de control Detectar los errores en la captacin de datos, mediante la conciliacin entre los importes introducidos, manual o automticamente, y un total de control. Dgitos de control Validan los datos mediante clculos. La numeracin de los repuestos de una empresa contiene un dgito de control que detecta y corrige pedidos inexactos a sus proveedores. Listados predefinidos de datos Proporcionan al usuario listas preestablecidas de datos aceptables. La Intranet de una empresa ofrece listas de seleccin de productos disponibles para su compra. Pruebas de razonabilidad de datos Comparan los datos captados con una pauta existente o aprendida de razonabilidad. Un pedido solicitado a un proveedor por un minorista del sector de bricolaje por un volumen inusual de tableros de madera provoca una revisin. Aspectos Especficos de las Entidades Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de implantacin, existirn diferencias en las respuestas al riesgo y las actividades de control relacionadas. Incluso cuando dos entidades tuvieran objetivos idnticos y tomasen decisiones similares respecto a cmo alcanzarlos, las actividades de control probablemente seran distintas. Cada entidad est gestionada por personas diferentes que tienen criterios individuales diferentes en la aplicacin de controles. Es ms, los controles reflejan el entorno y sector en que opera una entidad, as como su dimensin y complejidad de organizacin, la naturaleza y alcance de sus actividades y sus antecedentes y cultura.