COSO II – ERM y el Papel del Auditor Interno

1

Rafael Ruano DiezSocio - PricewaterhouseCoopers

COSO II – ERM y el Papel del Auditor Interno

TEMARIO DE LA SESIÓN

• Introducción a COSO II – ERM• Enterprise Risk Management

– Premisas fundamentales– Preguntas claves respecto a ERM–¿Qué es Enterprise Risk Management?– Beneficio de ERM– Componentes claves de ERM– ERM y otras prácticas de gestión y control de riesgos

• Roles y responsabilidades – El rol de Auditor Interno• Conclusión

2

Introducción a COSO II - ERM

• El nombre de COSO proviene del Committee ofSponsoring Organizations of the Treadway Commission.

• En 1992, publicó un informe denominado InternalControl – Integrated Framework (IC-IF), conocido también como COSO I.

• Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América.

• Debido al aumento de preocupación por la administración de riesgos, The Committee of SponsoringOrganisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos.

• El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos.


3

• En septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos.

• Enterprise Risk Management - Integrated Frameworkincluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework.


Estructura del proyecto


COSO

COSO Grupo Asesor

PricewaterhouseCoopersEquipo de Proyecto

• Compañías y Otras Organizaciones

• Miembros de la organización COSO

• Compañías medianas• Grandes Compañías• Industrias Asociadas• Entidades gubernamentales y

entidades sin fines de lucro

Otros Involucrados Importantes

AcademiaAsociaciones ProfesionalesProfesionales de administración de riesgosAbogadosReguladoresOtros reguladores de industria

COSO

COSO Grupo Asesor

PricewaterhouseCoopersEquipo de Proyecto

• Compañías y Otras Organizaciones

• Miembros de la organización COSO

• Compañías medianas• Grandes Compañías• Industrias Asociadas• Entidades gubernamentales y

entidades sin fines de lucro

Otros Involucrados Importantes

AcademiaAsociaciones ProfesionalesProfesionales de administración de riesgosAbogadosReguladoresOtros reguladores de industria

4

El estándar COSO II – ERM, delinea los principios de administración de riesgo


El marco conceptual proporciona:

– Una definición de Enterprise RiskManagement

– Los principios y componentes críticos de un efectivo proceso de Enterpriserisk management

– Dirección para que las organizaciones lo utilicen en la determinación de como mejorar su administración de riesgo

– Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita.

El estándar COSO II – ERM, delinea los principios de administración de riesgo


También proporciona aplicaciones técnicas:

– Ilustraciones de como los principios críticos pueden ser observados en una organización.

– Una perspectiva de un proceso de implementación.

– Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamaño, Estrategia, Industria y Complejidad

5


COSO II – ERM, 4 categorías de objetivos, 8 componentes y de alcance corporativo.

Los objetivos pueden ser vistos en el contexto de cuatro categorías

Ocho componentes interrelacionados

Considera las actividades de todos los niveles de la

organización

Qué

Dónde

Alineado con

• La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para “crear valor a sus grupos de interés”.

• No obstante, todas las organizaciones encaran incertidumbre…, el desafío para la administración es determinar cuanta incertidumbre esta preparada para aceptar en la búsqueda de aumentar el valor de los grupos de interés.

Premisas fundamentales

6

• Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organización (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor.

• La administración de riesgos corporativos permite a la administración manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor.


En una forma gráfica…


Negocio Eventos

Riesgo

Oportunidad

Factoresexternos

Factoresinternos

Incertidumbre

Objetivos (creaciónde valor)

Stakeholders

Impacto negativo sobre objetivos

Impacto positivo sobre objetivos

7

• ¿Cuales son los principales riesgos que afectan a nuestra organización?

• ¿Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. ¿Esta es comunicada y conocida?

• ¿Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización?

Preguntas claves respecto a ERM

• ¿Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo?

• ¿Cómo identificamos, evaluamos, comunicamos y monitoreamos nuestros riesgos?

• ¿Nuestras personas entienden su rol como parte de la administración de riesgos?

• ¿Quién asegura que el proceso de gestión de riesgo se efectúe correctamente?

Preguntas claves respecto a ERM

8

"La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización".

Enterprise risk management – Integrated FrameworkCOSO II

29 de septiembre de 2004

¿Qué es Enterprise Risk Management?

¿Qué es Enterprise Risk Management?

• Proceso continuo – es un medio para un fin, no un fin en si mismo

• Efectuado por el personal en todos sus niveles (No sólo políticas)

• Aplicado en la definición de la estrategia

• Aplicado en toda la organización – en cada nivel y unidad

• Diseñado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo

• Provee seguridad razonable…logro de los objetivos –estratégicos, operacionales, presentación de reporte y cumplimiento.

9

• Alinear el apetito al riesgo con la estrategia.

• Relacionar crecimiento, riesgo y retorno.

• Mejorar las decisiones de respuesta al riesgo.

• Reducir sorpresas y pérdidas operacionales.

• Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado.

• Aprovechar las oportunidades.

• Mejorar la asignación de capital.

Beneficios de ERM

Componentes claves de ERMEntorno Interno

Definición y comprensión de

objetivos

Identificación de eventos

Valoración del riesgo

Respuesta al riesgo

Actividades de control

Información y comunicación

Monitoreo

Dirección y Soporte

ActividadesPrimarias de la

Gestión de Riesgos

10

Componentes claves de ERMEntorno Interno

Definición y comprensión de

objetivos

Identificación de eventos

Valoración del riesgo

Respuesta al riesgo

Actividades de control

Información y comunicación

Monitoreo

Dirección y Soporte


Gestión de Riesgos

• Estratégico• Operacionales• Reporte • Cumplimiento • Filosofía Administración

de riesgo• Apetito al riesgo• Supervisión de Directorio• Integridad, valores éticos y competencia del personal• Autoridad, roles y responsabilidades y estructura.

Fuente Externa• Económicos• Negocio• Tecnológicos • Políticos• Sociales

Fuente Interna• Proceso• Personas• Sistemas• Infraestructura

• Técnicas cualitativas• Técnicas cuantitativas

• Evitar• Reducir• Compartir• Aceptar

• Políticas y procedimientos• Preventivos• Detectivios• Correctivos• Manuales • Automáticos

• Identificación y capturación de datos • Datos internos y externos• Datos históricos• Esquemas de reporte

• Actividades continuas (KRI).• Actividades esporádicas

Componentes claves de ERM

EstrategiaQué hará la organización acerca de sus riesgos (políticas) y la responsabilidad de gestión de los mismos.

ProcesosCómo la organización gestionará riesgos, procedimientos, prácticas y herramientas

ArquitecturaQué personas, comités, foros y técnicas son necesarias para apoyar, promover y conducir la gestión del riesgo a través de la organización

CulturaCómo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos

Política

Estrategia

Medición del desempeño

Educación en Gestión Aseguramiento

ComunicacionesMecanismos de recursos

humanos

Estructura Organizacional

Cultura

Identificar

AnalizarReportar

Monitorear Responder

Proceso de Administración

de Riesgos


Gestión de Riesgos

Dirección

Soporte

11

ERM y otras prácticas de gestión

Definición de objetivos y estrategia, políticas, apetito al riesgo y responsabilidades.

Monitoreo del desempeño

Identificación y evaluación de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de

respuesta al riesgo y actividades de control

Operación de acuerdo con los objetivos y asegurando adherencia con las leyes y

regulaciones, políticas internas, procedimientos y los compromisos de los stakeholders

ERM – Relación con Governance, Risk and Compliance


COSO II – ERM, Basilea II y Solvencia II

• Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administración del riesgo

• Crear un marco de supervisión que motive el desarrollo de mejores prácticas

• Requerir a los bancos la apertura de información en detalle de su estructura de capital y exposiciones de riesgo

12


COSO II – ERM y Sarbanes - Oxley

– La Ley Sarbanes Oxley estableció un nuevo paradigma de responsabilidad de las empresas. Definió claramente las responsabilidades del Comité de Auditoría, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Creó un nuevo estándar para las compañías en relación con la presentación de información, de la eficacia de los controles internos y eliminólos obstáculos para el diseño, documentación y operación de controles internos.

Los buenos controles internos han dejado de ser únicamente una mejor práctica.....… ¡Son Ley!

Roles y responsabilidades

Todas las personas en una entidad tienen alguna responsabilidad en la administración del riesgo.El CEO es responsable en general y debe asumir su función.El resto de los gerentes o altos ejecutivos deben soportar la filosofía de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administración del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgosEl personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo.La Junta Directiva provee un significativo seguimiento de la administración del riesgo.Externos proveen información para la administración del riesgo.Las partes externas no son responsables por la efectividad de laadministración del riesgo.

13


Responsables Otras partesinvolucradas

• Comité Ejecutivo• Comités Delegados• Gerentes• Auditores Internos• Personal

• Auditores Externos• Reguladores

• Asociados con la valoración del riesgo y el control interno

Outsourcing


Junta DirectivaAprueba y aloca recursos

Riesgos

Definiciones - Políticas - Reportes - Cuantificación

Unidades de NegocioAuto-evaluaciones

•Implementa cambios•Reporta internamente

y a riesgos

1 Responsable

Riesgo OperacionalAreas soporte

Monitoreo de auto-evaluaciones• Análisis de indicadores

• Control planes• Reportes

2 Coordinación y Monitoreo

Auditoría Interna• Evalúa el proceso

• Revisa las auto-evaluaciones

• Pruebas de controles

3 Aseguramiento

Comité de Auditoría

14


JuntaDirectiva

Conoce claramente el proceso de administración del riesgo implementado y hasta qué punto el mismo es efectivoIdentifica que el proceso está en línea con el apetito al riesgoCompara el portafolio de riesgos con el apetito al mismoEs informado de los principales riesgos y sus respuestas y aprueba las mismasDelega funciones (las responsabilidades no se delegan) en diversos Comités (ALCO, Créditos, Riesgos, Auditoría, Compensaciones, Riesgo Operacional, etc.)


Administración

Responsable por todas las actividades de la organizaciónEn el caso del CEO, su mayor responsabilidad es establecer el ambiente internoTambién provee liderazgo y dirección a los gerentes y así se crean los valores de la organizaciónDefinen los objetivos estratégicos y la estrategiaDesarrollan el apetito al riesgo y su toleranciaDefinen la estructura organizacionalAnalizan las respuestas al riesgoMonitorean a través del CRO la eficacia del proceso de administración del riesgo

15


RiskOfficer

Trabaja con los otros gerentes para establecer un proceso de administración del riesgoLa autoridad y reporte es al CEO, puede integrar subsidiariasAlgunas empresas le asignan la función al CFO, Director de Auditoría o Director de Cumplimiento.Desarrolla las políticasDefine roles y responsabilidadesAsignación de resultados y capitalesAsiste a toda la entidad y provee modelos de gestión de riesgo y cuantificaciónGuía la integración de los riesgosEstablece un lenguaje comúnMonitorea el grado de riesgo asumido por los diversos negociosReportaSugiere acciones correctivas


CFO• Sus actividades cruzan todas las áreas de la

organización • Desarrollan presupuestos y planes y monitorean su

desempeño (operaciones, reporte y monitoreo)• Responsable por los estados financieros y sus

procesos de control y reporte al exterior• Su jerarquía no puede ser minimizada por los sectores

de negocios (deberá interpretar las reglas del juego y estrategias y decidir sobre la metodología de contabilización y reporte)

16


Auditoría Interna

• Evalúan la efectividad y sugieren mejoras sobre el proceso de administración del riesgo

• Los estándares establecidos por el Institute of InternalAuditors especifican que el alcance de sus tareas incluye la evaluación del proceso de administración del riesgo y del control interno

• Estas tareas incluyen, la evaluación del repote, la revisión de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas

• No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo (CEO)

• Debe asistir a la gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso

• Sin embargo debe mantener su objetividad


Auditoría Interna

17


Personal

• La administración del riesgo es parte de las responsabilidades de todos los empleados

• Esto debe ser comunicado muy efectivamente….

Auditores Externos

• Deben proveer a la gerencia y al Comité Ejecutivo una visión única, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo

• El Auditor puede firmar un balance limpio y la administración del riesgo y el control interno no ser adecuados

• Sus funciones se refieren a los estados financieros….• Para emitir dicha opinión deberá hacer los ajustes

necesarios e invertir más tiempo en sus revisiones• Su valor se observa en los hallazgos de auditoría y

recomendaciones


Reguladores • Requisitos de control interno y respuesta al riesgo• Revisiones in-situ y extra-situ

Otras partes

• Clientes• Vendors• Outsourcers• Analistas financieros• Agencias de Rating• Medios de comunicación

18

Conclusión

Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratégicos, operativos y/o financieros de la organización

ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización.

Reducir las “Amenazas”

Manejar la “Incertidumbre”

Explotar la “Oportunidad”

Valor para stakeholders

PROCESO DE GESTION DE RIESGOS

identificar reportar

analizar

responder

monitorear

Valor para stakeholders

PROCESO DE GESTION DE RIESGOS

analizar

responder

Conclusión - ERM

EHS

AuditoríaInterna

Seguros

SeguridadIT

Seguridad Física

Legal

BCP

GlobalRM

Legal

SeguridadIT

BCP

Legal Seguridad Fisica

ERM

AuditoríaInterna

EHS

Riesgo Riesgo

Riesgo

Riesgo

Riesgo

Riesgo

Riesgo

Proceso de Gestión de Riesgo

Proceso RM Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 4

Riesgo 5

Riesgo 6

Medición y reporte

Evaluar riesgo

Tratar riesgo

Monitorear y Reportar

• Coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos.

• Permitir un rápido entendimiento de los riesgos de las iniciativas de negocios.

• Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones

• Procesos organizacionales consistentes

• Herramientas de gestión de riesgo de alto nivel.

• Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas.

Costos

Seguridad

IngresosFuentes de

Conocimiento

RiskWeb

Herramientasde Gestiónde Riesgo

Estrategia de RiesgoY Marco

Tradicional(Gestión por silos)

ERM(Portfolio de riesgo)Transformación

19

Rafael Ruano [email protected]

Documents

COSO II – ERM y el Papel del Auditor Interno