beneficios iso 31000

7/22/2019 Beneficios Iso 31000

1/37

Beneficios de la ISO 31000 en la Gestin deRiesgos y su Aseguramiento

Grupo de Investigacin en GobiernoCorporativo y Auditora Interna

Ricardo Correa F.- CIA, CGAP, CCSA, CRMA, CFE

Daniella Caldana F.- CIA, CGAP, CCSA, CRMA, CFE

Leonardo Olea C.- CGAP, CRMA, CICA, CFE


2/37

Ricardo Correa Fuenzalida

!Contador Pblico y Auditor, Ingeniero Comercial y Magsteren Contabilidad y Auditora de Gestin de la Universidad deSantiago de Chile.

!Certificaciones: CIA, CGAP, CCSA, CRMA del Theiia, y CFEde la ACFE.

!Ha sido responsable de la direccin de auditora interna endiversas instituciones del sector privado y pblico en Chile.

!Ha realizado asesoras BID en materia de auditora internagubernamental en diversos pases de Sudamrica.!Ha sido instructor para la Certificacin CGAP en diversospases de Sudamrica.

!Ex - Director del Instituto de Auditores Internos - Captulo deChile.

!Actual Secretario General de la Comisin de AuditoraInterna y de Gestin del Colegio de Contadores de Chile.

!Ha sido acadmico en temas de su competencia en laUniversidad de Santiago de Chile, Universidad AlbertoHurtado, Universidad Diego Portales y Universidad de Chile.

!Expositor permanente en talleres, seminarios y congresosnacionales e internacionales.

Acadmico e Investigador

Grupo de Investigacin en

Gobierno Corporativo yAuditora Interna


3/37

Introduccin

Esta presentacin est dirigida principalmente a auditores internos y

auditores externos del sector privado y pblico, encargados de riesgos,miembros de comits de auditora y comits de riesgos, as como a

directivos y ejecutivos de reas operacionales.

Entre los beneficios que obtendr la audiencia se encuentra conocer

cmo la Norma ISO 31000 puede ayudar en la gestin de riesgos y en

la potencial adopcin de estrategias y enfoques basados en laestructura y terminologa de la Norma ISO 31000 - recomendados por

el THEIIA - para dar aseguramiento a la gestin de riesgos en laorganizacin.

La principal motivacin para esta presentacin es entregar un aporte

frente a la escasa uniformidad que presentan en la prctica losenfoques para aseguramiento de la gestin de riesgos en los pases

latinoamericanos.


4/37

Agenda

! Conceptos sobre Gestin de Riesgos! Marcos (Framework) para la Gestin de Riesgos! Auditora Interna y Gestin de Riesgos! ISO 31000: Gestin de Riesgos Principios y Directrices! Algunos Beneficios de la Utilizacin de ISO 31000, ISO 31010, ISO 73! Aseguramiento de la Gestin de Riesgos! Formulacin de una Estrategia para Aseguramiento de la Gestin de

Riesgos ISO 31000

! Enfoques para Aseguramiento de la Gestin de Riesgos ISO 31000! Conclusiones


5/37

Riesgos en las Organizaciones

Fuente: Risk Appetite and Risk Tolerance The Institute of Risk Management

! Gobierno Corporativo! Riesgo Inherente y Residual! Incumplimiento de Objetivos! Probabilidad e Impacto! Control Interno, Control Clave! Evento! Exposicin! Apetito y Tolerancia al Riesgo! Retornos y Recompensas! etc, etc, etc.

Vale Ms Una Imagen Que Mil

Palabras

Conceptos Relacionados


6/37

Gestin de Riesgos Corporativos

Un proceso para identificar, evaluar, manejar y controlar

acontecimientos o situaciones potenciales, con el fin deproporcionar un aseguramiento razonable respecto del

alcance de los objetivos de la organizacin (1)

(1) IPPF - THEIIA

Un proceso efectuado por el consejo de administracin

de una entidad, su direccin y restante personal, aplicablea la definicin de estrategias en toda la empresa y

diseado para identificar eventos potenciales que puedanafectar a la organizacin, gestionar sus riesgos dentro del

riesgo aceptado y proporcionar una seguridad razonable

sobre el logro de los objetivos (2)

(2) COSO ERM

Definiciones Relevantes


7/37

Marcos Conceptuales Para la Gestin de Riesgos

Algunas organizaciones que han emitido marcospara la gestin de riesgos:

!Committee of Sponsoring Organizations of theTreadway Commission (COSO)

!The International Organization for Standardization(ISO)

!The Information Systems Audit and ControlAssociation (ISACA)

!The Risk Management Society (RIMS)!Federation of European Risk ManagementAssociations (FERMA)

!Open Compliance and Ethics Group (OCGE)

Un Marco (Framework) constituye un conjunto estandarizado de conceptos,

prcticas y criterios para enfocar un tipo de problemtica particular, quesirve como referencia para enfrentar y resolver nuevos problemas de ndole

similar.


8/37

Auditora Interna y Gestin de Riesgos - Theiia

La definicin de Auditora Interna declara el propsito fundamental,

naturaleza y alcance de nuestra Profesin:

(1) Fuente: Theiia

La Auditora Interna es una activid

ad

independiente y

objetiva de

aseguramiento y consulta, concebidapara agregar v

alor y mejorarlas

operacionesdeunaorganizacin.Ayu

da

a una organizacin a cumplir

sus

objetivos aportando un enfo

que

sistemticoydisciplinadoparaevalua

ry

mejorar la eficacia de los proesos de

gestinderiesgos,controlygobierno(1)


9/37

2.- Documento Conjunto sobre la Gestin de Riesgos del IIA y RIMSGestin de Riesgos y Auditora Interna: Forjando una Alianza de Colaboracin

Norma 2120 Gestin de Riesgos del MIPP, Theiia

1.- Consejos para la Prctica Relacionados con Riesgos

2010-1: Enlace del Plan de Auditora con los Riesgos y Exposiciones

2010-2: Uso del Proceso de Gestin de Riesgos en el Plan de Auditora Interna2020-1: Comunicacin y Aprobacin

2050-2: Mapas de Aseguramiento

2060-1: Informe a la Alta Direccin y al Consejo

2120-1: Evaluar la Adecuacin de los Procesos de Gestin de Riesgos

2120-2: Gestin de Riesgos de la Actividad de Auditora Interna2130-1: Evaluar la Adecuacin de los Procesos de Control

4.- Guas para la Prctica relacionadas con Riesgos

Evaluar la Adecuacin de la Gestin de RiesgosCoordinando Gestin y Aseguramiento del riesgoGAIT Para Negocios y Riesgo de TI

GTAG 6: Gestionando y Auditando Vulnerabilidades de TI

GTAG 10: Gestin de la Continuidad de Negocios

3.- Declaracin de Posicin relacionadas con Gestin de RiesgosEl rol de la auditora interna en relacin con la gestin de riesgos para toda la empresa



10/37

Auditora Interna y Gestin de Riesgos

Revisemos qu es y cmo nos puede ayudar la ISO 31000:2009

Algunas Reflexiones Preliminares:

!La gestin de riesgos y su aseguramiento esesencial para la auditora interna!El MIPP es obligatorio, amplio y complejo en materiade gestin de riesgos y su aseguramiento:

" Muchos temas, diversa normativa y guastcnicas

" Muchas obligaciones y restricciones!Diversos marcos (framework) posibles de usar parala gestin de riesgos!Falta compartir experiencias exitosas y no tanto


11/37


12/37

Tiene su origen en el Estndar AS/NZS 4360, enfoque deprocesos y est basada en el Ciclo Deming (PHVA). Noexige certificacin

Proporciona directrices sobre cmo establecer y mantener

un marco de gestin de riesgos que puede ser adoptado por

cualquier tipo de organizacin, gama de actividades,

estrategias, procesos, funciones, proyectos, productos,servicios , activos, etc.

Proporciona un enfoque comn en favor de otras normativas

que tratan sobre riesgos especficos y/o sectores, y no lassustituye

Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (endesarrollo). ISO 27005:2011, BS 31100

ISO 31000: Gestin de Riesgos Principios y Directrices


13/37

Evaluacin deRiesgos

IdentificarRiesgos

Analizar Riesgos

Evaluar Riesgos

Tratar losRiesgos

M

onitoreoyRevisin

ComunicacinyCons

ulta

Establecer elContexto

1.- Crea Valor y lo Protege

2.- Est Integrada en los Procesos dela Organizacin

3.- Forma parte de la toma dedecisiones

4.- Trata explcitamente laincertidumbre

5.- Es sistemtica, estructurada yadecuada

6.- Est basada en la mejorinformacin disponible

7.- Est hecha a medida

8.- Tiene en cuenta factores humanosy culturales

9- Es transparente e inclusiva

10.- Es dinmica, iterativa y sensibleal cambio

11.- Facilita la mejora continua en laorganizacin

Proceso de Gestin de

Riesgos

Principios de la Gestin

de Riesgos

Marco de Trabajo para la

Gestin de Riesgos

Implementacinde la Gestin

del RiesgoMejoramientoContinuo del

Marco

Diseo del

Marco deGestin deRiesgos

Compromisode la

Direccin

Monitoreo yRevisin del

Marco


Clusula 3 Clusula 4 Clusula 5


14/37

Principios de Gestin del Riesgo



2.- Est Integrada en los Procesos de laOrganizacin

3.- Forma parte de la toma de decisiones

4.- Trata explcitamente la incertidumbre

5.- Es sistemtica, estructurada y adecuada

6.- Est basada en la mejor informacin disponible


8.- Tiene en cuenta factores humanos y culturales


10.- Es dinmica, iterativa y sensible al cambio

11.- Facilita la mejora continua en la organizacin

Relacionados con Gobierno, Organizacin y Gestin, e Implementacin

Organizacin

y Gestin

2, 8, 10 y 11

Gobierno

1, 3, 4 y 9

Implementacin

5, 6, 7 y 10


15/37

Marco de Trabajo para la Gestin del Riesgo



Marco

Diseo delMarco de

Gestin deRiesgos

Compromiso dela Direccin

Monitoreo yRevisin del

Marco


El objetivo del marco es estructurar las actividades para la implementacin y mejoracontinua del proceso de gestin de riesgo

! Compromiso firme ysostenido por la direccin de

la organizacin, as como unaplanificacin estratgica y

rigurosa para lograr el

compromiso de todos losniveles

! Implementar el marco degestin de riesgos

! Implementar el proceso degestin de riesgos

! Comprensin de laorganizacin y su contexto

! Establecimiento de la polticade gestin de riesgos

! Rendicin de cuentas yrecursos

! Integracin en los procesos dela organizacin! Establecimiento de la

comunicacin interna y externa,y mecanismos de informacin

! Medir con indicadores! Revisar desviaciones! Reportar efectividad

! Mejora continua delmarco, poltica y plan de

riesgos


16/37

Evaluacin deRiesgos

IdentificarRiesgos

Analizar Riesgos

Evaluar Riesgos

Tratar losRiesgos

MonitoreoyRevisin

ComunicacinyConsulta

Establecer elContexto

Proceso de Gestin de Riesgos


Identificar las fuentes deriesgo, reas de impactos,

eventos; sus causas y susposibles consecuencias

Monitoreo y revisin de lasactividades en forma

continua, peridica eindependiente en todas las

fases del proceso

Establecer los criterios bsicosy el entorno de la organizacin

en que la gestin de riesgosdebe integrarse

Comunicacin y consulta conlas partes externas e internas

en todas las fases del proceso

Comprender cmo se desarrollael riesgo. Medir consecuencias

y probabilidades

Determinar las prioridades enel tratamiento y los recursos a

utilizar. Comparar con riesgoaceptado

Elegir entre las diferentesopciones para tratar los

riesgos


17/37

Marco Genrico para Gestin de Riesgos en Sector Privado yPblico ISO 31000:2009

Marco para Aseguramiento de la Gestin de Riesgos en SectorPrivado y Pblico ISO 31000:2009

Herramientas para Identificar, Analizar y Evaluar Riesgos - ISO31010:2009

Herramienta para Evaluar y Gestionar el Riesgo de Fraude ISO 31000:2009

ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos

Algunos beneficios de su utilizacin


18/37

Diccionario de Riesgos - ISO 73:2009

Herramientas para Analizar Causas de un Hallazgo de

Auditora - ISO 31010:2009

Marco para Gestin de Riesgos en Controles de Tecnologa -ISO 27005:2011

Permite Efectiva Estandarizacin para Usar con XBRL - ISO31000:2009

Algunos beneficios de su utilizacin



19/37

AgregacIn

Nivel de Madurez en la Aplicacin de ISO 31000, ISO 31010, ISO 73

de

Val

or

a

GRC

+

--

+

Agregacin de Valor en GRC

GRC: Gobierno, Gestin de Riesgos y Cumplimiento



20/37


21/37


Declaracin de Posicin del THEIIA: El Rol de la Auditora Interna en

Relacin con la Gestin de Riesgos para toda la Empresa


22/37

Aseguramiento de la Gestin de Riesgos

! Aseguramiento del proceso de gestinde riesgos

! Aseguramiento de los riesgos relevantesy las afirmaciones de la direccin

! Monitoreo y seguimiento del estado deavance del plan de tratamiento de

riesgos

Un examen objetivo de evidencias con el propsito de proveer unaevaluacin independiente del proceso de gestin de riesgos de unaorganizacin y proporcionar una seguridad razonable a la alta direccin y

al consejo que el programa de gestin de riesgos estefectivamente diseado, documentado y operando para lograr sus

objetivos (1)

Tres Categoras Principales

(1) Gua Prctica. Assessing the Adequacy of Risk Management Using ISO 31000


23/37

Fuentes para Criterios Tcnicos en el Aseguramiento de la

Gestin de Riesgos


24/37

Estrategia para Aseguramiento de la Gestin de Riesgos

: Identificar las necesidades de aseguramiento de la organizacin -Incluir trabajos en el plan anual de auditora

: Identificar quines son los proveedores de aseguramiento y susmbitos de accin y operacin

: Identificar y documentar los mecanismos de aseguramiento. Analizary definir enfoque

: Disear el programa de trabajo para la auditora de aseguramiento.Desarrollar y explicitar enfoque

: Obtener evidencia de auditora

: Comunicar los resultados

: Medicin y evaluacin de la estrategia de aseguramiento

Riesgo

Pasos Generales Recomendados


25/37

ENFOQUES PARA ASEGURAMIENTO DE LA GESTIN

DE RIESGOS BASADOS EN ISO 31000

1. ELEMENTOS

2. PRINCIPIOS

3. MADUREZ

CONTROLES

TRATAMIENTO

Riesgo


26/37

Documento Enfoques de Aseguramiento el Procesode Gestin de Riesgos Basados en ISO 31000:2009

Solicitar una copia en PDF gratis a: [email protected]


27/37

Enfoques de Aseguramiento: Elementos del Proceso

Este enfoque comprueba si

cada elemento del procesode gestin de riesgos segn

ISO 31000 existe y esadecuado

Es esencial para validar lasdeclaraciones de intencin

de la direccin a travsde evidencia de

auditora suficiente para

justificar que elelemento est siendo

cumplido en la prctica Anlisis deRiesgos

#

Trata

mie

nto

de

Rie

sgos

Riesgo


28/37

Este enfoque se basa en el

concepto de que para serplenamente eficaz, cualquier

proceso de gestin del riesgo debetener y cumplir con un conjunto

mnimo de principios orequerimientos fundamentales

Una auditora sobre la basede estos principios evaluar en qu

medida son ciertas estos

principios o requerimientos para el

proceso de gestin de riesgos enuna organizacin


2.- Est Integrada en los Procesos de laOrganizacin

3.- Forma parte de la toma de decisiones

4.- Trata explcitamente la incertidumbre

5.- Es sistemtica, estructurada y adecuada

6.- Est basada en la mejor informacindisponible


8.- Tiene en cuenta factores humanos yculturales


10.- Es dinmica, iterativa y sensible al cambio

11.- Facilita la mejora continua en laorganizacin

Enfoques de Aseguramiento: Principios Claves


29/37

Este enfoque se basa en que la calidad y

eficacia del proceso de gestin del riesgo deuna organizacin debera mejorar con el tiempo

producto de la evolucin de su nivel demaduracin

Los sistemas de gestin del riesgo inmaduros

producen muy poco rendimiento para lainversin que se ha hecho y, a

menudo funcionan como una sobrecarga

de cumplimiento o una imposicin, ms

preocupados de la informacin sobre losriesgos que de su tratamiento y gestin efectiva

Enfoques de Aseguramiento: Modelo de Madurez


30/37

Se pueden definir estados de madurez para el proceso de gestin de riesgos.

Ejemplo de categoras en modelo de madurez usando como idea baseel Modelo de Madurez de Capacidades (CMM) - Carnegie Mellon University

(*) Fuente: Adaptado de Source HB158. Delivering Assurance Based On ISO 31000:2009 Risk Management -Principles and Guidelines

Ninguno Muy Poco Regular Bueno Completo

Muy poco o

ningncumplimientocon el requisito

en cualquier

forma.

Slo limitado al

cumplimiento conel requisito.La direccin

apoya la intencin

pero el

cumplimiento en

la prctica espobre.

Escaso

cumplimiento conlos elementosdeclarados.

Ciertamente de

acuerdo con la

intencin pero hay

un limitadocumplimiento en

la prctica.

La direccin

suscribecompletamente laintencin, pero el

cumplimiento es

parcial en la

prctica.

Cumplimiento

absoluto con elelementodeclarado - en la

intencin y en la

prctica - en todo

momento y en

todo lugar.

Enfoques de Aseguramiento: Modelo de Madurez


31/37

Este enfoque se basa en determinar si existen los componentes del marco

de gestin de riesgos estipulados en ISO 31000 y evaluar su adecuacin yeficacia en base al Ciclo de Deming



Marco

Diseo del Marcode Gestin de

Riesgos

Compromiso de laDireccin

Monitoreo yRevisin del Marco

Enfoques de Aseguramiento: Elementos del Marco

PH

V A

v s


32/37

En la prctica es posible e incluso conveniente

usar ms de un enfoque a la vez para daraseguramiento a la organizacin sobre la

eficacia de la gestin de riesgos

El objetivo general de este enfoque es dar

aseguramiento en forma individual y conjunta alos principios que sustentan la gestin de

riesgos, al marco de gestin de riesgos y alproceso de gestin de riesgos

Enfoques de Aseguramiento: Combinacin de Enfoques


33/37

Conclusiones

R S O S


34/37

Se debe determinar cul es el enfoque que sea posible aplicar y

que a la vez agregue ms valor al trabajo de aseguramiento:Enfoque por; Elementos, Principios, Madurez, Marco o Combinado

La relacin entre la auditora interna y la gestin de riesgos es muy

relevante, est muy normada, es compleja tcnicamente y no

existen mayores intercambios de experiencias en relacin con elaseguramiento

La ISO 31000 se presenta como un Marco interesante ya que

puede contribuir significativamente a la GRC y a la estrategia deaseguramiento de la gestin de riesgos por parte del auditor interno

La auditora interna debe desarrollar una estrategia apropiada para

el aseguramiento de la gestin de riesgos: Desde Identificar lasnecesidades de aseguramiento hasta la medicin y evaluacin de

la estrategia


35/37

Informacin de Contacto

www.certificacionauditoria.cl

Ricardo Correa F.

[email protected]@gmail.com


36/37

Preguntas y Respuestas


37/37

Muchas Gracias

por su atencin!

beneficios iso 31000

Documents