Transcript
GESTIÓN DE RIESGOS CORPORATIVOS ERM Técnicas de Aplicación según El COSO
ERM & EL COSO – TÉCNICAS DE APLICACIÓN Expectativas ¿Qué es COSO-ERM? ¿Cómo
inició
el
concepto
Administración
de
Riesgos? ¿ Cómo pueden medir los auditores el impacto de
los riesgos? ¿Cómo podemos ayudar a los gerentes a entender qué son riesgos y controles?
¿QUÉ ES COSO? • Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. • Es una organización del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la ética de negocio, controles internos eficaces y gobierno corporativo. •Treadway Commission on Fraudulent Financial Reporting 1987 •Marco Integrado de Control Interno publicado en 1992
¿POR QUÉ ES IMPORTANTE COSO? COSO proporciona un marco integral del control interno y herramientas de evaluación para sistemas de control Proporciona una terminolología utilizada comúnmente y principios usados como guía para desarrollar una arquitectura efectiva para la administración de riesgos
Proporciona una visión integral del sistema de control institucional
¿CÓMO SE INICIÓ ERM? ERM comenzó en las empresas de servicios financieros, seguros, servicios públicos, petróleo, gas, e industrias manufactureras químicas ¿Por qué ahí? En estas industrias los riesgos están bien documentados y medidos; comúnmente se utilizan sofisticados modelos estadísticos; existe entendimiento y supervisión sobre la sensibilidad del mercado y riesgos
¿CÓMO SE INICIÓ ERM? • Los Auditores Internos utilizan ERM porque La metodología tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados La metodología tradicional es a menudo ineficaz y costosa El enfoque cambió de auditoría basada en control Se enfoca en el riesgo para determinar qué es importante y seleccionar la muestra de control La auditoría “basada en riesgo” es ahora la norma del IIA • Control Interno – Marco Integral Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables • El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM
CONCEPTOS CLAVE SOBRE ERM Todas las entidades existen para darle valor a sus accionistas Todas las entidades enfrentan la incertidumbre, por lo tanto, ¿cuánta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad ERM no se refiere a controles, se refiere a desempeño
VALOR El valor es creado, preservado o erosionado por las decisiones de la Dirección. Diariamente la Dirección toma decisiones sobre estrategias y operaciones. Las organizaciones agregan valor cuando se derivan beneficios que satisface a: - Accionistas
- Clientes o usuarios - Gobierno Aplicación de recursos (gente, capital, tecnología, nombre comercial) a modo que los beneficios sean mayores que los recursos utilizados.
VALOR
Ampliar y preservar la calidad, capacidad, satisfacción del cliente. Equilibrio entre crecimiento, riesgo y retorno basados en objetivos y estrategias Más que el valor financiero o económico.
INCERTIDUMBRE
Globalización, tecnología, reglamentos, reestructuración, fusiones, adquisiciones, mercados cambiantes, competencia. No se puede determinar con precisión la probabilidad de que ocurrirán eventos potenciales y sus resultados.
¿Qué es Riesgo?
RIESGO - OPORTUNIDAD
Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos. Ninguna entidad opera en un ambiente libre de riesgos. Existe también el riesgo de que no se aproveche la ventaja de una oportunidad.
RIESGO-REGLAMENTACIÓN Comercio doméstico e Internacional Financieras, tanto públicas como (incluyendo leyes sobre valores)
privadas
Relaciones laborales, incluyendo contrataciones, compensaciones y beneficios, sindicatos, condiciones de trabajo, igualdad de oportunidades y liquidación
Medio ambiente peligrosos)
(agua,
aire
y
materiales
Impuestos (sobre: utilidades, propiedades, activos, ventas, valor agregado, etc.)
Bancarrotas
RIESGO-CULTURA
Profundamente arraigada e influye en la dinámica organizacional Ética de trabajo Perspectiva de relaciones jerárquicas Educación Perspectiva sobre ética incluyendo: • Nepotismo • Cohechos o mordidas • Fraude
DEFINICIÓN DE ERM La Administración de Riesgo Empresarial es un proceso, realizado por el consejo directivo de una entidad, la administración y otro personal, aplicado en el establecimiento de estrategias para toda la empresa,
diseñada
para
identificar
eventos
potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su
propensión
al
riesgo
y
proporcionar
una
seguridad razonable referente al logro de objetivos.
DEFINICIONES Control Interno Control Interno es un proceso, ejecutado por el consejo directivo, la administración y otro personal de una entidad, designado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categorías:
• Efectividad y eficacia de las operaciones • Confiabilidad en los reportes financieros • Cumplimiento con las leyes y reglamentos aplicables
Administración de Riesgos Empresariales La administración de riesgos empresariales es un proceso, ejecutado por el consejo directivo, la administración y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su propensión al riesgo, proporcionar seguridad razonable referente al logro de objetivos .
QUÉ NO ES ERM Una herramienta para la toma de decisiones Una técnica de clasificación para dar
seguimiento a controles internos El único seguro al respecto
El trabajo de unos cuantos
¿QUÉ HA CAMBIADO?
MARCO COSO
Supervisión
MARCO COSO ERM
Ambiente Interno Establecer Objetivos
Información y Comunicación Actividades de Control Evaluación del Riesgo Ambiente de Control
Identificación de Eventos Evaluación del Riesgo Respuesta al Riesgo Actividades de Control Información y Comunicación Supervisión
Ambiente Interno AMBIENTE INTERNO Filosofía Propensión Admon.Riesgo al Riesgo
•Valor •Comun. Palabra/Acc
•Valor •Cuantitativo •Cualitativo •Vinculado a estrategia
Filosofía . Admva. Y Operacional
Integridad y Valores Éticos •Código Cond. •Independen- •Indepen•Prerequisitos dencia. cia •Ejemplo Dir. •Activa •Activa •Involucrada •Involucrada •Incentivos
Cultura Riesgo
Consejo Admón.
•Conocimientos •Habilidades •Trade Off
Diferencia en Ambiente •Preferencias •Formal Vs Informal •Lineas Reportes •Facultamiento •Evaluación •Conserv. Vs. Agres. •Centraliz./ Desc. •Rendición de •Entrenamiento •Juicios de Valor •Compensación •Estilos de •Matriz/Funcional/ cuentas •Alineada administración •Incentivos y Geográfica disciplina Estructura Orgánica
Asig. Autoridad y Responsab.
Pol. y Proc de R.H.
Compentencia Personal
AMBIENTE INTERNO
Fundamento para todos los demás componentes de ERM
Influye en estrategia y objetivos.
Influye en diseño de actividades de control, sistemas de información y comunicación, y supervisión de actividades.
Incluye valores éticos, competencia del personal, estilo de operación, asignación de autoridad y responsabilidad, y estructura organizacional.
La Dirección se reconoce responsable de los riesgos y de ella emana la filosofía y estilo gerencial e integra y promueve el ERM
AMBIENTE INTERNO Evidencia de la cultura organizacional:
• Acuerdos con sus empleados • Trato a clientes y a otros externos
• La incidencia de violaciones a leyes y reglamentos • El tono desde lo alto • Prudencia financiera • La calidad de los productos y servicios ofrecidos • Sus respuestas a las crisis
• Su imagen pública
AMBIENTE INTERNO Las culturas organizacionales cambian en el transcurso del tiempo Jóvenes en su entusiasmo vs compañías más maduras Conforme maduran las empresas, sus estructuras de control interno deben madurar también Las empresas con dificultades financieras, a menudo minimizan costos en formas tales que reducen los controles internos
Establecimiento de Objetivos ESTABLECIMIENTO DE OBJETIVOS Objetivos Estratégicos •Metas estratégicas •Misión/Visión •Elección de estrategia
Objetivos Relacionados
Objetivos Seleccionados
Propensión al Riesgo
•Operación •Información •Cumplimiento •Salvaguarda
•Alineación y apoyo •Decisiones de la Admón.
•Crecimiento, riesgo y entorno •Asig. Recursos •Gente, procesos e Infraestructura
Tolerancia al Riesgo •Variaciones aceptables •Métrica de Medición de Objetivos.
Establecimiento de Objetivos
Deben existir objetivos antes de que la administración pueda identificar eventos que potencialmente afecten su logro.
Alinear misión/visión con objetivos
Tipos: Estratégicos: relacionados con metas de alto nivel
Reportes: confiabilidad en los mecanismos de reportes
Cumplimiento: con leyes y reglamentos aplicables
Establecimiento de Objetivos Aquellos involucrados en el pensamiento estratégico deberían tener esta información: - Tendencias económicas generales y en la industria específica - Desarrollo de nuevos productos y procesos - Tendencias tecnológicas - Desarrollos en habilidades clave - Marcos competitivos de desempeño - Planes y metas estratégicas internas - Resultados históricos de desempeño - Oportunidades para incrementar el potencial de productos o mercados - Disponibilidad de recursos - Asuntos regulatorios - Asuntos ambientales - Efectos en empleados
RELACIÓN ENTRE MISIÓN, OBJETIVOS, RIESGO ACEPTADO Y TOLERANCIA…
Misión Ser el fabricante lider de productos de calidad para el hogar en las regiones en que operamos
Objetivos Estratégicos: Estar en el cuartil superior de ventas del producto a nuestros minoristas
Mediciones: 1. Cuota de mercado
Estrategias: Expandir la producción de nuestros 5 productos mas vendidos para responder a la demanda creciente Otros objetivos relacionados: •Aumentar producción unidad “X” en 15% prox. 12 meses •Mantener gastos personal en 22% por cada unidad monetaria de pedidos Medición: •Unidad de producción •Nro. Empleados contratados •Calidad productos nivel sigma
Riesgo aceptado: •Acepta alta tasa consumo inversiones capital, personal y procesos •Aceptar que la competencia podria aumentar depredando precias por aumentar cuota meercado. •No aceptamos una erosion en la calidad del producto
Tolerancia al Riesgo Medición: •Cuota mcdo, •Unds prod, •# empleados contratados,
Objetivo: •Percentil 25, •150mil unds, •180 empleados,
Tolerancias – intervalo Aceptable: 20% - 30% -7500 / +10000 -15 / +20
Identificación de Eventos IDENTIFICACIÓN DE EVENTOS Factores Influy. Eventos Estrat. y Objs. •Incidental •Internos •Externos •Impacto positivo y/o negativo
Riegos y Metodología Eventos Inter- Categorías y técnicas dependientes de Eventos Oportunidades •Eventos •Durante •Grupos •Imp. Neg: Riesgo •Periódico precursores de riesgo •Imp. Pos: Oport. •Pasado y (reacciones en por •Disminución del cadena) Futuro proceso riesgo •Interrelacionados y/o función
Identificación de Eventos Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos.
Mecanismos de Identificación de Eventos
Mecanismo
Grupos de presión política Procesos legales competidores
Tecnología
√
Procesos
√
RR.HH.
√
Infraestruct
Sociales
√ √
Fact Internos Tecnológicos
Políticos
Sitios web y campañas empresas afines
Medioamb
Conferencias sectoriales / técnicas
Económicos
Procedencia de la Información
Fact Externos
√ √
√
√
√
√
√
√
√
√
√
√
√
√
√ √
√
√
Encuentros sobre gestión interna riesgos
Nuevas decisiones legales Informes en los medios
√ √
√
√ √
√ √
Informes mensuales de la dirección
Informes Analistas
√
√
√
√
Evaluación de Riesgos EVALUACIÓN DE RIESGOS Riesgo Inherente y Residual
Probabilidad e Impacto
•Esperadas •Accs. Admvas. Previas •Horizonte de tiempo •Accs. Admvas. Post. •Esperadas e Inesperadas •Métrica de medición •Datos observables
Metodologías y Técnicas •Cualitativas •Cuantitativas
Correlación •Secuencia de eventos •Categorías •Escenarios
EVALUACIÓN DE RIESGOS - Condiciones que pueden crear un riesgo adicional
- Diseño u operación inadecuada del control interno - Metas y planeación fuera de la realidad
- Actividades no autorizadas - Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares - Acciones correctivas pobremente planeadas o implementadas
EVALUACIÓN DE RIESGOS - ¿Se asegura el Consejo o el Comité de Auditoría de que se reportan los hallazgos relativos a los riesgos? - ¿El Director Ejecutivo, el Director Financiero y el Director de AI conocen de la efectividad de los controles internos? - ¿El Director de Auditoría actúa con independencia y proporciona reportes útiles y competentes? - ¿Se reúne periódicamente el Comité de Auditoría con la gerencia de primer nivel, el Director de Auditoría y los auditores externos? - ¿Tiene el Consejo por lo menos un experto financiero?
EVALUACIÓN DE RIESGOS - Considerar los riesgos a largo plazo. - Riesgo inherente: riesgo para la entidad en ausencia de cualquier acción realizada por la administración para alterar la probabilidad o el impacto. - Riesgo residual: riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto. Riesgo Inherente Respuesta al Riesgo
(control interno) Riesgo Residual
EVALUACIÓN DE RIESGOS 1. Tormenta de ideas sobre riesgos y oportunidades
2. Identificar de raíz las causas y las correlaciones 3. La mejor forma es tener sesiones de facilitación 4. Calcular el impacto del riesgo usando la misma medida de los objetivos 5. Calcular los escenarios mínimo, máximo y probable 6. Preparar un programa de riesgo
7. Priorizar riesgos y oportunidades basados en su valor ponderado 8. Identificar los riesgos clave que requieren atención estratégica Tormenta de Ideas
Peso/Cálculo
Priorizar
Respuesta al Riesgo RESPUESTA AL RIESGO Identificación de Respuestas
•Evadir •Compartir •Reducir •rAceptar
Evaluación Posibles Respuestas •Impacto •Probabilidad •Costo Vs. Beneficio •Respuestas Innovativas
Elección de Respuesta •Toma de decisiones
Visión Integral •Nivel entidad •Nivel Unidad de negocio •Base Inherente y residual
RESPUESTA AL RIESGO - Opciones y su efecto en la probabilidad e impacto de un evento. - Relación con: tolerancia al riesgo, costo vs. beneficio. - Selección e implantación. - Seleccionar respuestas que traerán la probabilidad e impacto de un evento denro de la tolerancia al riesgo de la entidad.
- Cuatro Tipos de Respuesta al Riesgo - Evasión - Reducción - Compartir - Aceptación - Redimensionar el riesgo sobre una base residual. - Siempre existirán niveles de riesgo residual.
Actividades de Control ACTIVIDADES DE CONTROL
Integradas a las Respuestas
Tipos de Control
•Implícitas en los •Políticas •Procedimientos procesos del •Preventivos negocio •Detectivos •Manuales •Automatizados
Controles Generales •Admon. TI •Infraestructura TI •Admon. Seguridad •Desarrollo y Mantenimiento de software
Controles de Aplicación Específicos •Estrategias y •Integridad objetivos •Exactitud específicos •Autorización •Ambiente •Validación Operacional •Complejidad de la entidad
ACTIVIDADES DE CONTROL
Las actividades de control también incluyen sistemas, procesos, iniciativas, técnicas, programas, proyectos y otras formas de lograr los objetivos
Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones
Información y Comunicación
INFORMACIÓN Y COMUNICACIÓN Información •Interna •Externa •Manual •Computarizada •Formal •Informal •Arquitectura Sist. Inf.
Sistemas Estratégicos e Integrados •Estratégica •Operacional •Pasada y presente •Nivel detalle •Periodicidad •Calidad
Comunicación •Interna •Externa •Nivel entidad •Expectativas y responsabilidades •Formatos •Medios de transmisión
Información y Comunicación
De fuentes internas y externas
Identifica, captura, analiza y comunica a quienes lo necesitan
Forma y tiempo
Útil para llevar a cabo responsabilidades
Fluye hacia abajo, hacia arriba y a lo largo de la organización
Intercambio con partes externas: clientes, proveedores, legisladores, accionistas
Útil para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos
Información y Comunicación Información relevante Uso de datos históricos y actuales. Identifica correlaciones, tendencias, utiliza el conocimiento para ayudar a pronosticar el desempeño futuro. Prevención temprana. Estado actual para evaluar si se está dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo. Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administración.
Riesgo de reportes sesgados Canales de comunicación Tradicionales vs No-tradicionales.
Supervisión SEGUIMIENTO Y EVALUACIÓN
Durante las Operaciones •Tiempo real •Implícito •Operaciones día a día
Evaluaciones Independientes •Alcance •Frecuencia •Autoevaluación (facilitación Auditores Internos) •Ampliamente documentada
Reporte Deficiencias •Durante las Operaciones •Entidades externas •Protocolos •Canales alternos
Supervisión Verificar que los componentes están presentes y funcionando, y su calidad en el curso del tiempo
Dos caminos: independientes.
Evaluaciones
sobre
la
marcha
o
La documentación varía con el tamaño y complejidad de la organización La falta de documentación no significa que los componentes no existan o no puedan ser probados. La documentación hace que la supervisión sea más efectiva. También es importante respaldar las aseveraciones sobre la calidad de ERM.
Supervisión Reportar las deficiencias a quienes pueden tomar la acción apropiada. La deficiencia se puede percibir, sea potencial o real. También la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos. Mecanismo para reportar actos delicados, ilegales o impropios Resultados de la información y de la evaluación
Quién, qué, cuándo, dónde, cómo, por qué
EFICACIA DEL ERM Un estado o condición en un momento dado Eficacia: todos los ocho componentes están presentes y funcionando Puede haber diferentes niveles de eficacia entre entidades, industrias y combinaciones de componentes, debido también a diferentes culturas, tamaños, filosofías administrativas. Conceptos aplicables a todas las entidades sin importar su tamaño y niveles de formalidad. Deben considerarse las relaciones externas (inversión conjunta, asociaciones) que no están bajo un control directo.
LIMITACIONES DE ERM ERM no garantiza que la entidad será exitosa y logrará todos sus Objetivos
Limitaciones: - Cambios en políticas o programas del Gobierno - Competencia - Condiciones económicas - Malas decisiones - Errores y equivocaciones - Gerentes incompententes - Omisión o debilitamiento de control interno, colusión, ignorar el ERM ERM no refleja una adecuada relación costo-beneficio .
PAPELES Y RESPONSABILIDADES
- Consejo de Administración: Dirección, Estrategia, Tono en la Cumbre, propensión/aversión al riesgo, Respuestas de ERM
- Administración: Responsables de ERM, tono en la cumbre, liderazgo, delegación apropiada de responsabilidades, influencia a lo largo de unidades organizacionales - Director Ejecutivo de Riesgos (CRO): mantener la administración efectiva del riesgo, supervisar avances, reportar información relevante al Consejo de Administración y a la Gerencia.
PAPELES Y RESPONSABILIDADES
-Auditores Internos: Apoyar la evaluación y supervisión del ERM y la calidad del desempeño. Asesorar a la Administración, al Consejo y al Comité de Auditoría y haciendo recomendaciones que agreguen valor a la gestión. - Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen información útil para el ERM.
PAPELES Y RESPONSABILIDADES Proporcionan información útil para ERM, pero no son responsables de ERM Auditores Internos Auditores Externos Auditores de Entidades del Estado Agencias reguladoras (Superintendencias y otros) Clientes Internos y Externos
Analistas Financieros Medios de comunicación
CONSIDERACIONES PARA EL ÉXITO 1. Compromiso del Consejo de A. Directores Generales y Directores Ejecutivos
2. Adoptar e implantar el sistema ERM desde la base hacia arriba 3. Debe ser dirigido y respaldado desde arriba hacia abajo 4. Debe existir un lenguaje común
5. Proporcionar suficiente entrenamiento a fin de que todos los empleados entiendan completamente cómo participan en el ERM y como el control interno lo apoya
MITOS SOBRE ERM • Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error.
• Sólo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización • Con él, las auditorías serán infalibles • ERM es sobre seguros
• Es un proceso independiente y aislado del resto de la organización • Cuesta demasiado implementarlo.
BENEFICIOS DE ERM • Alinea la propensión al riesgo y la estrategia. • Relaciona crecimiento, riesgo y retorno de la inversión • Amplía las decisiones de respuesta al riesgo. • Minimiza sorpresas y pérdidas operacionales. • Identifica y administra riesgos a lo largo de toda la organización. • Proporciona respuestas integradas a los múltiples riesgos.
• Toma ventaja de las oportunidades. • Mejora la asignación de capital.
BENEFICIOS DE ERM Se relaciona con la gobernabilidad corporativa
-Proporciona información al Consejo Directivo s/riesgos -Se conecta con el desempeño de la Administración
Ayuda a organizaciones a lograr objetivos y evitar pérdidas Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos
Ayuda a evitar daños en la reputación
PREGUNTAS
BIBLIOGRAFÍA
1.
2.
Root, Steven. Beyond COSO: Internal control to enhance corporate governance. John Wiley & Sons. New York, NY. 1998. The Committee of Sponsoring Organizations of the Treadway Commission (COSO) – Gestion de riesgos Corporativos – Marco Integrado – Técnicas de Aplicacion. Sept 2004
GRACIAS
Por su Participación