Upload
duongcong
View
248
Download
6
Embed Size (px)
Citation preview
1
Rafael Ruano DiezSocio - PricewaterhouseCoopers
COSO II – ERM y el Papel del Auditor Interno
TEMARIO DE LA SESIÓN
• Introducción a COSO II – ERM• Enterprise Risk Management
– Premisas fundamentales– Preguntas claves respecto a ERM–¿Qué es Enterprise Risk Management?– Beneficio de ERM– Componentes claves de ERM– ERM y otras prácticas de gestión y control de riesgos
• Roles y responsabilidades – El rol de Auditor Interno• Conclusión
2
Introducción a COSO II - ERM
• El nombre de COSO proviene del Committee ofSponsoring Organizations of the Treadway Commission.
• En 1992, publicó un informe denominado InternalControl – Integrated Framework (IC-IF), conocido también como COSO I.
• Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América.
• Debido al aumento de preocupación por la administración de riesgos, The Committee of SponsoringOrganisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos.
• El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos.
Introducción a COSO II - ERM
3
• En septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos.
• Enterprise Risk Management - Integrated Frameworkincluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework.
Introducción a COSO II - ERM
Estructura del proyecto
Introducción a COSO II - ERM
COSO
COSO Grupo Asesor
PricewaterhouseCoopersEquipo de Proyecto
• Compañías y Otras Organizaciones
• Miembros de la organización COSO
• Compañías medianas• Grandes Compañías• Industrias Asociadas• Entidades gubernamentales y
entidades sin fines de lucro
Otros Involucrados Importantes
AcademiaAsociaciones ProfesionalesProfesionales de administración de riesgosAbogadosReguladoresOtros reguladores de industria
COSO
COSO Grupo Asesor
PricewaterhouseCoopersEquipo de Proyecto
• Compañías y Otras Organizaciones
• Miembros de la organización COSO
• Compañías medianas• Grandes Compañías• Industrias Asociadas• Entidades gubernamentales y
entidades sin fines de lucro
Otros Involucrados Importantes
AcademiaAsociaciones ProfesionalesProfesionales de administración de riesgosAbogadosReguladoresOtros reguladores de industria
4
El estándar COSO II – ERM, delinea los principios de administración de riesgo
Introducción a COSO II - ERM
El marco conceptual proporciona:
– Una definición de Enterprise RiskManagement
– Los principios y componentes críticos de un efectivo proceso de Enterpriserisk management
– Dirección para que las organizaciones lo utilicen en la determinación de como mejorar su administración de riesgo
– Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita.
El estándar COSO II – ERM, delinea los principios de administración de riesgo
Introducción a COSO II - ERM
También proporciona aplicaciones técnicas:
– Ilustraciones de como los principios críticos pueden ser observados en una organización.
– Una perspectiva de un proceso de implementación.
– Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamaño, Estrategia, Industria y Complejidad
5
Introducción a COSO II - ERM
COSO II – ERM, 4 categorías de objetivos, 8 componentes y de alcance corporativo.
Los objetivos pueden ser vistos en el contexto de cuatro categorías
Ocho componentes interrelacionados
Considera las actividades de todos los niveles de la
organización
Qué
Dónde
Alineado con
• La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para “crear valor a sus grupos de interés”.
• No obstante, todas las organizaciones encaran incertidumbre…, el desafío para la administración es determinar cuanta incertidumbre esta preparada para aceptar en la búsqueda de aumentar el valor de los grupos de interés.
Premisas fundamentales
6
• Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organización (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor.
• La administración de riesgos corporativos permite a la administración manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor.
Premisas fundamentales
En una forma gráfica…
Premisas fundamentales
Negocio Eventos
Riesgo
Oportunidad
Factoresexternos
Factoresinternos
Incertidumbre
Objetivos (creaciónde valor)
Stakeholders
Impacto negativo sobre objetivos
Impacto positivo sobre objetivos
7
• ¿Cuales son los principales riesgos que afectan a nuestra organización?
• ¿Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. ¿Esta es comunicada y conocida?
• ¿Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización?
Preguntas claves respecto a ERM
• ¿Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo?
• ¿Cómo identificamos, evaluamos, comunicamos y monitoreamos nuestros riesgos?
• ¿Nuestras personas entienden su rol como parte de la administración de riesgos?
• ¿Quién asegura que el proceso de gestión de riesgo se efectúe correctamente?
Preguntas claves respecto a ERM
8
"La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización".
Enterprise risk management – Integrated FrameworkCOSO II
29 de septiembre de 2004
¿Qué es Enterprise Risk Management?
¿Qué es Enterprise Risk Management?
• Proceso continuo – es un medio para un fin, no un fin en si mismo
• Efectuado por el personal en todos sus niveles (No sólo políticas)
• Aplicado en la definición de la estrategia
• Aplicado en toda la organización – en cada nivel y unidad
• Diseñado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo
• Provee seguridad razonable…logro de los objetivos –estratégicos, operacionales, presentación de reporte y cumplimiento.
9
• Alinear el apetito al riesgo con la estrategia.
• Relacionar crecimiento, riesgo y retorno.
• Mejorar las decisiones de respuesta al riesgo.
• Reducir sorpresas y pérdidas operacionales.
• Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado.
• Aprovechar las oportunidades.
• Mejorar la asignación de capital.
Beneficios de ERM
Componentes claves de ERMEntorno Interno
Definición y comprensión de
objetivos
Identificación de eventos
Valoración del riesgo
Respuesta al riesgo
Actividades de control
Información y comunicación
Monitoreo
Dirección y Soporte
ActividadesPrimarias de la
Gestión de Riesgos
10
Componentes claves de ERMEntorno Interno
Definición y comprensión de
objetivos
Identificación de eventos
Valoración del riesgo
Respuesta al riesgo
Actividades de control
Información y comunicación
Monitoreo
Dirección y Soporte
ActividadesPrimarias de la
Gestión de Riesgos
• Estratégico• Operacionales• Reporte • Cumplimiento • Filosofía Administración
de riesgo• Apetito al riesgo• Supervisión de Directorio• Integridad, valores éticos y competencia del personal• Autoridad, roles y responsabilidades y estructura.
Fuente Externa• Económicos• Negocio• Tecnológicos • Políticos• Sociales
Fuente Interna• Proceso• Personas• Sistemas• Infraestructura
• Técnicas cualitativas• Técnicas cuantitativas
• Evitar• Reducir• Compartir• Aceptar
• Políticas y procedimientos• Preventivos• Detectivios• Correctivos• Manuales • Automáticos
• Identificación y capturación de datos • Datos internos y externos• Datos históricos• Esquemas de reporte
• Actividades continuas (KRI).• Actividades esporádicas
Componentes claves de ERM
EstrategiaQué hará la organización acerca de sus riesgos (políticas) y la responsabilidad de gestión de los mismos.
ProcesosCómo la organización gestionará riesgos, procedimientos, prácticas y herramientas
ArquitecturaQué personas, comités, foros y técnicas son necesarias para apoyar, promover y conducir la gestión del riesgo a través de la organización
CulturaCómo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos
Política
Estrategia
Medición del desempeño
Educación en Gestión Aseguramiento
ComunicacionesMecanismos de recursos
humanos
Estructura Organizacional
Cultura
Identificar
AnalizarReportar
Monitorear Responder
Proceso de Administración
de Riesgos
ActividadesPrimarias de la
Gestión de Riesgos
Dirección
Soporte
11
ERM y otras prácticas de gestión
Definición de objetivos y estrategia, políticas, apetito al riesgo y responsabilidades.
Monitoreo del desempeño
Identificación y evaluación de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de
respuesta al riesgo y actividades de control
Operación de acuerdo con los objetivos y asegurando adherencia con las leyes y
regulaciones, políticas internas, procedimientos y los compromisos de los stakeholders
ERM – Relación con Governance, Risk and Compliance
ERM y otras prácticas de gestión
COSO II – ERM, Basilea II y Solvencia II
• Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administración del riesgo
• Crear un marco de supervisión que motive el desarrollo de mejores prácticas
• Requerir a los bancos la apertura de información en detalle de su estructura de capital y exposiciones de riesgo
12
ERM y otras prácticas de gestión
COSO II – ERM y Sarbanes - Oxley
– La Ley Sarbanes Oxley estableció un nuevo paradigma de responsabilidad de las empresas. Definió claramente las responsabilidades del Comité de Auditoría, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Creó un nuevo estándar para las compañías en relación con la presentación de información, de la eficacia de los controles internos y eliminólos obstáculos para el diseño, documentación y operación de controles internos.
Los buenos controles internos han dejado de ser únicamente una mejor práctica.....… ¡Son Ley!
Roles y responsabilidades
Todas las personas en una entidad tienen alguna responsabilidad en la administración del riesgo.El CEO es responsable en general y debe asumir su función.El resto de los gerentes o altos ejecutivos deben soportar la filosofía de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administración del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgosEl personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo.La Junta Directiva provee un significativo seguimiento de la administración del riesgo.Externos proveen información para la administración del riesgo.Las partes externas no son responsables por la efectividad de laadministración del riesgo.
13
Roles y responsabilidades
Responsables Otras partesinvolucradas
• Comité Ejecutivo• Comités Delegados• Gerentes• Auditores Internos• Personal
• Auditores Externos• Reguladores
• Asociados con la valoración del riesgo y el control interno
Outsourcing
Roles y responsabilidades
Junta DirectivaAprueba y aloca recursos
Riesgos
Definiciones - Políticas - Reportes - Cuantificación
Unidades de NegocioAuto-evaluaciones
•Implementa cambios•Reporta internamente
y a riesgos
1 Responsable
Riesgo OperacionalAreas soporte
Monitoreo de auto-evaluaciones• Análisis de indicadores
• Control planes• Reportes
2 Coordinación y Monitoreo
Auditoría Interna• Evalúa el proceso
• Revisa las auto-evaluaciones
• Pruebas de controles
3 Aseguramiento
Comité de Auditoría
14
Roles y responsabilidades
JuntaDirectiva
Conoce claramente el proceso de administración del riesgo implementado y hasta qué punto el mismo es efectivoIdentifica que el proceso está en línea con el apetito al riesgoCompara el portafolio de riesgos con el apetito al mismoEs informado de los principales riesgos y sus respuestas y aprueba las mismasDelega funciones (las responsabilidades no se delegan) en diversos Comités (ALCO, Créditos, Riesgos, Auditoría, Compensaciones, Riesgo Operacional, etc.)
Roles y responsabilidades
Administración
Responsable por todas las actividades de la organizaciónEn el caso del CEO, su mayor responsabilidad es establecer el ambiente internoTambién provee liderazgo y dirección a los gerentes y así se crean los valores de la organizaciónDefinen los objetivos estratégicos y la estrategiaDesarrollan el apetito al riesgo y su toleranciaDefinen la estructura organizacionalAnalizan las respuestas al riesgoMonitorean a través del CRO la eficacia del proceso de administración del riesgo
15
Roles y responsabilidades
RiskOfficer
Trabaja con los otros gerentes para establecer un proceso de administración del riesgoLa autoridad y reporte es al CEO, puede integrar subsidiariasAlgunas empresas le asignan la función al CFO, Director de Auditoría o Director de Cumplimiento.Desarrolla las políticasDefine roles y responsabilidadesAsignación de resultados y capitalesAsiste a toda la entidad y provee modelos de gestión de riesgo y cuantificaciónGuía la integración de los riesgosEstablece un lenguaje comúnMonitorea el grado de riesgo asumido por los diversos negociosReportaSugiere acciones correctivas
Roles y responsabilidades
CFO• Sus actividades cruzan todas las áreas de la
organización • Desarrollan presupuestos y planes y monitorean su
desempeño (operaciones, reporte y monitoreo)• Responsable por los estados financieros y sus
procesos de control y reporte al exterior• Su jerarquía no puede ser minimizada por los sectores
de negocios (deberá interpretar las reglas del juego y estrategias y decidir sobre la metodología de contabilización y reporte)
16
Roles y responsabilidades
Auditoría Interna
• Evalúan la efectividad y sugieren mejoras sobre el proceso de administración del riesgo
• Los estándares establecidos por el Institute of InternalAuditors especifican que el alcance de sus tareas incluye la evaluación del proceso de administración del riesgo y del control interno
• Estas tareas incluyen, la evaluación del repote, la revisión de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas
• No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo (CEO)
• Debe asistir a la gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso
• Sin embargo debe mantener su objetividad
Roles y responsabilidades
Auditoría Interna
17
Roles y responsabilidades
Personal
• La administración del riesgo es parte de las responsabilidades de todos los empleados
• Esto debe ser comunicado muy efectivamente….
Auditores Externos
• Deben proveer a la gerencia y al Comité Ejecutivo una visión única, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo
• El Auditor puede firmar un balance limpio y la administración del riesgo y el control interno no ser adecuados
• Sus funciones se refieren a los estados financieros….• Para emitir dicha opinión deberá hacer los ajustes
necesarios e invertir más tiempo en sus revisiones• Su valor se observa en los hallazgos de auditoría y
recomendaciones
Roles y responsabilidades
Reguladores • Requisitos de control interno y respuesta al riesgo• Revisiones in-situ y extra-situ
Otras partes
• Clientes• Vendors• Outsourcers• Analistas financieros• Agencias de Rating• Medios de comunicación
18
Conclusión
Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratégicos, operativos y/o financieros de la organización
ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización.
Reducir las “Amenazas”
Manejar la “Incertidumbre”
Explotar la “Oportunidad”
Valor para stakeholders
PROCESO DE GESTION DE RIESGOS
identificar reportar
analizar
responder
monitorear
Valor para stakeholders
PROCESO DE GESTION DE RIESGOS
analizar
responder
Conclusión - ERM
EHS
AuditoríaInterna
Seguros
SeguridadIT
Seguridad Física
Legal
BCP
GlobalRM
Legal
SeguridadIT
BCP
Legal Seguridad Fisica
ERM
AuditoríaInterna
EHS
Riesgo Riesgo
Riesgo
Riesgo
Riesgo
Riesgo
Riesgo
Proceso de Gestión de Riesgo
Proceso RM Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 4
Riesgo 5
Riesgo 6
Medición y reporte
Evaluar riesgo
Tratar riesgo
Monitorear y Reportar
• Coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos.
• Permitir un rápido entendimiento de los riesgos de las iniciativas de negocios.
• Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones
• Procesos organizacionales consistentes
• Herramientas de gestión de riesgo de alto nivel.
• Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas.
Costos
Seguridad
IngresosFuentes de
Conocimiento
RiskWeb
Herramientasde Gestiónde Riesgo
Estrategia de RiesgoY Marco
Tradicional(Gestión por silos)
ERM(Portfolio de riesgo)Transformación
19
Rafael Ruano [email protected]