page 1 riesgo y control enfoque de auditoria. page 2 que son los riesgos aunque existen muchas y...
TRANSCRIPT
Page 1
RIESGO Y CONTROL
ENFOQUE DE AUDITORIA
Page 2
QUE SON LOS RIESGOS
Aunque existen muchas y variadas definiciones para el tema de administración de riesgos, no hay una única definición comúnmente aceptada o formalizada globalmente....a continuación se presentan algunas definiciones.
La posibilidad que algo suceda y que podría tener un impacto sobre los objetivos. Está medido en términos de consecuencias y probabilidad de ocurrencia. Estándar ASNZ 4360Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Guía de la administración del riesgos DAFP
Page 3
Es cuando el Concejo de Directores / Junta Directiva o la Alta Gerencia de una organización, administra o toma decisiones condicionadas por la percepción que tienen los individuos frente al concepto de riesgo, es por ello que frente a un mismo negocio o toma de decisiones un individuo incurrirá en un mayor riesgo que otro solo por su percepción al riesgo.
RIESGO DE PERCEPCIÓN AL RIESGO
Page 4
TENDENCIAS ACTUALES
Un mercado totalmente globalizado y por ende altamente competitivo que exige de sus participantes la oferta de productos innovadores , lo que requiere de ajustes muy rápidos en la tecnología y procesos que los soportan.
Deterioro de valores en la sociedad, aumento del desempleo y la delincuencia y por lo tanto incremento en las incidencias de fraudes.
El incremento de uso de canales virtuales para la realización de operaciones, con el incremento de los riesgos de fraudes electrónicos originado tanto de fuentes internas como externas.
El aumento de fusiones y adquisiciones con el consecuente riesgo de desajustes en las estructuras organizativas y sistemas.
Page 5
Implantación de metodologías para mejorar la Calidad en los procesos y el servicio al Cliente.
El nuevo Marco Regulatorio en materia de control, riesgos y gobierno corporativo que exige la implantación de las mejores prácticas en materia de control interno así como la adopción de una metodología de gestión de Riesgos Operacionales que minimice el capital en riesgo para cubrir este concepto.
TENDENCIAS ACTUALES
Page 6
ANALIZAR RIESGOS
Plan Estratégico de Riesgos Operacionales
• Misión, visión y objetivos estratégicos• Estructura Organizativa• Plan de Trabajo Inicial (Plan Piloto)
IDENTIFICAR LAS FUENTES DE RIESGOS
DeterminarProbabilidad
DeterminarImpacto
Estimar nivel de riesgo
PRIORIZAR RIESGOS
GESTION DE LOS RIESGOS• Evaluar opciones de tratamiento,
incluyendo análisis de costo-beneficio• Seleccionar mitigaciones y preparar plan
de mitigación• Implantar plan
MAPEO
DE PROCESOS
SEGUIMIE
NTO
MONITOREO
METODOLÓGICO GESTIÓN DE RIESGOS
Page 7
VISION
MISION
OBJETIVOS INSTITUCIONALES VENTAJAS
COMPETITIVAS
FACTORES CRITICOS DE
EXITO
ESTRATEGIAS
CORE COMPETENCIAS O COMPETENCIAS CLAVE
VALORES ORGANIZACIONALES
COMPETENCIAS DEL PERSONAL
OBJETIVOS OPERACIONALES
( SCORECARD)
OPORTUNIDADES
FUERZAS DEBILIDADES
RIESGOS
EVALUACION DEL DESEMPEÑO
EL MAPA DE LA PLANEACION ESTRATEGICA
Page 8
##
Ap
ren
der
Visióny
Valores
Act
ivid
ades
de
Imp
lem
enta
ció
n
Mej
ora
r la
Est
ruct
ura
d
e A
ud
ito
ría
Seguimiento
Rev
isío
n
de
la V
isió
n
Rev
isió
n d
eE
fec
tiv
idad
del
Sis
tem
a
Rev
isi ó
n d
e P
rin
cip
ios
y E
s tra
teg
ias
Principios y Estrategia
Plan de Implementación
Estructura de Auditoría
Lineamientosde Reporte
Medición y Seguimiento
Reporte Interno y Externo
Stakeholders
Hacer
Stakeholders
Ob
jeti
vos,
ta
rget
s &
KP
Is
Enfoques Contemporáneos de Validación (Auditoría)
Enfoque Integral de Desempeño Gerencial
Page 9
Sistemas Integrados de Informacióny Reportes
Valores yMisión
Estrategia yGobierno
Corporativo
OperacionesEstándares de
Medición yReporte
DesempeñoFinanciero No Financiero
“Stakeholders”Externos
“Stakeholders”Externos
Conductores de CambioRevisión y
retroalimentaciónProblemas en el Desempeño
Áreas de Negocio
“StakeholdersExternos”
Enfoques Contemporáneos de Validación (Auditoría)
Page 10
Enfoques Contemporáneos de Validación (Auditoría)
Enfoque de Riesgos en Procesos Críticos
OPORTUNIDADES DE MEJORAMIENTO
REPORTE DEAUDITORÍA
Parámetros
Cómo encaja el negocio
“Stakeholders” Internos y Externos
Entendimiento del NegocioObjetivos & estrategias
Riesgos Asociados con los reportes de información no financiera (“Riesgo Total”)
Cómo responde la organización a tales riesgos) (Gerencia y Control del Riesgo)
Riesgo Residual
Pruebas de Auditoría
Page 11
INFORMACION BASICA A CONSIDERAR EN LA EVALUACION DEL RIESGO GENERAL
o Sector en donde esta ubicada la entidado Los resultados obtenidos por la entidado La estructura financiera de la entidado La estructura organizacional de la empresao La operación en si de la compañía
La cultura organizacional y de control La estimación preliminar de la importancia
relativa La determinación del ambiente de control Identificación de riesgos de auditoria
significativos.
CONOCIMIENTODE LA ENTIDAD
Page 12
ASPECTOS A TENER EN CUENTA EN EL PROCESO DE EVALUACION DE RIESGOS GLOBALES
1. Se han dado proyecciones muy optimistas y fuertes presiones para alcanzar esas proyecciones.
2. Se usan políticas contables agresivas para mejorar los resultados.
3. Hay experiencias de reservas bajas o insuficientes.
4. Hay experiencias de ajustes de auditoria.
5. Se han sucedido intentos de esconder situaciones temporalmente
malas.
Page 13
CLASES DE CONSIDERACIONES A EVALUAR EN EL ANALISIS DEL RIESGO GENERAL
I. EXTERNAS:
Son factores que por lo general están por fuera de control de la dirección.o tendencias de la industriao cambios económicoso otra información que indique un mayor o menor riesgo de diferencias.
II. INTERNAS
o ha existido proyecciones exageradamente optimistas.o eficacia de los procedimientos o eficacia de los controles
Page 14
CLASES DE CONSIDERACIONES A EVALUAR EN EL ANALISIS DEL RIESGO GENERAL
I. ESTABILIDAD FINANCIERA DE LA ENRIDAD:Estos problemas no se relacionan (con un hecho interno o externoespecifico, por lo general son reflejo de la acumulación de problema) de laentidad.
EL ANALISIS DEL RIESGO GENERAL CONSIDERA LOS RIESGOS DEL AMBIENTE EXTERNO E INTERNO QUE AUMENTAN O DISMINUYEN LOS RIESGOS INHERENTES Y DE CONTROL.
Page 15
Sombrilla del Gobierno Corporativo
INTERESADOS
Actividades
de
Aseguramien
to (Auditores
Internos y
Externos)
Proceso del Enterprise Risk Management
Consejo de Directores
Alta Gerencia
Adm.
Riesgos
Dueños de Riesgos
Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Page 16
Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
• Responsabilidades Directivos:o Identificar y entender las necesidades de los
interesadoso Determinar y evaluar los posibles resultados de las
actividades del negocioo Ser conscientes y concordar con el apetito de riesgo
de la empresao Definir el nivel de tolerancia relativa a posibles
resultados adversoso Delegar la autoridad a la gerenciao Establecer los requerimientos de información y
comunicación
Page 17
Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
• Responsabilidades de la Alta Gerencia:o Identificar los procesos y actividades críticaso Identificar el umbral del monitoreo de riesgo que
justifica su delegacióno Delegar la responsabilidad, autoridad y rendición de
cuentas a los apropiados dueños de riesgoso Establecer los requerimientos de información y
comunicación para los dueños de riesgos
Page 18
Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
• Responsabilidades de los dueños de riesgos:o Las actividades de administración de riesgos están diseñadas
eficazmente para administrar los riesgos relacionados dentro de las tolerancias especificadas
o Asegurar que la administración de riesgos funciona como se espera
o Monitorear las actividades de administración de riesgos para determinar, en forma oportuna, las anomalías y las divergencias de los resultados esperados
o Comunicar todos los resultados oportunamente a la alta gerencia
Page 19
Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
• Responsabilidades del auditor:o Evaluar si las actividades de administración de riesgos se han
diseñado de manera efectivao Determinar si las actividades de administración de riesgos están
operando tal y como fueron diseñadaso Evaluar si las afirmaciones de los dueños de riesgos a la alta
gerencia re: administración de riesgos son exactaso Evaluar si la información de la alta gerencia al consejo es
completa y exactao Identificar cualquier área de gobierno o riesgo que actualmente
no esté siendo cubierto por el proceso de ERM
Page 20
Infraestructura de Riesgos
Estrategia de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Apetito de Riesgo• Estrategia• Ganancias
Modelo de Negocio• Objetivos Estratégicos
• Metas Anuales
Organizacional• Cultura
• Estructura
Auditoría y Administración de Riesgos
Page 21
Auditoría y Administración de Riesgos Etapas de la Evaluación de Riesgos
La cultura y estructura organizacional de la compañía forman la última entrada en el proceso de ERM, sin embargo, existen tres etapas básicas:
Identificar: técnicas para identificar eventos que son indicativos de riesgos ¿Cuáles son los riesgos que podrían afectar el éxito de una empresa?
Evaluación: importancia del riesgo ¿Qué impacto tendría cada uno de estos riesgos en la empresa? ¿Cuán probable es que el riesgo ocurra? ¿Cuánta tolerancia tiene la empresa para permitir que el riesgo se
produzca? Filtración: filtrar los riesgos hasta bajar, a un número
manejable de riesgos claves
Page 22
Auditoría y Administración de Riesgos Etapa del Análisis de Riesgos
Fuentes de riesgos: ¿Dónde ocurre el riesgo? (Externo a la organización o interno dentro de una de las empresas, localidades, procesos, etc.)
Conductores de riesgos: ¿Qué causa que el riesgo ocurra y por qué?
Mediciones de riesgos: ¿Cómo puede el riesgo ser medido, cómo sabrá la compañía que el riesgo está ocurriendo y a qué extensión?
Page 23
Auditoría y Administración de Riesgos Etapa de la Estrategia de Riesgos
Una vez identificados los principales riesgos y los principales conductores de estos riesgos, es el momento de identificar y evaluar las estrategias de riesgo:
Evite el riesgo: despojándose, prohibiendo Transferir el riesgo: asegurando, titulización, adquiriendo
coberturas, subcontratando Reducir el riesgo: estableciendo controles, estableciendo
límites para transacciones Aceptando el riesgo: auto asegurándose, monitoreando,
técnicas de reacción Explotar el riesgo: asumir riesgos más altos agregando
volumen, oportunidades de arbitraje, etc.
Page 24
Auditoría y Administración de Riesgos Un Proceso Continuo
La administración de riesgos de la empresa no es un proceso estático de una sola vez
Es un proceso continuo, en tiempo real que debe permanecer vivo dentro de la organización
Es un cambio de cultura
Page 25
¿TIPO DE RIESGO?
Page 26
Principios del sistema de Control Interno
AUTOCONTROL
AUTOGESTIÓN AUTOREGULACIÓN
Page 27
Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la gerencia y el personal de la Compañía, para proveer aseguramiento razonable para alcanzar los siguientes objetivos:
Efectividad y eficiencia en las operaciones. Cumplimiento de leyes y regulaciones internas y externas
aplicables. Confiabilidad en la información financiera. Prevención del fraude Desarrollar adecuadamente su objeto social y alcanzar sus
objetivos, en condiciones de seguridad, transparencia y eficiencia.
Definición y objetivo del Sistema de Control Interno
Page 28
Definiciones de Control Interno En los Estados Unidos la referencia más común es el
informe COSO*, Control Interno - Un Marco de Trabajo Integrado.
El control interno es un proceso -- efectuado por la junta directiva, la administración, y otro personal de una entidad -- diseñado para proporcionar seguridad razonable sobre el logro de los objetivos en las siguientes categorías: confiabilidad de la información financiera, eficacia y eficiencia de las operaciones, y cumplimiento con las leyes y regulaciones aplicables.
*Committee Of Sponsoring Organizations – Trade Comission
Page 29
Responsabilidades dentro del Sistema de Control
Órganos Internos
Comité de auditoría
Representante legal
Auditoría interna
Órganos Externos Revisor fiscal
Junta directiva
Page 30
Etapas de maduración de los controles en las compañías
Marco de Maduración del Control Interno - ¿En donde se encuentra usted?
No confiable
Las actividades de control no están diseñadas o no están implementadas. El ambiente de control es impredecible.
Informal
Las actividades de control están diseñadas e implementadas pero no están documentadas adecuadamente.
Estandarizado
Actividades de control diseñadas, implementadas y adecuadamente documentadas.
Monitoreado
Controles estandarizados. Se evalúa periódicamente el diseño y la efectividad operacional y se reporta a la gerencia.
Optimizado
Los controles están integrados. Existe un monitoreo por parte de la gerencia en tiempo real, mejoramiento continuo.
Page 31
Elementos del Sistema de Control InternoCOSO
Actividades de control
Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo.
Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.
Monitoreo
Evaluación del desempeño de un sistema de control a través del tiempo.
Combinación de evaluación continua e individual.
Actividades de administración y supervisión.
Actividades de auditoría interna.
Ambiente de Control
Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.
Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.
Fundamento para todos los demás componentes de control.
Información y Comunicación
Información relevante identificada, capturada y comunicada de forma oportuna.
Acceso a la información generada interna y externamente.
Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las responsabilidades de resumen de hallazgos para acción por parte de la gerencia.
Evaluación de riesgo
La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.
Todos los cinco componentes deben ser colocados en su lugar para un control efectivo
Actividades de control
Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo.
Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.
Monitoreo
Evaluación del desempeño de un sistema de control a través del tiempo.
Combinación de evaluación continua e individual.
Actividades de administración y supervisión.
Actividades de auditoría interna.
Ambiente de Control
Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.
Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.
Fundamento para todos los demás componentes de control.
Información y Comunicación
Información relevante identificada, capturada y comunicada de forma oportuna.
Acceso a la información generada interna y externamente.
Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las responsabilidades de resumen de hallazgos para acción por parte de la gerencia.
Evaluación de riesgo
La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.
Todos los cinco componentes deben ser colocados en su lugar para un control efectivo
Actividades de control
Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo.
Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.
Monitoreo
Evaluación del desempeño de un sistema de control a través del tiempo.
Combinación de evaluación continua e individual.
Actividades de administración y supervisión.
Actividades de auditoría interna.
Ambiente de Control
Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.
Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.
Fundamento para todos los demás componentes de control.
Información y Comunicación
Información relevante identificada, capturada y comunicada de forma oportuna.
Acceso a la información generada interna y externamente.
Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las responsabilidades de resumen de hallazgos para acción por parte de la gerencia.
Evaluación de riesgo
La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.
Todos los cinco componentes deben ser colocados en su lugar para un control efectivo
Evaluación de Riesgos
Page 32
Componente – Ambiente de Control
Tono de la organización
Estructura de negocios de la entidad
La asignación de autoridad y responsabilidad
Políticas y procedimientos consistentes
Ideología y estilo operativo de la gerencia
Políticas y prácticas de personal
Programas para toda la entidad, tales como código de comportamiento y prevención de fraude
Integridad y Valores Éticos
Competencia
Influye en la conciencia de control del personal
Page 33
La esencia de cualquier negocio es su gente, sus atributos individuales, incluyendo la integridad, los valores éticos, y la competencia .
El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control.
CONTROL INTERNOComponente – Ambiente de Control
Page 34
Integridad y Valores Éticos
La integridad y los valores éticos son elementos esenciales del ambiente de control que afectan el diseño, la dirección y la vigilancia de otros componentes de control interno.
La integridad es un pre-requisito para el comportamiento ético en todos los aspectos de la actividades de una empresa.
Los gerentes de empresas bien dirigidas han aceptado cada vez más el punto de vista de que ¨la ética vale la pena¨ el comportamiento ético es un buen negocio.
El comportamiento ético y la integridad de la dirección son un producto de la cultura corporativa.
Las políticas oficiales especifican lo que la dirección desea que suceda.
La cultura corporativa determina lo que en realidad sucede y cuáles reglas son obedecidas, combatidas o ignoradas.
Usualmente los principales ejecutivos de la organización, son las personas dominantes y son quienes con frecuencia fijan el propio tono y norte ético.
CONTROL INTERNOComponente – Ambiente de Control
Page 35
La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades.
Competencia
Junta Directiva y Comité de Auditoria
El ambiente de control y la cultura del control interno, deben ser influenciados en gran forma por la Junta Directiva o Consejo de Administración de la entidad y el Comité de Auditoria desde el Gobierno Corporativo.
Filosofía Administrativa y Estilo de Dirección.
La filosofía de dirección y estilo de operación afectan la forma como una empresa se maneja, incluyendo los tipos de riesgos de negocios aceptados.
En la medida que se contribuya o permita el desarrollo de las operaciones de la organización fuera de un adecuado ambiente de control, así serán los resultados y logros obtenidos. Confusión, incredulidad respecto de los logros, incertidumbre respecto de las cifras presentadas en los Estados Financieros.
CONTROL INTERNOComponente – Ambiente de Control
Page 36
Asignación y Autorización
Involucra el grado en el cual los individuos y los equipos son animados a usar su iniciativa en la orientación y en la solución de problemas, así como los límites de su autoridad.
Políticas y Practicas de Recursos Humanos
Las prácticas de recursos humanos envían mensajes a los empleados con relación a los niveles esperados de integridad, comportamiento ético y competencia.
Tales prácticas se relacionan con cultura, orientación, entrenamiento, evaluación, consejería, promoción, compensación y acciones remédiales.
La estructura organizacional de una entidad proporciona el marco dentro del cual son planeadas, ejecutadas, controladas y vigiladas sus actividades tendientes al logro de los amplios objetivos de la entidad.
Estructura organizacional
Componente – Ambiente de Control
Page 37
ADMINISTRACION DE RIESGOS
Comunicación y consulta
Monitoreo y revisión
1. Establecer el contexto
ObjetivosGrupos de interésCriteriosDefinir elementos clave
2. Identificación de riesgos
Qué puede suceder ?Cómo puede suceder ?
3. Análisis de riesgos
Revisar controlesProbabilidadesConsecuenciasNivel de riesgo
4. Evaluar los riesgos
Evaluar riesgosRanking
5. Tratar los riesgos
Identificar opcionesSeleccionar las mejores respuestasDesarrollar planes de gestión de riesgosImplementar
Page 38
Evaluar los riesgos
• La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente
• El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos (tratamiento de riesgos y la prioridad)
Page 39
Evaluar los riesgos
Nivel Descripción Nivel Descripción
1 Improbable 1 Insignificante
2P oco probable /
Raro2 Menor
3 P robable 3 Moderado
4 P otencial 4 Mayor
5 Casi cierto 5 Catastrofico
NIVEL DE PROBABILIDAD NIVEL DE IMPACTO
Concepto Concepto
P uede ocurrir en algún momentoEl riesgo tiene un efecto nulo o pequeño, en el desarrollo
del proceso - baja perdida financiera
Se espera que ocurra en la mayoria de circunstacias
El proceso es gravemente dañado - Enorme perdida financiera
P uede ocurrir sólo en circunstancias excepcionales
El desarrollo del proceso sufre un daño menor - Con perdida financiera menor
P robablemente ocurriria en la mayoria de circunstancias
El desarrollo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectación financiera
P uede ocurrir en la mayoría de circunstancias
El desarrollo del proceso es afectado significativamente - P érdida financiera mayor
Page 40
Evaluar los riesgos
Catastrófico
Mayor
Moderado
Menor
Insignificante
Rara vez Ocas ionalPoco
frecuenteFrecuente Muy frecuente
Extremo
Moderado Moderado Alto Extremo Extremo
IMPA
CTO
Moderado Alto Alto Extremo
Bajo Moderado Alto Alto Alto
FRECUENCIA
Bajo Moderado Moderado Moderado Alto
Bajo Bajo Bajo Moderado Moderado
Matriz de riesgos
Page 41
Evaluar los riesgos
Análisis Cualitativo
Análisis Cuantitativo
Probabilidad
Impacto
Probable
Posible
Improbable
Leve
Moderado
Catastrófico
Probabilidad de ocurrencia
Nivel Calificación
0 – 25 Improbable 1
26- 70 Posible 2
71- 100 Probable 3
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico
30
Page 42
Evaluar los riesgos
Page 43
Evaluar los riesgos
Page 44
Evaluar los riesgos
Page 45
Tratar los riesgos
• El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos
• Evaluar las opciones para tratar los riesgos
• Preparar planes de tratamiento• Implementar planes de tratamiento
45
Page 46
Tratar los riesgos
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring) contra pérdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra pérdidas
inesperadas significativas• Contratación de outsourcing para
procesos del negocio• Compartir el riesgo con acuerdos
sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control interno
en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las
operaciones y monitoreo• Reasignación de capital entre
unidades operativas
Evitar el Riesgo• Reducir la expansión de una línea
de productos a nuevos mercados• Vender una división, unidad de
negocio o segmento geográfico altamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring) contra pérdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra pérdidas
inesperadas significativas• Contratación de outsourcing para
procesos del negocio• Compartir el riesgo con acuerdos
sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control interno
en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las
operaciones y monitoreo• Reasignación de capital entre
unidades operativas
Evitar el Riesgo• Reducir la expansión de una línea
de productos a nuevos mercados• Vender una división, unidad de
negocio o segmento geográfico altamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
Page 47
Tratar los riesgos
Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.
Page 48
FACTOR DE RIESGO
situación, característica , circunstancia o atributo , cuya presencia se asocia con un aumento de la probabilidad de obtener un daño o pérdida
Page 49
EJEMPLO DE FACTORES Y RIESGOS
FACTOR• AUSENCIA DE POLÍTICAS
• FALTA DE NORMAS DE EVALUACIÓN
• PERSONAL NO CAPACITADO
• PERSONAL DESHONESTO
• AUSENCIA O FALTA DE CONTROL
RIESGO• QUE SE CONCRETEN
NEGOCIOS NO DESEADOS• QUE SE OTORGUEN
PRÉSTAMOS IRRECUPERABLES
• MALAS DECISIONES, ERRORES, INCUMPLIMIENTO NORMATIVO
• IRREGULARIDADES, FRAUDES
• ERRORES INVOLUNTARIOS Y VOLUNTARIOS, PÉRDIDAS
Page 50
RIESGOS
PAÍS
ESTRATEGIA
NEGOCIOS
ORGANIZACIÓN
OPERACIÓN
TECNOLOGÍA INFORMACIÓN
PERSONAL
LEGALES
Tipos de Riesgo
Page 51
REGISTRO Y CONTABILIZACIÓN
DESASTRES
INCUMPLIMIENTO
OPERACIÓN
ERRORESFRAUDES
Tipos de Riesgo
Page 52
PRIVACIDAD
INTEGRIDAD
TECNOLOGÍA DE INFORMACIÓN
EQUIPOS - SISTEMAS
DISPONIBILIDAD
Tipos de Riesgo
Page 53
ROTACIÓN
COMPENSACIÓNINCENTIVOS
LIDERAZGO EJECUTIVOCOMUNICACIONES
PERSONAL
IDONEIDADFORMACIÓN
Tipos de Riesgo
Page 54
Pasos implementación gestión de riesgo
Seleccionar procesos
clave
Comprender los procesos
Fuente de los riesgos
Documentar controles
clave
Evaluar el diseño
Efectividad de los
controles
Reporte
• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupción
• Considerar insumos de materialidad e importancia
• Comprender las actividades y los procedimientos
• Identificar reportes contables o de la gestión de proyectos, a fin de establecer materialidad
• Cruzar riesgos vs. procesos
• Documentar controles a nivel entidad• Documentar otros controles • Documentar controles a nivel preventivo y detectivos en los procesos principales
• Evaluar la efectividad del diseño de los controles a nivel entidad
• Tomar acciones de mejora sobre las deficiencias encontradas
• Evaluar la efectividad de los controles a nivel entidad y de procesos
• Remediar deficiencias a través de la implementación de recomendaciones
• Concluir• Comunicar• Reportar
• Cuáles son los riesgos a que se encuentran expuestos los procesos?
• En qué actividades se encuentran los riesgos?
• Cuáles son los controles clave?• Quién es propietario de los
controles clave?
• Cómo se encuentra el diseño de los controles ?
• Cuáles son los riesgos de falla de los controles?
• Cuál es el desempeño de los controles?
• Existen debilidades materiales o de cumplimiento?
Objetivos institucionales
Page 55
Gestión de riesgo operativo
FLUJO DE COBRANZA DOCUMENTARIA EN GARANTIA O EN DESCUENTORecepción de documentos en Cobranza por la SUCURSAL
Jefe deOperaciones
ClienteEjecutivoComercial
Empresa Adm.Procesos Centrales
Depto.SS.CentralesCobranza
Desd
e la e
ntreg
a por
el cli
ente
hasta
el en
vío a
la Em
presa
Adm.
de Pr
oces
os Ce
ntrale
s
EntregaDocumentos
solicitados porel EjecutivoComercial
RecibeDocumentos
entregados porel EjecutivoComercial
Devuelve alcedente losdocumentos
conobservaciones
¿Doctos.Conformes?
Recibe,verifica, revisa
y estampa V°B°en Mandato de
Cobranza
¿Doctos.Conformes?
SI
NO
Regularizaobservaciones
¿Corregidos?
SI
Revisadocumentos
RecibeDocumentos
enviado por elJefe de
Operaciones
SI Ingresa enPlanilla Controldoctos.recibidos
Devuelvedoctos. alEjecutivoComercial
NO
Envia doctos. aEmpresa
Adm.ProcesosCentrales
RecibeDocumentos
¿Doctos.Conformes?
Envía Planillade Control con
V°B° dedocumentosingresados al
sistema.
Recepciona yArchiva Planillade Control con
V°B°
DevuelveDoctos. con
Formulario deRechazos
NO
Recibe Doctos.con Formulariode Rechazos yenvía al Jefe de
OperacionesRecibe Doctos.Rechazados y
entrega alEjecutivoComercial
Resuelverechazos de los
doctos.
Inicio
NO
A
A
SI
B
RO:
* Suplantación deAceptantes enoperaciones.
RO:*No verificación de antecedentesllegados desde el ejecutivo.*No reemplazo de documentoseliminados objetados.*Registrar en forma errónea uomitir en Formulario dedevolución.* Extravío de documentación.
RO:* Mal evaluación deantecedentes comercialesdel deudor y Aceptantes.* No evaluación dedocumentación entregada.* Mantención de registrosincompletos de cliente.* No verificación de firmaen formulariocorrespondiente y endoso.
RO:*Mal ingreso dedocumentos recibidos,enplanilla de Control.* No verificación de V°B dePlanilla de Control.
RO:*No envío de Planilla deControl*No validación dedocumentación, llegadadesde Depto SSCentrales.* No revisión de Pagode impuestos.
Mapeo Procesos de negocio
Auto evaluaciónevaluaciòn
Prioridadalta
Prioridadmedia
Prioridad baja
Mapa de riesgos
INDICADORES CLAVE
Datos EventosInternos
Reporte de incidentes
eventos
incidentes
AnálisisNormal
escenarios
Datos eventosexternos
GESTIÒN INTEGRALTABLERO DE MANDO
COMPROMISOS, SEGUIMIENTO
Page 56
Evaluación de los controles, se observa el resultado de su nueva valoración para la organización. Igual ocurriría si se adicionarán Tratamientos.
Estado de los riesgos: Áreas, Objetivos, Cuentas, Procesos, Evaluación Auditoria, etc.
La matriz como herramienta gerencial:
Genera los Mapas de Riesgos (Matrices), por su valoración Absoluta, con Controles y con Tratamientos, por múltiples vistas y niveles de agregación (Estructuras).
Ponderación del sistema Consecuencia vs Probabilidad del riesgo 2, y Severidad (color) cambian , a medida que se controla.
Page 57Mapa de
Riesgos
Valoración de riesgos absolutos y con controles
EJECUCIÓN DE LA AUDITORIA Y CONSULTORÍA
Page 58
ORGANIZACIÓN INFRAESTRUCTURA
REGLAS
ESTRATEGIAToleranciaindicadores
POLÍTICASProced.Línea resp.
ComitéUnidad especilizadagestores
PLATAFORMA H/SMODELOSRRHH
GESTIÓNIdentificar, medirDecisión frente riesgoOptimizar límitesAsignación costos capital
Para Gestionar los Riesgos se requiere
Page 59
BASE DE DATOS DE EVENTOS RIESGO OPERATIVO
baja
Datos EventosInternos
Reporte de incidentes
eventos
incidentes
AnálisisNormal
escenarios
Datos eventosexternos
SE REQUIERE DATOS DE BUENA CALIDAD PARA TOMAR BUENAS DECISIONES
LA CANTIDAD DE DATOS ESRELEVANTE PARA EMPLEARMODELOS PREDICTIVOS
ES NECESARIO EL USO DE DATOS INTERNOS Y EXTERNOS, PARA TOMARMEJORES DECISIONES
Page 60
GESTIÓN INTEGRADA - COORDINADA
GESTIÓN DE CALIDAD
Satisfaccióndel cliente ISO
ADMINISTRACIÓN RIESGO OPERATIVO
Efectividadcontinuidad
Basilea
ADMINISTRACIÓN ACTIVOS DE LA INFORMACIÓN ConfidencialidadIntegridadcontinuidad
BUENAS PRACTICAS GESTIÓN TI
CONTROL INTERNOSeguridadConfiabilidad
ISO
COSO - COBIT
Page 61
ACTIVIDADES DE CONTROL
Se deben establecer y ejecutar políticas y procedimientos para ayudar a
asegurar que se están aplicando efectivamente las acciones identificadas
por la administración como necesarias para manejar los riesgos en la
consecución de los objetivos de la entidad.
DEFINICIONES DE CONTROL
Control significa lograr mantener dentro de los limites previamente fijados:
El rendimiento de un individuo, grupo, máquina o instalación.
Las características de un individuo, grupo, máquina o instalación.
Las características o el valor de una variable.
Page 62
Componente – Actividades de Control
Autorizaciones
Configuración/Controles de mapeo de cuentas
Excepciones/Informes de Edición
Interfaces/Controles de conversión
Indicadores clave de desempeño
Revisiones de la gerencia
Conciliaciones
Segregación de funciones
Controles de acceso
Page 63
TIPOS DE ACTIVIDADES DE CONTROL
Proceso de la información.
Se implementa una variedad de controles para verificar que estén completos y que exista la adecuada autorización de las transacciones.
Controles físicos.
Equipos, inventarios, valores y otros activos, se aseguran físicamente; en forma periódica sean contados y comparados con las cantidades presentadas en los registros de control.
Indicadores de desempeño
Relacionar unos con otros los diferentes conjuntos de datos-operacionales o financieros -, además de analizar las interrelaciones e investigar y corregir las acciones, sirven como actividades de control.
Segregación de funciones
Las responsabilidades para autorización de transacciones, el registro de ellas y la manipulación de los activos relacionados, se dividen.
CONTROL INTERNOComponente – Actividades de Control
Page 64
Componente – Información y Comunicación
Identificar lo que se debe comunicar
Identificar a quién debe comunicarse
Comunicar oportunamente
Asegurar entendimiento
Page 65
Componente – Monitoreo
Asegurar que el sistema de control interno continúa funcionando y logrando su objetivo.
Supervisión de los resultados de operación
Monitoreo de controles – Auditoría interna – Auto-evaluación
El proceso de presentación de información financiera
Page 66
Controles Significativos
Los controles que son significativos deben incluir:
Controles sobre el inicio, registro, procesamiento e informe de las clases significativas de transacciones, saldos significativos de cuentas, revelaciones y declaraciones pertinentes importantes
Controles sobre las transacciones no rutinarias ni sistemáticas (tales como cuentas que involucran criterio y estimaciones)
Controles sobre el proceso de presentación de informes financieros al final del período
Programas y controles anti-fraude Cada control significativo en un grupo que funciona para lograr un
objetivo de control
Page 67
Consideraciones de Controles Significativos
Considere:
Posibilidad de que las fallas en el control pudieran resultar en presentaciones erróneas
Incluya los cinco componentes del control interno Todos los controles y sitios significativos deben evaluarse
anualmente Otros controles que logran el mismo objetivo:
• Los objetivos de control de los informes financieros son comparables a las aseveraciones sobre los estados financieros