dr. josé lago rodrÍguez, cia, cpn, mba ex presidente de...
TRANSCRIPT
GestiGestióón de n de RiesgosRiesgos
CorporativosCorporativos(COSO ERM)(COSO ERM)
Dr. JosDr. Joséé LAGO RODRLAGO RODRÍÍGUEZ, CIA, CPN, MBAGUEZ, CIA, CPN, MBAEx Presidente de FLAIEx Presidente de FLAI
DirectorDirector AtAt LargeLarge IIAIIA BoardBoard ofof DirectorsDirectors
¿¿Tiene su organización un proceso formal de Gestión de Riesgo u otro método para
identificar riesgos?
Después de Enron: Encuesta a los Directores Corporativos
Corporate Governance: Definición
Sistemas y Procesos que una Empresa pone en funcionamiento para proteger los derechos de sus “gupos de interés” (stakeholders).
Accionistas ClientesInversores ProveedoresEmpleados AcreedoresComunidad Estado
Qué implica el Buen C. G. ?
No basta con “cumplir” las normas y regulaciones (Compliance).Requiere:– Cultura de Etica y Buenas Practicas
en los Negocios (BP&E).– Información Transparente y
Adecuadamente Expuesta (D&T).– Clara e Integral Comprensión de
Cómo Manejar Riesgos.– Procesos adecuados para Manejar y
Monitorear Riesgos (ERM).
GobiernoEficaz
COSO ERM Objetivo del Proyecto: Mejorar la Identificación de Riesgos y los Procedimientos de Análisis de Riesgos.
Principios Subyacentes:Toda Organización, con ó sin fines de lucro, existe para Agregar Valor a sus grupos de interés (stakeholders).El Valor es creado, preservado ó erosionadopor decisiones del Management en todas las actividades, desde la Definición de Estrategias hasta operar el día a día de la empresa.
COSO ERM Ayuda a la creación de Valor, permitiendo al Management:
Manejarse eficazmente con eventos futuros potenciales que crean incertidumbre.
Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.
ERMProvee mayores capacidades para:
Alinear el apetito por el riesgo y la estrategia.Conectar crecimiento, riesgo y retorno.Mejorar las decisiones en respuesta a los riesgos.Minimizar sorpresas y pérdidas operacionales.Identificar y gestionar riesgos cruzados.Proveer respuestas integrales a riesgos múltiples.Dimensionar Oportunidades.Racionalizar el Capital.
ERMEs un Proceso que incluye:
Identificar Potenciales Eventos que pueden Impactar en los Objetivos.Evaluar los Riesgos y darle Respuesta. Considerar los Riesgos en la Formulación de la Estrategia.Aplicar el ERM a través de toda la Empresa.Gestionar los Riesgos considerando el nivel de apetito ó adversión al riesgo de la Org.Lograr una visión del Portfolio de Riesgos a nivel de la Compañía.Monitorear el Comportamiento del ERM.
COSO ERM FCategorías de Objetivos:
EstratEstratéégicosgicosOperacionalesde Informaciónde Cumplimiento
Considerar las Actividades en todos los Niveles Considerar las Actividades en todos los Niveles dentro de la Organizacidentro de la Organizacióón:n:
EmpresaDivisiónUnidad de NegocioSubsidiaria.
Ambiente de ControlAmbiente de Control
ComplianceComplianceInformaciInformacióónnconfiableconfiable
Efectividad y Eficiencia en las operaciones
EvaluaciEvaluacióón de Riesgosn de Riesgos
Actividades de ControlActividades de Control
InformaciInformacióón y Comunicacin y Comunicacióónn
Monitoreo y SupervisiMonitoreo y Supervisióónn
Enfoque COSO ICEnfoque COSO IC--IFIF
EvaluaciEvaluacióón de los Riesgosn de los Riesgos
Actividades de Actividades de ControlControl
MonitoreoMonitoreo
InformaciInformacióónn
y Comunicaciy Comunicacióónn
InformaciInformacióónn
y Comunicaciy Comunicacióónn
Componentes del Control Interno: COSO´sInternal Control – Integrated Framework (IC-IF)
Ambiente de Control
COSO ERM FComponentes Interrelacionados:
Ambiente de ControlEstablecimiento de ObjetivosEstablecimiento de ObjetivosIdentificaciIdentificacióón de Eventosn de EventosEvaluaciEvaluacióón de Riesgosn de RiesgosRespuesta a los RiesgosRespuesta a los RiesgosActividades de ControlInformación y ComunicaciónMonitoreo
COSO ERM FAmbiente de Control:
Establece una Filosofía respecto de la Gestiónde Riesgos. Reconocer que tanto eventos esperados como no esperados pueden ocurrir.
Establece una Cultura del Riesgo en la Org.
Considera todos los otros aspectos sobre cómolas acciones de la Org. Afectan esta Cultura del Riesgo (apetito, tolerancia, adversión alriesgo).
COSO ERM FEstablecimiento de Objetivos:
Se aplica cuando el Management considera la estrategia de riesgos en la Formulación de los Objetivos.
Formaliza el “apetito” al riesgo a nivel de entidad. Es una visión a alto nivel de cuanto riesgo están dispuestos a aceptar la Alta Dirección y el Board.
Tolerancia al Riesgo es el nivel aceptable de variación respecto de los objetivos, y estáalineado al “apetito” al riesgo. (Cuantificarlo).
COSO ERM FIdentificación de Eventos/Sucesos:
Distinguir Riesgos y Oportunidades: Riesgos: Sucesos que pueden tener un impacto negativo.Oportunidades: Eventos que pueden tener un impacto positivo.
Identificar esos incidentes (int. ó ext.) que pueden afectar la estrategia y el logro de los objetivos.Determinar cómo los factores internos y externos se combinan e interactúan para influenciar su perfil de riesgos.
COSO ERM FEvaluación de Riesgos:
Tener en cuenta su importancia y comprender el alcance sobre cómo los eventos potenciales pueden impactar en los Objetivos.
Evaluar los riesgos desde 2 perspectivas: Probabilidad e Impacto.
Unidad de Medición: Normalmente es la misma que usamos para medir los objetivos relacionados.
COSO ERM FEvaluación de Riesgos (cont.):
Emplear una combinación de las 2 metodologías de evalución de riesgos: Cuantitativa y Cualitativa.
Los horizontes de tiempos están relacioandoscon los horizontes de tiempo de los Objetivos.
Evaluar Riesgos sobre las 2 bases, de Riesgo Inherente y Riesgo Residual.
COSO ERM FRespuesta al Riesgo:
Identificar y Evaluar las posibles respuestas al Riesgo: Transferir, Compartir, Reducir, Aceptar.
Evaluar opciones en relación con:El “apetito” de riesgo de la Org.,La Relación Costo/Beneficio de c/potencial
respuesta y,El Grado en que una respuesta reducirá elImpacto y/o la Probabilidad de ocurrencia.
COSO ERM FRespuesta al Riesgo:
Evaluar si la respuesta al riesgo impacta en el marco integral de los componentes del ERM y cuál respuesta específica es seleccionada si no es así.
Seleccionar y ejecutar esa respuesta basados en la evaluación del portafolio de riesgos y de respuestas.
La Respuesta no forma parte del ERM
COSO ERM FActividades de Control:
Son las políticas y procedimientos que ayudan a asegurar que la respuesta al riesgo, así comootras directivas de la entidad, son aplicadas.
Existen a través de toda la Org., a todos los niveles y en todas las funciones.
Incluyen controles en los aplicativos y controles generales en IT.
Para que exista un ERM eficaz debe existir un Control Interno efectivo.
COSO ERM FInformación y Comunicación:
La Información es necesaria en todos los niveles de una entidad para identificar, evaluar y responder al riesgo.
El Management identifica, captura y comunica la información pertinente en un tiempo y una forma que permitan a la gente cumplir con sus responsabilidades.
La Comunicación ocurre en un sentido amplio, fluyendo hacia abajo, hacia arriba y a través de la Organización.
COSO ERM FMonitoreo:
Monitorear la efectividad en curso de los otros componentes del ERM, a través de:
Actividades de Monitoreo durante el proceso.Evaluaciones por separado.Una combinación de ambas.
COSO ERM F
Roles y Responsabilidades:
Board de Directores: Asegurarse que los riesgos son gestionados.
Management: Las Gerencias son las propietarias del ERM: Identifica y maneja los riesgos.
Oficiales de Riesgo / Comité de Riesgos.
Auditor Interno: Facilitador y Monitoreo: Aseguramiento y Consulta.
Otros miembros de la Organización.
COSO ERM FRelación con COSO´s Internal Control –Integrated Framework (COSO IC-IF)
ERM se expande y elabora sobre los elementos de C.I. ya expuestos en el COSO.
ERM incluye la Formulación de los Objetivos como un componente separado. COSO IC-IFexpone a los Objetivos como un Prerrequisito para el Control Interno.
En el Marco sobre ERM, la categoría del Objetivo sobre Información es mayor que en el COSO, que sólo hablaba de InformaciónFinanciera.
COSO ERM FRelación con Control Interno:
Un Control Interno efectivo es necesario para un ERM efectivo.
El Marco de Trabajo del ERM amplía el componente de Evaluación de Riesgos del COSO IC-IF separándolo en Componentes.
El Marco de Trabajo del ERM se explaya en detalle sobre cómo otros componentes del IC IF están relacionados con el ERM
Definición de Auditoría Interna
Código de Ética
Normas sobre Atributos,Desempeño e Implementación
Marco para la Práctica Profesional:3 Categorías de Guías
Normasy Ética
Consejosp/la Práctica
•PPF: Folletos PrácticaProfesional
Ayudas p/ Prácticay Desarrollo
•Libros•Inf. Investigación•Seminarios•Conferencias
Nuevos:– Ética - El Rol de A.I.
– Servicios de Consultoría
– Seguridad Informática
– Información fuera de la Organización
– Gestión del Riesgo
Desarrollo de losConsejos para la Práctica
Un Marco Completo yMultidimensional...
Consejos parala Práctica(interpretar)
Normas yÉtica
Ayudas p/la Prácticay el Desarrollo(implementar)
AgregarValor
Definición de Auditoría Interna
Actividad independiente yobjetiva de aseguramiento y
consulta, concebida para agregarvalor y mejorar las operaciones
de una organización.
Quésomos?
Quéhacemos?
Ayuda a una organización a cumplirsus objetivos aportando un enfoque
sistemático y disciplinado paraevaluar y mejorar los procesos de
gestión de riesgos, control y gobierno.
Definición de Control Interno s/MPP
Proceso efectuado por el Directorio, la Gerencia y los otros miembros de la Org.,diseñado para proporcionar un grado de seguridad razonable en cuanto al logro de objetivos en las siguientes categorías:
efectividad y eficiencia de las operaciones,confiabilidad e integridad de la información
financiera y operativa,protección de activos, y cumplimiento de leyes, regulaciones y
contratos.”
Definiciones
Riesgo: Incertidumbre de que ocurra un acontecimiento que pudiera afectar ellogro de los objetivos. Se mide entérminos de consecuencias yprobabilidad.
Administración de la Actividad de A.I.
El principal ejecutivo de auditoría(DEA) debe gestionargestionar efectivamenteefectivamente laactividad de auditoría interna paraasegurarasegurar queque agregueagregue valorvalor a la organización.
El Rol del AI en ERM (Sp 04)
Sugiere formas para que los AImantengan su OBJETIVIDAD e INDEPENDENCIA requeridas porlas Normas del IIA cuando proveanservicios de aseguramiento yconsulta.
Objetividad
Actitud mental independiente:
Llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manerasignificativa su calidad.
No subordinar su juicio al de otrossobre temas de AI.
El Rol del AI en ERM (Sp 04)
ERM:
Proceso estructurado, consistente ycontinuo implementado a través de toda laorganización para
IDENTIFICAR
EVALUAR
MEDIR y
REPORTAR
amenazas y oportunidades que afectan elpoder alcanzar el logro de sus objetivos.
El Rol del AI en ERM (Sp 04)
Rol fundamental:
Proveer Aseguramiento Objetivo a laDirección y a la Junta sobre laEFECTIVIDAD de la Gestión de Riesgos:
1) ASEGURAR que los riesgos claves delnegocio están siendo GESTIONADOSapropiadamente y,
2) ASEGURAR que el Sistema de ControlInterno está siendo OPERADO efectivamente.
El Rol del AI en ERM (Sp 04)
Rol fundamental:
Proveer Consejo.
Motivar y Soportar las DecisionesGerenciales sobre Riesgos.
No Decidir sobre Riesgos.
Documentar responsabilidades de AI enEstatutos de AI aprobados por Comité deAuditoría.
El Rol del AI en ERM (Sp 04)
Gerencia de Riesgos:
Es el Responsible de Establecer y Operar elERM con la Aprobación de la Junta
Roles Fundamentalesde AI en ERM
ASEGURAMIENTO:
Procesos de Gestión de Riesgos (Diseño yOperación).Riesgos Correctamente Evaluados.Evaluación Procesos de Gestión de Riesgos.Evaluación de Reporte de Riesgos Claves.Revisión Gestión de Riesgos Claves (incluyeEfectividad de Controles y Otras Respuestas aéstos).Gerente del Proyecto ERM ???
Roles Legítimos de AI en ERM
CONSULTORÍA:
Apoyar a Gerencia en su trabajo: Facilitación,Identificación y Evaluación de Riesgos.
Herramientas y Técnicas usadas por AI para analisisde Riesgos y Controles.
Defender el establecimiento del ERM, aportando suexperiencia en Gestión de Riesgos y en la Org.
Entrenamiento a la Gcia. sobre Riesgos y Controles yRespuesta a Riesgos
Roles Legítimos de AI en ERM
CONSULTORÍA (cont.):
Coordinación, Monitoreo y Reporte sobre Riesgos.
Mantenimiento y Desarrollo del Marco de ERM.
Desarrollo de Estrategias de Gestión de Riesgo paraAprobación de la Junta
Asumir Responsabilidad Gerencial de Gestión deRiesgos.???: Transferencia de Responsabilidades a la Gcia.
Roles Legítimos de AI en ERM
SALVAGUARDAS:
Asegurar que Actividad no amenaza Independenciay Objetividad de AI: Gerencia mantieneresponsabilidad de Gestión de Riesgo.
Confirmar que actividad podría mejorar los procesosde Gestión de Riesgos, Control y Gobierno de la Organización: Aplicar Normas de Consultoría.
Tener Destrezas (Ej. Manejo de Proyectos, Analíticasy de Facilitación), Cuerpo de Conocimientos(Requerim. de GC) y Valores (Balance saludable deRiesgo): Pericia.
Rol de AI en ERM
Roles Que AI NO Debe Realizar
Establecer el Apetito de Riesgo.Imponer Procesos de Gestión de Riesgo.Manejar el Aseguramiento sobre losRiesgos de los que es responsable.Tomar Desiciones de Riesgo en Respuestaa los Riesgos.Implementar Respuestas a Riesgos aFavor de la Administración.Tener Responsabilidad en la Gestión deRiesgos.
Normas para el EjercicioProfesional
Atributos: Qué Somos y qué
debemos tener.
Desempeño: Qué Hacemos y qué
acciones debemos tomar.
Implementación: Cómo aplicarlas
en un caso particular.
Normas sobre Atributos
Describen Características básicas delas Organizaciones y las personasque prestan servicios de A.I.
Normas sobre DesempeñoDescriben la Naturaleza de las
actividades de Auditoría Interna.
Proporcionan criterios de calidadcon los cuales puede medirse eldesempeño de estos servicios
Pericia y Debido Cuidado Profesional
Debido Cuidado Profesional: Cuidado y pericia esperados de un A.I. razonablemente prudente y competente. Ejercerlo al considerar:
Adecuación y efectividad de los procesos de Gestión de Riesgos, Control y Gobierno.
Relación Costo de Aseguramiento/Potencial Bº
Pericia: Conocimientos, Aptitudes y otras competencias necesarias p/cumplir con sus responsabilidades individuales.
Pericia y Debido Cuidado Profesional
Debido Cuidado Profesional:
El A.I. debe estar alerta a los RIESGOS MATERIALES que pudieran afectar los objetivos, operaciones ó los recursos.
Los procedimientos de aseguramiento, por sísolos, no garantizan que todos los riesgos materiales sean identificados (infalibilidad).
Administración Efectiva Actividad A.I.
Plan de Trabajo basado en Evaluación de Riesgos (Anual)Considerar comentarios Alta Dirección y Consejo
Planes basados en riesgos, p/determinar prioridades. Plan consistente c/metas Org.
AgregarValor
Consultoría: Aceptar sólo si mejora gestión de riesgos, añade valor y mejora las operaciones de la Org.
Administración Efectiva Actividad A.I.
Informar periódicamente al Directorio y la D.S.
Sobre la Activ. en lo referido a Propósito,Autoridad, Responsabil. y Desempeño del Plan.
Incluír Exposiciones de Riesgo Relevantes y Cuestiones de Control, Gobierno Corporativo y otras necesarias o requeridas por Consejo y la Alta Dirección.
Administración Efectiva Actividad A.I.
A.I. debe evaluar si vuelve a informar al Consejo sobre Obs. y Recomendaciones significativas en las que la Alta Dirección y el Consejo asumieron el riesgo de no corregir la situación informada:
Puede ser necesario cuando ha habido cambios en la Org, el Consejo, la AD ú otroscambios.
Naturaleza del Trabajo
Gestión de Riesgos: Asistir a la Org.:Identificando y Evaluando Exposiciones
significativas a los riesgos yContribuyendo a la Mejora de los Sistemas de
Gestión de Riesgos y Control.
Activ. AI: Evalúa y contribuye a mejora sistemas de Gestión de Riesgos, Control y Gobierno.
Supervisión y Evaluación Eficacia del Sistema de Gestión de Riesgos de la Org.
Naturaleza del TrabajoEl Proceso debe ser:
Adecuado: Los Objetivos y Metas seránalcanzados eficiente y económicamente.
Eficiente: Consigue Objetivos de forma precisa, oportuna y económica.
Económico: Mínimo Uso de Recursos en consonancia con la Exposición al Riesgo.
Naturaleza del TrabajoEl Proceso debe ser:
Eficaz: Obtener una Seguridad Razonable de que los Objetivos y Metas de la Org. seránalcanzados.
Seguridad Razonable: Si se toman las acciones más eficaces con respecto al costo en las etapas de diseño e implantación, que permitan reducir riesgos y limitar las desviaciones a un nivel aceptable.
Naturaleza del TrabajoEvaluar las Exposiciones al Riesgo referidas al Proeceso de Gestión Global a cargo de la Dirección,en especial en lo que se refiere a Gobierno, Operaciones y Sistemas de Información de la Org.:
Confiabilidad e Integridad Información(Financiera y Operativa),
Eficacia y Eficiencia de las Operaciones,Protección de Activos,Cumplimiento de leyes, regulaciones y contratos.Identificación de las exposiciones al riesgo y el
uso de estrategias eficaces para controlarlas.
Naturaleza del Trabajo
Consultoría:
Considerar riesgo compatible con Objetivos del Trabajo y estar alerta a la existencia de otros riesgos significativos.
Incorporar los conocimientos del riesgo obtenidos de los trabajos de Consultoría en el Proceso de Identificación y Evaluación de las Exposiciones de Riesgo significativas en la Org.
Naturaleza del Trabajo
Tipos de Control
Preventivo: Evitar hechos no deseados.
Detectivo: Detectar y Corregir hechos no deseados que han ocurrido.
Directivo: Provocar ó Promover que sucedan hechos deseados.
Planificación: Temas a Considerar:
Objetivos de la Actividad Revisada y Medios con los que Controla su Desempeño.
Riesgos Significativos de la Actividad, sus Objetivos, Recursos y Operaciones, yMedios con los cuales el Impacto Potencial del Riesgo se Mantiene en Niveles Aceptables.
Planificación: Temas a Considerar:
Adecuación y Eficacia de los Sistemas de Gestión de Riesgos y Control de la Actividad, comparados con un Modelo de Control.
Oportunidades de Introducir Mejoras Significativas en los Sistemas de Gestión de Riesgos y Control de la Actividad.
Planificación: Objetivos delTrabajo
Identificar y evaluar los riesgos relevantes de la Actividad bajo revisión.
Los Objetivos del Trabajo deben reflejar los Resultados de la Evaluación de Riesgos.
Criterios para la ComunicaciónLas Observaciones deben Incluír:
Lo que debe ser (Criterio ó Norma).
Lo que es: Evidencia
Causa: Porqué existe la diferencia.
Efecto ó Impacto de la Diferencia:
Riesgo ó Exposición en que se encuentra la Org. ó terceros y su impacto sobre las operaciones y los estados financieros de la Org
Supervisión del Proyecto
Establecer un Proceso de Seguimiento paraSupervisar y Asegurar que las Acciones de la
Dirección han sido efectivamente implementadas óque la Dirección Superior acepta el Riesgo de No
Tomar Acción.
Establecer y Mantener un Sistema para Supervisar la Disposición de los Resultados
comunicados a la Gerencia.
Aceptación de Riesgos por la Dirección
La Alta Dirección puede decidir asumir el riesgo de no corregir la situación informada, por razones de costo ú otras consideraciones.
El Consejo debe ser informado de tales decisiones tomadas por la Alta Dirección con respecto a todas las observaciones y recomendaciones del trabajo significativas.
Aceptación de Riesgos por la Dirección
Si Auditoría Interna considera que la Alta Dirección aceptó un Nivel de Riesgo Residualque es inaceptable para la Organización:Discutir esto con la Alta Dirección.
Si la decisión referida al Riesgo Residual no se resuelve, Auditoría y la Alta Dirección deben informar esta situación al Consejo, para su resolución.
“Para los hombres de coraje
se han hecholas empresas”
Carta del Gral. San Martínal Sr. Godoy Cruz (Mendoza 1816)
MuchasMuchas GraciasGracias
porpor susu atenciatencióónn
Los esperamos en Los esperamos en La Conferencia Internacional La Conferencia Internacional de Auditorde Auditoríía Interna del IIA, a Interna del IIA,
en Chicago, EEUU,en Chicago, EEUU,Del 11 al 13 de Julio del Del 11 al 13 de Julio del
2.005.2.005.
Y en la X CLAI en La Habana, Cuba
Del 3 al 6 de Octubre 2.005,
¿Preguntas?: Ahora y Después
Dr. José LAGO RODRIGUEZ, CIAEx Presidente de FLAIDirector At Large IIA Board of Directors