control interno y gestión de riesgos
DESCRIPTION
Presentación Profesor Esteban Olivares, realizada en el Primer Encuentro Uniersitario de Contadores Auditores Metropolitano.TRANSCRIPT
CONTROL INTERNO Y GESTIÓN DE RIESGOS
Esteban Olivares Arellano
• Introducción
• Control Interno
• Gestión de Riesgos
ACTUALIZACIÓN EN AUDITORÍA
2
Contexto
• Entorno más complejo- Clientes más empoderados
- Más información disponible
- Comunicaciones instantáneas
- Reguladores más activos
• Productos y procesos más complejos
• Gran dependencia de la tecnología
Esteban Olivares Arellano
INTRODUCCIÓN
3
Rol de la auditoría
• Gobierno Corporativo y Auditoría
• ¿Auditores internos consultores?
• Rol y desempeño de los auditores externos
4
¿y qué pasa con los fiscalizadores?
INTRODUCCIÓN
Esteban Olivares Arellano
Novedades
• Avances en la difusión de la gestión de riesgos como parte relevante de la gestión de organizaciones
• ISO 31000:2009, Gestión de Riesgo – Principios y Lineamientos
5
INTRODUCCIÓN
Esteban Olivares Arellano
Novedades
• Basilea y las tres líneas de defensa
• Nueva Versión del Informe COSO
6
INTRODUCCIÓN
Esteban Olivares Arellano
Novedades
• Actualización Normas de Auditoría Interna 2013
• Actualización ISO 9001
7
INTRODUCCIÓN
Esteban Olivares Arellano
CONTROL INTERNO
Definición tradicional
Informe COSO Control Interno (1992)
Actualización Informe COSO Control Interno (2013)
Esteban Olivares Arellano
“Conjunto de normas, métodos, medidas, prácticas adecuadas yprocedimientos incorporados en cada fase de la operación queadopta una organización con el fin de permitir el logro de losobjetivos y resultados presupuestados por la Administración.”
El objetivo antes mencionado, se cumplirá a través del logro de los siguientesobjetivos intermedios:
• La protección de los activos
• La obtención de información adecuada
• Promover la eficiencia operativa
• Estimular la adhesión a las políticas de la Dirección
¿Qué es el Control Interno?
Esteban Olivares Arellano
COSO: Committee of SponsoringOrganizations of the Treadway Commission.
Objetivo del Informe Coso
Definir un nuevo marco conceptual delControl Interno capaz de integrar lasdiversas definiciones y conceptos que hastaese momento se habían venido utilizandosobre este tema.
Informe COSO
Esteban Olivares Arellano
Informe Coso
COSO – Publicaciones sobre Control Interno
1992 2006 2009 2013
Esteban Olivares Arellano
Informe Coso (1992)
CONTROL INTERNO
El Control Interno es un proceso efectuado por el directorio,la dirección y el resto del personal de una entidad, diseñadocon el objeto de proporcionar un grado de seguridadrazonable en cuanto a la consecución de los objetivos dentrode las siguientes categorías:
• Eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de la leyes y normas aplicables
Esteban Olivares Arellano
• Al ser realizado por personas, es falible.
• La colusión puede hacer fallar un proceso de control interno.
• En general, las labores asociadas al control no son consideradasde primer nivel.
• La preocupación por los riesgos y el control se intensificasiempre después de un evento relevante. Es decir no siemprees permanente.
Consideraciones sobre el CI
Esteban Olivares Arellano
Gobierno Corporativo
Gestión de Riesgos
Control Interno
La gestión de riesgos es un concepto más amplio que el control interno
El control interno es una parte integral de la gestión de riesgos de la empresa
La gestión de riesgos es parte del proceso general de gobierno corporativo.
Consideraciones
Esteban Olivares Arellano
¿Por qué actualizar este trabajo? Se ha convertido en la más ampliamente aceptada estructura de control.
COSO (2013)
Estructura
OriginalCOSO Control Interno – Estructura Integrada (Edición 1992)
Actualización
de Objetivos
Estructura
Actualizada COSO Control Interno – Estructura Integrada (Edición 2013)
Aplicación más ampliaClarifica
requerimientos
Articulación de
principios para
facilitar un CI efectivo
Actualizar contexto y
entornoMejoras
Reflejar cambios en los
negocios y entornos
operacionales
Expandir los objetivos
de Operaciones y
Reporte
Esteban Olivares Arellano
CONTROL INTERNO
El control interno es un proceso, efectuado por elDirectorio, la gerencia y otro personal de laorganización, diseñado para proporcionar unaseguridad razonable sobre el logro de los objetivosrelacionados con las operaciones, la elaboración deinformes y el cumplimiento.
Informe Coso (2013)
Esteban Olivares Arellano
OBJETIVOS
Categorías de Objetivos
El informe agrupa los objetivos del control interno en trestipos
Esto clarifica el aporte del Control Interno al cumplimientode los objetivos de la entidad
Operaciones Reportes Cumplimiento
Informe Coso (2013)
Esteban Olivares Arellano
Componentes
El concepto se grafica como un cubo, considerando:
•Componentes
•Objetivos
•Espectro de acción
Informe Coso (2013)
Esteban Olivares Arellano
Conceptos de Riesgos
Esteban Olivares Arellano
20
• Contingencia o proximidad de un daño. Diccionario de la Real
Academia de la Lengua, Ed.2001
• Efecto de la incertidumbre en los objetivos. El efecto puede ser positivo o negativo. ISO 31000
• Cualquiera de las variables relevantes deincertidumbre que puede interferir con el logrode los objetivos de una empresa.
Instituto de Auditores Internos
• El riesgo es la combinación de la probabilidad de un evento y su consecuencia. Ésta puede ser positiva o negativa.
Instituto de Gestión de Riesgos (IRM)
Definiciones de RIESGO
Esteban Olivares A.
Conceptos de Riesgos
21
Definiciones de RIESGO – Según ERM COSO
• Desarrollo de productos
• Nuevos canales de ventas
• Venta a créditoCrear Valor
• Fraudes, ineficiencias
• Demandas, Multas
• Reclamos, Errores
Resguardar Valor
VALOR
Rie
sgo
sO
po
rtu
nid
ades
Profesor: Esteban Olivares A.
Conceptos de Riesgos
22
Riesgos no retribuidos
Resultados oimpactos negativosque erosionan valor.
Ejemplos:incumplimientos deleyes laborales,regulaciones, fraudes,siniestros, etc.
Riesgos Retribuidos
Riesgos que se tomande manera informadapara obtenerbeneficios o ventajacompetitiva.
Desarrollo nuevosproductos, entrar anuevos mercados.
Esteban Olivares A.
Conceptos de Riesgos
23Esteban Olivares A.
Riesgo Inherente
Es el riesgo propio de la actividad, proceso o producto.Está asociado a su naturaleza.
El riesgo inherente se asocia tradicionalmente al riesgopuro, sin la aplicación de medidas de mitigación delmismo.
Conceptos de Riesgos
24Esteban Olivares A.
Control/Mitigación
Es la acción de corregir o reducir laincertidumbre de los eventos significativos deriesgo a través de la administración, latransferencia o eliminación del mismo.
¿La mitigación es preventiva o
detectiva?
Conceptos de Riesgos
25Esteban Olivares A.
Riesgo Residual/Exposición
Es el riesgo que persiste una vez aplicadas oimplementadas las medidas de mitigación.
Posibilidad de materialización de los riesgosaún después de haber ejecutado lasactividades de mitigación y control.
Exposición = Ri - C
Conceptos de Riesgos
26Esteban Olivares A.
Medición de los Riesgos
Los riesgos, en especial los operacionales, semiden en función de su probabilidad deocurrencia (frecuencia) y el impacto(severidad) de su materialización.
Impacto
Probabilidad
MUY ALTO
ALTO
MEDIO
BAJO
Conceptos de Riesgos
27
Pro
bab
ilid
ad
Impacto
Mermas
Reclamos
Desastres naturales
Terrorismo
Ineficiencias
Rotación personal Corte
energia
Litigios
Grandes fraudes
Esteban Olivares A.
Conceptos de Riesgos
28Esteban Olivares A.
Apetito/Tolerancia al Riesgo
Corresponde a la exposición que laorganización decide asumir.
En general, se habla de Apetito cuandoestamos frente a riesgos retribuidos y deTolerancia frente a los riesgos no retribuidos.
Conceptos de Riesgos
Modelos Gestión de Riesgos
Esteban Olivares A.
ERM COSO define la gestión de riesgos como “… un procesoefectuado por el directorio de una entidad, su dirección yrestante personal, aplicable a la definición de estrategias en todala empresa y diseñado para identificar eventos potenciales quepuedan afectar a la organización, gestionar sus riesgos dentro delimites aceptados y proporcionar una seguridad razonable sobreel logro de los objetivos”.
COSO - Gestión de Riesgos
Esteban Olivares A.
ASPECTOS A DESTACAR DE LA DEFINICIÓN
Está directamente relacionado con el establecimiento y elseguimiento de la estrategia corporativa.
Está diseñado para identificar eventos potenciales que, deocurrir, afectarían a la entidad y para gestionar los riesgos dentrodel nivel de riesgo aceptado.
Su objetivo es proporcionar una seguridad razonable alDirectorio y a la dirección de una entidad.
Es orientado al logro de objetivos de la organización dentro dedistintas categorías.
COSO - Gestión de Riesgos
Esteban Olivares A.
ESTRATEGIA
OPERACIONES
INFORMACIÓN
CUMPLIMIENTO
CATEGORIAS DE OBJETIVOS DE LAS EMPRESAS
La idea subyacente de la gestión de riesgos corporativos, esproporcionar un grado de seguridad razonable sobre el logro delos objetivos organizacionales.
COSO - Gestión de Riesgos
Esteban Olivares A.
Ambiente Interno
Establecimiento de Objetivos
Identificación de Eventos
Evaluación de Riesgos
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Supervisión/Monitoreo
Según COSO, la gestión de riesgos corporativos está conformada por ocho componentes relacionados entre sí
COSO - Gestión de Riesgos
Esteban Olivares A.
ISO 31000:2009ISO International Organization for Standarization
• Federación mundial que coordina a los
Organismos Nacionales de Estandarización
• Encargado de promover el desarrollo de Normas Internacionales de fabricación (tanto de productos y servicios), comercio y comunicación para las industrias
• Su objetivo es estandarizar normas de productos y seguridad para las organizaciones a nivel internacional
34Esteban Olivares A.
ISO 31000:2009
• Todas las actividades de una organización involucran riesgo
• Las organizaciones gestionan sus riesgos identificándolos y analizándolos. Luego determinan el tratamiento y controles apropiados para satisfacer los criterios de riesgo
• ISO 31000 establece en detalle este proceso, de una manera sistemática y lógica
35
LA GESTIÓN DEL RIESGO SE PUEDE APLICAR A TODA ORGANIZACIÓN, EN TODAS SUS ÁREAS
Y NIVELES, ASÍ COMO TAMBIÉN A FUNCIONES ESPECÍFICAS, PROYECTOS O ACTIVIDADES
Esteban Olivares A.
ISO 31000:2009
ISO 31000 Gestión del Riesgo – Campo de aplicación
• La norma entrega principios y directrices generales para lagestión del riesgo
• Puede ser usada por toda empresa, asociación, grupos oindividuos. La norma no es específica para una industria
• Puede ser aplicada a lo largo de la vida de la organización y entodo tipo de actividades, incluyendo estrategias y decisiones,operaciones, procesos, proyectos, productos, servicios y activos.
36Esteban Olivares A.
ISO 31000:2009
El modelo de gestión de riesgos ISO 31000 propone elementos centrales
Se establecen principios comunes para todos los riesgos
Se establece, documenta y comunica el marco de trabajo. (Políticas, Gobierno, Metodologías, Procedimientos y Responsables)
Se aplican, de manera periódica, las metodologías definidas para la evaluación de los riesgos y definir u tratamiento
Esteban Olivares A.
Principios de Gestión de Riesgos
La gestión de riesgos se basa en ciertos principios que deben ser conocidos y aceptados. Se contemplan 11 principios, comunes a todos los tipos de riesgos, destacándose:
Crea y protege valor
Es parte de la toma de decisiones
Es parte de los procesos organizacionales
Administra la incertidumbre
Se adapta a la organización
La Gestión de Riesgos
ISO 31000:2009Principios
Esteban Olivares A.
Marco de Trabajo
Implica el establecimiento, documentación y comunicación de:
Gobierno
Políticas
Metodologías
Procedimientos
Responsables
Esteban Olivares A.
ISO 31000:2009Marco de Trabajo
Evaluación de Riesgos
Mo
nit
ore
o y
rev
isió
n
Tratamiento de riesgos
Evaluación de
riesgos
Análisis de riesgo
Identificación de
riesgos
Establecer el contexto
Co
mu
nic
ació
n y
Co
msu
lta
Cada tipo de riesgo tiene un proceso distinto, contando con metodologías diferenciadas en la identificación, análisis y evaluación.
ISO 31000:2009Proceso de Gestión
El Control Interno y la Gestión de Riesgos:
•Son actividades complementarias con mucho en común pero no son lo mismo
•Disciplinas que operan en distintos ámbitos
•Actividades muy necesarias en las organizaciones de hoy
•Aspectos no siempre de primer orden en las empresas
Finalmente
Los riesgos y el control interno
42
Risk and Control StructureEstructura de Riesgo y Control
Riesgos
Riesgos Clave
Diseño de Test
Estrategia
Sub-process-
Objetivos de Control
Actividades de Control
Ejecución Test
Resultados & Análisis
Risk Assessment /
Mapa de Riesgos Agregados
Escalamiento & Seguimiento
Planes de Acción correctivos / mitigatorios
Indicadores de Riesgos
Métricas/ Tendencias
Límite/ Apetito
Resultados & Análisis
MonitoreoRiesgos Claves
Control
InternoGestión de
Riesgos
Objetivos de Negocio
CONTROL INTERNO Y GESTIÓN DE RIESGOS
Esteban Olivares Arellano