7/22/2019 Beneficios Iso 31000
1/37
Beneficios de la ISO 31000 en la Gestin deRiesgos y su Aseguramiento
Grupo de Investigacin en GobiernoCorporativo y Auditora Interna
Ricardo Correa F.- CIA, CGAP, CCSA, CRMA, CFE
Daniella Caldana F.- CIA, CGAP, CCSA, CRMA, CFE
Leonardo Olea C.- CGAP, CRMA, CICA, CFE
7/22/2019 Beneficios Iso 31000
2/37
Ricardo Correa Fuenzalida
!Contador Pblico y Auditor, Ingeniero Comercial y Magsteren Contabilidad y Auditora de Gestin de la Universidad deSantiago de Chile.
!Certificaciones: CIA, CGAP, CCSA, CRMA del Theiia, y CFEde la ACFE.
!Ha sido responsable de la direccin de auditora interna endiversas instituciones del sector privado y pblico en Chile.
!Ha realizado asesoras BID en materia de auditora internagubernamental en diversos pases de Sudamrica.!Ha sido instructor para la Certificacin CGAP en diversospases de Sudamrica.
!Ex - Director del Instituto de Auditores Internos - Captulo deChile.
!Actual Secretario General de la Comisin de AuditoraInterna y de Gestin del Colegio de Contadores de Chile.
!Ha sido acadmico en temas de su competencia en laUniversidad de Santiago de Chile, Universidad AlbertoHurtado, Universidad Diego Portales y Universidad de Chile.
!Expositor permanente en talleres, seminarios y congresosnacionales e internacionales.
Acadmico e Investigador
Grupo de Investigacin en
Gobierno Corporativo yAuditora Interna
7/22/2019 Beneficios Iso 31000
3/37
Introduccin
Esta presentacin est dirigida principalmente a auditores internos y
auditores externos del sector privado y pblico, encargados de riesgos,miembros de comits de auditora y comits de riesgos, as como a
directivos y ejecutivos de reas operacionales.
Entre los beneficios que obtendr la audiencia se encuentra conocer
cmo la Norma ISO 31000 puede ayudar en la gestin de riesgos y en
la potencial adopcin de estrategias y enfoques basados en laestructura y terminologa de la Norma ISO 31000 - recomendados por
el THEIIA - para dar aseguramiento a la gestin de riesgos en laorganizacin.
La principal motivacin para esta presentacin es entregar un aporte
frente a la escasa uniformidad que presentan en la prctica losenfoques para aseguramiento de la gestin de riesgos en los pases
latinoamericanos.
7/22/2019 Beneficios Iso 31000
4/37
Agenda
! Conceptos sobre Gestin de Riesgos! Marcos (Framework) para la Gestin de Riesgos! Auditora Interna y Gestin de Riesgos! ISO 31000: Gestin de Riesgos Principios y Directrices! Algunos Beneficios de la Utilizacin de ISO 31000, ISO 31010, ISO 73! Aseguramiento de la Gestin de Riesgos! Formulacin de una Estrategia para Aseguramiento de la Gestin de
Riesgos ISO 31000
! Enfoques para Aseguramiento de la Gestin de Riesgos ISO 31000! Conclusiones
7/22/2019 Beneficios Iso 31000
5/37
Riesgos en las Organizaciones
Fuente: Risk Appetite and Risk Tolerance The Institute of Risk Management
! Gobierno Corporativo! Riesgo Inherente y Residual! Incumplimiento de Objetivos! Probabilidad e Impacto! Control Interno, Control Clave! Evento! Exposicin! Apetito y Tolerancia al Riesgo! Retornos y Recompensas! etc, etc, etc.
Vale Ms Una Imagen Que Mil
Palabras
Conceptos Relacionados
7/22/2019 Beneficios Iso 31000
6/37
Gestin de Riesgos Corporativos
Un proceso para identificar, evaluar, manejar y controlar
acontecimientos o situaciones potenciales, con el fin deproporcionar un aseguramiento razonable respecto del
alcance de los objetivos de la organizacin (1)
(1) IPPF - THEIIA
Un proceso efectuado por el consejo de administracin
de una entidad, su direccin y restante personal, aplicablea la definicin de estrategias en toda la empresa y
diseado para identificar eventos potenciales que puedanafectar a la organizacin, gestionar sus riesgos dentro del
riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos (2)
(2) COSO ERM
Definiciones Relevantes
7/22/2019 Beneficios Iso 31000
7/37
Marcos Conceptuales Para la Gestin de Riesgos
Algunas organizaciones que han emitido marcospara la gestin de riesgos:
!Committee of Sponsoring Organizations of theTreadway Commission (COSO)
!The International Organization for Standardization(ISO)
!The Information Systems Audit and ControlAssociation (ISACA)
!The Risk Management Society (RIMS)!Federation of European Risk ManagementAssociations (FERMA)
!Open Compliance and Ethics Group (OCGE)
Un Marco (Framework) constituye un conjunto estandarizado de conceptos,
prcticas y criterios para enfocar un tipo de problemtica particular, quesirve como referencia para enfrentar y resolver nuevos problemas de ndole
similar.
7/22/2019 Beneficios Iso 31000
8/37
Auditora Interna y Gestin de Riesgos - Theiia
La definicin de Auditora Interna declara el propsito fundamental,
naturaleza y alcance de nuestra Profesin:
(1) Fuente: Theiia
La Auditora Interna es una activid
ad
independiente y
objetiva de
aseguramiento y consulta, concebidapara agregar v
alor y mejorarlas
operacionesdeunaorganizacin.Ayu
da
a una organizacin a cumplir
sus
objetivos aportando un enfo
que
sistemticoydisciplinadoparaevalua
ry
mejorar la eficacia de los proesos de
gestinderiesgos,controlygobierno(1)
7/22/2019 Beneficios Iso 31000
9/37
2.- Documento Conjunto sobre la Gestin de Riesgos del IIA y RIMSGestin de Riesgos y Auditora Interna: Forjando una Alianza de Colaboracin
Norma 2120 Gestin de Riesgos del MIPP, Theiia
1.- Consejos para la Prctica Relacionados con Riesgos
2010-1: Enlace del Plan de Auditora con los Riesgos y Exposiciones
2010-2: Uso del Proceso de Gestin de Riesgos en el Plan de Auditora Interna2020-1: Comunicacin y Aprobacin
2050-2: Mapas de Aseguramiento
2060-1: Informe a la Alta Direccin y al Consejo
2120-1: Evaluar la Adecuacin de los Procesos de Gestin de Riesgos
2120-2: Gestin de Riesgos de la Actividad de Auditora Interna2130-1: Evaluar la Adecuacin de los Procesos de Control
4.- Guas para la Prctica relacionadas con Riesgos
Evaluar la Adecuacin de la Gestin de RiesgosCoordinando Gestin y Aseguramiento del riesgoGAIT Para Negocios y Riesgo de TI
GTAG 6: Gestionando y Auditando Vulnerabilidades de TI
GTAG 10: Gestin de la Continuidad de Negocios
3.- Declaracin de Posicin relacionadas con Gestin de RiesgosEl rol de la auditora interna en relacin con la gestin de riesgos para toda la empresa
Auditora Interna y Gestin de Riesgos - Theiia
7/22/2019 Beneficios Iso 31000
10/37
Auditora Interna y Gestin de Riesgos
Revisemos qu es y cmo nos puede ayudar la ISO 31000:2009
Algunas Reflexiones Preliminares:
!La gestin de riesgos y su aseguramiento esesencial para la auditora interna!El MIPP es obligatorio, amplio y complejo en materiade gestin de riesgos y su aseguramiento:
" Muchos temas, diversa normativa y guastcnicas
" Muchas obligaciones y restricciones!Diversos marcos (framework) posibles de usar parala gestin de riesgos!Falta compartir experiencias exitosas y no tanto
7/22/2019 Beneficios Iso 31000
11/37
7/22/2019 Beneficios Iso 31000
12/37
Tiene su origen en el Estndar AS/NZS 4360, enfoque deprocesos y est basada en el Ciclo Deming (PHVA). Noexige certificacin
Proporciona directrices sobre cmo establecer y mantener
un marco de gestin de riesgos que puede ser adoptado por
cualquier tipo de organizacin, gama de actividades,
estrategias, procesos, funciones, proyectos, productos,servicios , activos, etc.
Proporciona un enfoque comn en favor de otras normativas
que tratan sobre riesgos especficos y/o sectores, y no lassustituye
Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (endesarrollo). ISO 27005:2011, BS 31100
ISO 31000: Gestin de Riesgos Principios y Directrices
7/22/2019 Beneficios Iso 31000
13/37
Evaluacin deRiesgos
IdentificarRiesgos
Analizar Riesgos
Evaluar Riesgos
Tratar losRiesgos
M
onitoreoyRevisin
ComunicacinyCons
ulta
Establecer elContexto
1.- Crea Valor y lo Protege
2.- Est Integrada en los Procesos dela Organizacin
3.- Forma parte de la toma dedecisiones
4.- Trata explcitamente laincertidumbre
5.- Es sistemtica, estructurada yadecuada
6.- Est basada en la mejorinformacin disponible
7.- Est hecha a medida
8.- Tiene en cuenta factores humanosy culturales
9- Es transparente e inclusiva
10.- Es dinmica, iterativa y sensibleal cambio
11.- Facilita la mejora continua en laorganizacin
Proceso de Gestin de
Riesgos
Principios de la Gestin
de Riesgos
Marco de Trabajo para la
Gestin de Riesgos
Implementacinde la Gestin
del RiesgoMejoramientoContinuo del
Marco
Diseo del
Marco deGestin deRiesgos
Compromisode la
Direccin
Monitoreo yRevisin del
Marco
ISO 31000: Gestin de Riesgos Principios y Directrices
Clusula 3 Clusula 4 Clusula 5
7/22/2019 Beneficios Iso 31000
14/37
Principios de Gestin del Riesgo
ISO 31000: Gestin de Riesgos Principios y Directrices
1.- Crea Valor y lo Protege
2.- Est Integrada en los Procesos de laOrganizacin
3.- Forma parte de la toma de decisiones
4.- Trata explcitamente la incertidumbre
5.- Es sistemtica, estructurada y adecuada
6.- Est basada en la mejor informacin disponible
7.- Est hecha a medida
8.- Tiene en cuenta factores humanos y culturales
9- Es transparente e inclusiva
10.- Es dinmica, iterativa y sensible al cambio
11.- Facilita la mejora continua en la organizacin
Relacionados con Gobierno, Organizacin y Gestin, e Implementacin
Organizacin
y Gestin
2, 8, 10 y 11
Gobierno
1, 3, 4 y 9
Implementacin
5, 6, 7 y 10
7/22/2019 Beneficios Iso 31000
15/37
Marco de Trabajo para la Gestin del Riesgo
Implementacinde la Gestin
del RiesgoMejoramientoContinuo del
Marco
Diseo delMarco de
Gestin deRiesgos
Compromiso dela Direccin
Monitoreo yRevisin del
Marco
ISO 31000: Gestin de Riesgos Principios y Directrices
El objetivo del marco es estructurar las actividades para la implementacin y mejoracontinua del proceso de gestin de riesgo
! Compromiso firme ysostenido por la direccin de
la organizacin, as como unaplanificacin estratgica y
rigurosa para lograr el
compromiso de todos losniveles
! Implementar el marco degestin de riesgos
! Implementar el proceso degestin de riesgos
! Comprensin de laorganizacin y su contexto
! Establecimiento de la polticade gestin de riesgos
! Rendicin de cuentas yrecursos
! Integracin en los procesos dela organizacin! Establecimiento de la
comunicacin interna y externa,y mecanismos de informacin
! Medir con indicadores! Revisar desviaciones! Reportar efectividad
! Mejora continua delmarco, poltica y plan de
riesgos
7/22/2019 Beneficios Iso 31000
16/37
Evaluacin deRiesgos
IdentificarRiesgos
Analizar Riesgos
Evaluar Riesgos
Tratar losRiesgos
MonitoreoyRevisin
ComunicacinyConsulta
Establecer elContexto
Proceso de Gestin de Riesgos
ISO 31000: Gestin de Riesgos Principios y Directrices
Identificar las fuentes deriesgo, reas de impactos,
eventos; sus causas y susposibles consecuencias
Monitoreo y revisin de lasactividades en forma
continua, peridica eindependiente en todas las
fases del proceso
Establecer los criterios bsicosy el entorno de la organizacin
en que la gestin de riesgosdebe integrarse
Comunicacin y consulta conlas partes externas e internas
en todas las fases del proceso
Comprender cmo se desarrollael riesgo. Medir consecuencias
y probabilidades
Determinar las prioridades enel tratamiento y los recursos a
utilizar. Comparar con riesgoaceptado
Elegir entre las diferentesopciones para tratar los
riesgos
7/22/2019 Beneficios Iso 31000
17/37
Marco Genrico para Gestin de Riesgos en Sector Privado yPblico ISO 31000:2009
Marco para Aseguramiento de la Gestin de Riesgos en SectorPrivado y Pblico ISO 31000:2009
Herramientas para Identificar, Analizar y Evaluar Riesgos - ISO31010:2009
Herramienta para Evaluar y Gestionar el Riesgo de Fraude ISO 31000:2009
ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos
Algunos beneficios de su utilizacin
7/22/2019 Beneficios Iso 31000
18/37
Diccionario de Riesgos - ISO 73:2009
Herramientas para Analizar Causas de un Hallazgo de
Auditora - ISO 31010:2009
Marco para Gestin de Riesgos en Controles de Tecnologa -ISO 27005:2011
Permite Efectiva Estandarizacin para Usar con XBRL - ISO31000:2009
Algunos beneficios de su utilizacin
ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos
7/22/2019 Beneficios Iso 31000
19/37
AgregacIn
Nivel de Madurez en la Aplicacin de ISO 31000, ISO 31010, ISO 73
de
Val
or
a
GRC
+
--
+
Agregacin de Valor en GRC
GRC: Gobierno, Gestin de Riesgos y Cumplimiento
ISO 31000 - ISO 31010 - ISO 73. Gestin de Riesgos
7/22/2019 Beneficios Iso 31000
20/37
7/22/2019 Beneficios Iso 31000
21/37
Auditora Interna y Gestin de Riesgos - Theiia
Declaracin de Posicin del THEIIA: El Rol de la Auditora Interna en
Relacin con la Gestin de Riesgos para toda la Empresa
7/22/2019 Beneficios Iso 31000
22/37
Aseguramiento de la Gestin de Riesgos
! Aseguramiento del proceso de gestinde riesgos
! Aseguramiento de los riesgos relevantesy las afirmaciones de la direccin
! Monitoreo y seguimiento del estado deavance del plan de tratamiento de
riesgos
Un examen objetivo de evidencias con el propsito de proveer unaevaluacin independiente del proceso de gestin de riesgos de unaorganizacin y proporcionar una seguridad razonable a la alta direccin y
al consejo que el programa de gestin de riesgos estefectivamente diseado, documentado y operando para lograr sus
objetivos (1)
Tres Categoras Principales
(1) Gua Prctica. Assessing the Adequacy of Risk Management Using ISO 31000
7/22/2019 Beneficios Iso 31000
23/37
Fuentes para Criterios Tcnicos en el Aseguramiento de la
Gestin de Riesgos
7/22/2019 Beneficios Iso 31000
24/37
Estrategia para Aseguramiento de la Gestin de Riesgos
: Identificar las necesidades de aseguramiento de la organizacin -Incluir trabajos en el plan anual de auditora
: Identificar quines son los proveedores de aseguramiento y susmbitos de accin y operacin
: Identificar y documentar los mecanismos de aseguramiento. Analizary definir enfoque
: Disear el programa de trabajo para la auditora de aseguramiento.Desarrollar y explicitar enfoque
: Obtener evidencia de auditora
: Comunicar los resultados
: Medicin y evaluacin de la estrategia de aseguramiento
Riesgo
Pasos Generales Recomendados
7/22/2019 Beneficios Iso 31000
25/37
ENFOQUES PARA ASEGURAMIENTO DE LA GESTIN
DE RIESGOS BASADOS EN ISO 31000
1. ELEMENTOS
2. PRINCIPIOS
3. MADUREZ
CONTROLES
TRATAMIENTO
Riesgo
7/22/2019 Beneficios Iso 31000
26/37
Documento Enfoques de Aseguramiento el Procesode Gestin de Riesgos Basados en ISO 31000:2009
Solicitar una copia en PDF gratis a: [email protected]
7/22/2019 Beneficios Iso 31000
27/37
Enfoques de Aseguramiento: Elementos del Proceso
Este enfoque comprueba si
cada elemento del procesode gestin de riesgos segn
ISO 31000 existe y esadecuado
Es esencial para validar lasdeclaraciones de intencin
de la direccin a travsde evidencia de
auditora suficiente para
justificar que elelemento est siendo
cumplido en la prctica Anlisis deRiesgos
#
Trata
mie
nto
de
Rie
sgos
Riesgo
7/22/2019 Beneficios Iso 31000
28/37
Este enfoque se basa en el
concepto de que para serplenamente eficaz, cualquier
proceso de gestin del riesgo debetener y cumplir con un conjunto
mnimo de principios orequerimientos fundamentales
Una auditora sobre la basede estos principios evaluar en qu
medida son ciertas estos
principios o requerimientos para el
proceso de gestin de riesgos enuna organizacin
1.- Crea Valor y lo Protege
2.- Est Integrada en los Procesos de laOrganizacin
3.- Forma parte de la toma de decisiones
4.- Trata explcitamente la incertidumbre
5.- Es sistemtica, estructurada y adecuada
6.- Est basada en la mejor informacindisponible
7.- Est hecha a medida
8.- Tiene en cuenta factores humanos yculturales
9- Es transparente e inclusiva
10.- Es dinmica, iterativa y sensible al cambio
11.- Facilita la mejora continua en laorganizacin
Enfoques de Aseguramiento: Principios Claves
7/22/2019 Beneficios Iso 31000
29/37
Este enfoque se basa en que la calidad y
eficacia del proceso de gestin del riesgo deuna organizacin debera mejorar con el tiempo
producto de la evolucin de su nivel demaduracin
Los sistemas de gestin del riesgo inmaduros
producen muy poco rendimiento para lainversin que se ha hecho y, a
menudo funcionan como una sobrecarga
de cumplimiento o una imposicin, ms
preocupados de la informacin sobre losriesgos que de su tratamiento y gestin efectiva
Enfoques de Aseguramiento: Modelo de Madurez
7/22/2019 Beneficios Iso 31000
30/37
Se pueden definir estados de madurez para el proceso de gestin de riesgos.
Ejemplo de categoras en modelo de madurez usando como idea baseel Modelo de Madurez de Capacidades (CMM) - Carnegie Mellon University
(*) Fuente: Adaptado de Source HB158. Delivering Assurance Based On ISO 31000:2009 Risk Management -Principles and Guidelines
Ninguno Muy Poco Regular Bueno Completo
Muy poco o
ningncumplimientocon el requisito
en cualquier
forma.
Slo limitado al
cumplimiento conel requisito.La direccin
apoya la intencin
pero el
cumplimiento en
la prctica espobre.
Escaso
cumplimiento conlos elementosdeclarados.
Ciertamente de
acuerdo con la
intencin pero hay
un limitadocumplimiento en
la prctica.
La direccin
suscribecompletamente laintencin, pero el
cumplimiento es
parcial en la
prctica.
Cumplimiento
absoluto con elelementodeclarado - en la
intencin y en la
prctica - en todo
momento y en
todo lugar.
Enfoques de Aseguramiento: Modelo de Madurez
7/22/2019 Beneficios Iso 31000
31/37
Este enfoque se basa en determinar si existen los componentes del marco
de gestin de riesgos estipulados en ISO 31000 y evaluar su adecuacin yeficacia en base al Ciclo de Deming
Implementacinde la Gestin
del RiesgoMejoramientoContinuo del
Marco
Diseo del Marcode Gestin de
Riesgos
Compromiso de laDireccin
Monitoreo yRevisin del Marco
Enfoques de Aseguramiento: Elementos del Marco
PH
V A
v s
7/22/2019 Beneficios Iso 31000
32/37
En la prctica es posible e incluso conveniente
usar ms de un enfoque a la vez para daraseguramiento a la organizacin sobre la
eficacia de la gestin de riesgos
El objetivo general de este enfoque es dar
aseguramiento en forma individual y conjunta alos principios que sustentan la gestin de
riesgos, al marco de gestin de riesgos y alproceso de gestin de riesgos
Enfoques de Aseguramiento: Combinacin de Enfoques
7/22/2019 Beneficios Iso 31000
33/37
Conclusiones
R S O S
7/22/2019 Beneficios Iso 31000
34/37
Se debe determinar cul es el enfoque que sea posible aplicar y
que a la vez agregue ms valor al trabajo de aseguramiento:Enfoque por; Elementos, Principios, Madurez, Marco o Combinado
La relacin entre la auditora interna y la gestin de riesgos es muy
relevante, est muy normada, es compleja tcnicamente y no
existen mayores intercambios de experiencias en relacin con elaseguramiento
La ISO 31000 se presenta como un Marco interesante ya que
puede contribuir significativamente a la GRC y a la estrategia deaseguramiento de la gestin de riesgos por parte del auditor interno
La auditora interna debe desarrollar una estrategia apropiada para
el aseguramiento de la gestin de riesgos: Desde Identificar lasnecesidades de aseguramiento hasta la medicin y evaluacin de
la estrategia
7/22/2019 Beneficios Iso 31000
35/37
Informacin de Contacto
www.certificacionauditoria.cl
Ricardo Correa F.
[email protected]@gmail.com
7/22/2019 Beneficios Iso 31000
36/37
Preguntas y Respuestas
7/22/2019 Beneficios Iso 31000
37/37
Muchas Gracias
por su atencin!