Presentación Rafael Ruano - Mi sitio de Auditoría, todo a cerca de

Transcripción

COSO II – ERM y el Papel del Auditor Interno
Rafael Ruano Diez
Socio - PricewaterhouseCoopers
TEMARIO DE LA SESIÓN
• Introducción a COSO II – ERM
• Enterprise Risk Management
– Premisas fundamentales
– Preguntas claves respecto a ERM
–¿Qué es Enterprise Risk Management?
– Beneficio de ERM
– Componentes claves de ERM
– ERM y otras prácticas de gestión y control de riesgos
• Roles y responsabilidades – El rol de Auditor Interno
• Conclusión
3

&
1
Introducción a COSO II - ERM
• El nombre de COSO proviene del Committee of
Sponsoring Organizations of the Treadway Commission.
• En 1992, publicó un informe denominado Internal
Control – Integrated Framework (IC-IF), conocido
también como COSO I.
• Adoptado por el sector público y privado en USA, por el
Banco Mundial y el BID, y se extiende rápidamente por
todo Latino América.
• Debido al aumento de preocupación por la
administración de riesgos, The Committee of Sponsoring
Organisations of the Treadway Commission determinó la
necesidad de la existencia de un marco reconocido de
administración integral de riesgos.
• El proyecto se inició en enero de 2001 con el objeto de
desarrollar un marco global para evaluar y mejorar el
proceso de administración de riesgo, reconociendo que
muchas organizaciones están comprometidas en
algunos aspectos de la administración de riesgos.
2
• En septiembre de 2004, se publica el informe
denominado Enterprise Risk Management – Integrated
Framework, el cual incluye el marco global para la
administración integral de riesgos.
• Enterprise Risk Management - Integrated Framework
incluye el control interno, por lo que en ningún caso
reemplaza a Internal Control - Integrated Framework.
Estructura del proyecto
COSO
COSO Grupo Asesor
• Compañías y Otras
Organizaciones
• Miembros de la organización
COSO
• Compañías medianas
• Grandes Compañías
• Industrias Asociadas
• Entidades gubernamentales y
entidades sin fines de lucro
PricewaterhouseCoopers
Equipo de Proyecto
Otros Involucrados
Importantes
Academia
Asociaciones Profesionales
Profesionales de
administración de riesgos
Abogados
Reguladores
Otros reguladores de industria
3
El estándar COSO II – ERM, delinea los principios de
administración de riesgo
El marco conceptual proporciona:
– Una definición de Enterprise Risk
Management
– Los principios y componentes críticos
de un efectivo proceso de Enterprise
risk management
– Dirección para que las organizaciones
lo utilicen en la determinación de como
mejorar su administración de riesgo
– Criterio para determinar si su
administración de riesgo es efectiva, y
si no, que necesita.
El estándar COSO II – ERM, delinea los principios de
administración de riesgo
También proporciona aplicaciones técnicas:
– Ilustraciones de como los principios
críticos pueden ser observados en una
organización.
– Una perspectiva de un proceso de
implementación.
– Ilustraciones que consideran una
variedad de organizaciones, en cuanto
a tamaño, Estrategia, Industria y
Complejidad
4
COSO II – ERM, 4 categorías de objetivos, 8 componentes
y de alcance corporativo.
Alineado con
Los objetivos pueden ser vistos en el
contexto de cuatro categorías
Qué
Ocho componentes
interrelacionados
Dónde
Considera las actividades de
todos los niveles de la
organización
Premisas fundamentales
• La premisa principal de la administración corporativa de
riesgos es que cada entidad, con o sin fines de lucro,
existe para “crear valor a sus grupos de interés”.
• No obstante, todas las organizaciones encaran
incertidumbre…, el desafío para la administración es
determinar cuanta incertidumbre esta preparada para
aceptar en la búsqueda de aumentar el valor de los
grupos de interés.
5
• Las incertidumbre proviene tanto del entorno como de
las decisiones dentro de la organización (fuentes
internas y externas) y esta se puede presentar como
riesgo y oportunidad, con el potencial de destruir o
generar valor.
• La administración de riesgos corporativos permite a la
administración manejar esa incertidumbre, su riesgo y
oportunidad asociado y, por lo tanto, incrementar la
capacidad de la organización para construir valor.
En una forma gráfica…
Stakeholders
Riesgo
Factores
externos
Objetivos
(creación
de valor)
Negocio
Factores
internos
Impacto negativo
sobre objetivos
Incertidumbre
Eventos
Impacto positivo
sobre objetivos
Oportunidad
6
Preguntas claves respecto a ERM
• ¿Cuales son los principales riesgos que afectan a
nuestra organización?
• ¿Existe una definición formal de nuestro apetito y
filosofía de administración de riesgo?. ¿Esta es
comunicada y conocida?
• ¿Tenemos una visión y lenguaje integrado de riesgos en
todas las unidades de negocio de la organización?
Preguntas claves respecto a ERM
• ¿Tenemos un proceso de gestión de riesgo, de acuerdo
a nuestro apetito y filosofía de administración de riesgo?
• ¿Cómo identificamos, evaluamos,
monitoreamos nuestros riesgos?
comunicamos
y
• ¿Nuestras personas entienden su rol como parte de la
administración de riesgos?
• ¿Quién asegura que el proceso de gestión de riesgo se
efectúe correctamente?
7
¿Qué es Enterprise Risk Management?
"La administración de riesgos corporativos es un proceso
efectuado por el directorio, administración y las personas
de la organización, es aplicado desde la definición
estratégica hasta las actividades del día a día, diseñado
para identificar eventos potenciales que pueden afectar a
la organización y administrar los riesgos dentro de su
apetito, a objeto de proveer una seguridad razonable
respecto del logro de los objetivos de la organización".
Enterprise risk management – Integrated Framework
COSO II
29 de septiembre de 2004
¿Qué es Enterprise Risk Management?
• Proceso continuo – es un medio para un fin, no un fin en si
mismo
•
Efectuado por el personal en todos sus niveles (No sólo
políticas)
•
Aplicado en la definición de la estrategia
•
Aplicado en toda la organización – en cada nivel y unidad
•
Diseñado para identificar eventos potenciales y gestionar
riesgos dentro del apetito al riesgo
•
Provee seguridad razonable…logro de los objetivos –
estratégicos, operacionales, presentación de reporte y
cumplimiento.
8
Beneficios de ERM
• Alinear el apetito al riesgo con la estrategia.
•
Relacionar crecimiento, riesgo y retorno.
•
Mejorar las decisiones de respuesta al riesgo.
•
Reducir sorpresas y pérdidas operacionales.
•
Identificar y gestionar la diversidad de riesgos por
compañía y grupo agregado.
•
Aprovechar las oportunidades.
•
Mejorar la asignación de capital.
Componentes claves de ERM
Entorno Interno
Definición y
comprensión de
objetivos
Identificación de
eventos
Actividades
Primarias de la
Gestión de Riesgos
Valoración del riesgo
Dirección
y Soporte
Respuesta al riesgo
Actividades de control
Información y
comunicación
Monitoreo
9
Definición y
comprensión de
objetivos
• Estratégico
• Operacionales
• Reporte
• Cumplimiento
Fuente Externa
• Económicos
• Negocio
• Tecnológicos
• Políticos
• Sociales
Identificación de
eventos
Actividades
Primarias de la
Gestión de
Riesgos
Entorno Interno
Fuente Interna
• Proceso
• Personas
• Sistemas
• Infraestructura
• Técnicas cualitativas
• Técnicas cuantitativas
Valoración del riesgo
Actividades de control
Dirección
y Soporte
Información y
comunicación
• Identificación y
capturación de datos
• Datos internos y externos
• Datos históricos
• Esquemas de reporte
• Evitar
• Reducir
• Compartir
• Aceptar
Respuesta al riesgo
• Filosofía Administración
de riesgo
• Apetito al riesgo
• Supervisión de Directorio
• Integridad, valores éticos
y competencia del
personal
• Autoridad, roles y
responsabilidades y
estructura.
• Políticas y procedimientos
• Preventivos
• Detectivios
• Correctivos
• Manuales
• Automáticos
Monitoreo
• Actividades continuas
(KRI).
• Actividades esporádicas
Estrategia
Estrategia
Dirección
Política
Qué hará la organización
acerca de sus riesgos
(políticas) y la
responsabilidad de
gestión de los mismos.
Identificar
Actividades
Primarias de la
Gestión de
Riesgos
Reportar
Procesos
Proceso de Analizar
Administración
de Riesgos
Monitorear
Cómo la organización
gestionará riesgos,
procedimientos, prácticas
y herramientas
Responder
Arquitectura
Estructura
Organizacional
Medición del
desempeño
Mecanismos
de recursos
humanos
Educación en
Gestión
Comunicaciones
Aseguramiento
Qué personas, comités,
foros y técnicas son
necesarias para apoyar,
promover y conducir la
gestión del riesgo a
través de la organización
Cultura
Cultura
Soporte
Cómo la cultura de las
organizaciones apoya una
conducta apropiada de toma
de riesgos
10
ERM y otras prácticas de gestión
ERM – Relación con Governance, Risk and Compliance
Definición de objetivos y estrategia, políticas,
apetito al riesgo y responsabilidades.
Monitoreo del desempeño
Identificación y evaluación de riesgos que
pueden afectar la capacidad de lograr los
objetivos y determinar las estrategias de
respuesta al riesgo y actividades de control
Operación de acuerdo con los objetivos y
asegurando adherencia con las leyes y
regulaciones, políticas internas, procedimientos y
los compromisos de los stakeholders
COSO II – ERM, Basilea II y Solvencia II
• Estipular cargos de capital que motiven a los
bancos hacia el desarrollo de modelos
cualitativos y cuantitativos de administración
del riesgo
• Crear un marco de supervisión que motive el
desarrollo de mejores prácticas
• Requerir a los bancos la apertura de
información en detalle de su estructura de
capital y exposiciones de riesgo
11
COSO II – ERM y Sarbanes - Oxley
– La Ley Sarbanes Oxley estableció un nuevo paradigma de
responsabilidad de las empresas. Definió claramente las
responsabilidades del Comité de Auditoría, del Director
General (CEO) y del Director Financiero (CFO) en niveles
superiores a los del pasado. Creó un nuevo estándar para
las compañías en relación con la presentación de
información, de la eficacia de los controles internos y eliminó
los obstáculos para el diseño, documentación y operación de
controles internos.
Los buenos controles internos han dejado de ser únicamente una mejor
práctica.....… ¡Son Ley!
Roles y responsabilidades
y Todas las personas en una entidad tienen alguna responsabilidad en la
administración del riesgo.
y El CEO es responsable en general y debe asumir su función.
y El resto de los gerentes o altos ejecutivos deben soportar la filosofía de
riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el
efectivo funcionamiento de los componentes de la administración del riesgo
dentro de su esfera de responsabilidad consistentemente con la cultura de
riesgos
y El personal es responsable por ejecutar sus actividades de acuerdo con las
directivas y protocolos previstos de riesgo.
y La Junta Directiva provee un significativo seguimiento de la administración del
riesgo.
y Externos proveen información para la administración del riesgo.
y Las partes externas no son responsables por la efectividad de la
administración del riesgo.
12
Otras partes
involucradas
Responsables
•
•
•
•
•
Comité Ejecutivo
Comités Delegados
Gerentes
Auditores Internos
Personal
• Auditores Externos
• Reguladores
• Asociados con la valoración del
riesgo y el control interno
Outsourcing
Junta Directiva
Comité de
Auditoría
Aprueba y aloca recursos
Riesgos
Definiciones - Políticas - Reportes - Cuantificación
1
Responsable
Unidades de Negocio
Auto-evaluaciones
•Implementa cambios
•Reporta internamente
y a riesgos
2
Coordinación y
Monitoreo
Riesgo Operacional
Areas soporte
Monitoreo de auto-evaluaciones
• Análisis de indicadores
• Control planes
• Reportes
3
Aseguramiento
Auditoría Interna
• Evalúa el proceso
• Revisa las
auto-evaluaciones
• Pruebas de controles
13
Junta
Directiva
y Conoce claramente el proceso de administración del
riesgo implementado y hasta qué punto el mismo es
efectivo
y Identifica que el proceso está en línea con el apetito al
riesgo
y Compara el portafolio de riesgos con el apetito al
mismo
y Es informado de los principales riesgos y sus
respuestas y aprueba las mismas
y Delega funciones (las responsabilidades no se
delegan) en diversos Comités (ALCO, Créditos,
Riesgos, Auditoría, Compensaciones, Riesgo
Operacional, etc.)
Administración
y Responsable por todas las actividades de la
organización
y En el caso del CEO, su mayor responsabilidad es
establecer el ambiente interno
y También provee liderazgo y dirección a los gerentes y
así se crean los valores de la organización
y Definen los objetivos estratégicos y la estrategia
y Desarrollan el apetito al riesgo y su tolerancia
y Definen la estructura organizacional
y Analizan las respuestas al riesgo
y Monitorean a través del CRO la eficacia del proceso
de administración del riesgo
14
Risk
Officer
y Trabaja con los otros gerentes para establecer un
proceso de administración del riesgo
y La autoridad y reporte es al CEO, puede integrar
subsidiarias
y Algunas empresas le asignan la función al CFO,
Director de Auditoría o Director de Cumplimiento.
y Desarrolla las políticas
y Define roles y responsabilidades
y Asignación de resultados y capitales
y Asiste a toda la entidad y provee modelos de gestión
de riesgo y cuantificación
y Guía la integración de los riesgos
y Establece un lenguaje común
y Monitorea el grado de riesgo asumido por los diversos
negocios
y Reporta
y Sugiere acciones correctivas
•
CFO
•
•
•
Sus actividades cruzan todas las áreas de la
organización
Desarrollan presupuestos y planes y monitorean su
desempeño (operaciones, reporte y monitoreo)
Responsable por los estados financieros y sus
procesos de control y reporte al exterior
Su jerarquía no puede ser minimizada por los sectores
de negocios (deberá interpretar las reglas del juego y
estrategias y decidir sobre la metodología de
contabilización y reporte)
15
•
Auditoría Interna
•
•
•
•
•
Evalúan la efectividad y sugieren mejoras sobre el
proceso de administración del riesgo
Los estándares establecidos por el Institute of Internal
Auditors especifican que el alcance de sus tareas
incluye la evaluación del proceso de administración
del riesgo y del control interno
Estas tareas incluyen, la evaluación del repote, la
revisión de la efectividad y eficiencia de las
operaciones, salvaguarda de activos y cumplimiento
de normativas
No es su responsabilidad primaria establecer y
mantener el proceso de administración del riesgo
(CEO)
Debe asistir a la gerencia y al Comité de Auditoría a
monitorear, examinar y evaluar el proceso
Sin embargo debe mantener su objetividad
Auditoría
Interna
16
•
Personal
•
•
•
Auditores
Externos
•
•
•
La administración del riesgo es parte de
responsabilidades de todos los empleados
Esto debe ser comunicado muy efectivamente….
las
Deben proveer a la gerencia y al Comité Ejecutivo una
visión única, independiente y objetiva que contribuya
al logro de los objetivos de reporte financiero externo
El Auditor puede firmar un balance limpio y la
administración del riesgo y el control interno no ser
adecuados
Sus funciones se refieren a los estados financieros….
Para emitir dicha opinión deberá hacer los ajustes
necesarios e invertir más tiempo en sus revisiones
Su valor se observa en los hallazgos de auditoría y
recomendaciones
Reguladores
•
•
Requisitos de control interno y respuesta al riesgo
Revisiones in-situ y extra-situ
Otras partes
•
•
•
•
•
•
Clientes
Vendors
Outsourcers
Analistas financieros
Agencias de Rating
Medios de comunicación
17
Conclusión
Riesgo es la posibilidad de que un
evento futuro incierto ocurra y
afecte el logro de los objetivos
estratégicos,
operativos
y/o
financieros de la organización
ERM, es un proceso formal
diseñado para identificar, evaluar,
responder,
comunicar
y
monitorear los riesgos a lo largo
de toda la organización.
PROCESO DE
GESTION DE RIESGOS
Reducir las
“Amenazas”
identificar
reportar
Valor para
stakeholders
Manejar
la
“Incertidumbre”
analizar
Explotar
la
“Oportunidad”
monitorear
responder
Conclusión - ERM
Tradicional
(Gestión por silos)
Legal
Seguridad
IT
EHS
Auditoría
Interna
Seguridad
Física
Seguros
BCP
Riesgo
• Coordinación entre las funciones de
riesgo para aumentar la cobertura de
riesgos y disminuir los costos.
• Permitir un rápido entendimiento de los
riesgos de las iniciativas de negocios.
• Alineamiento con las estrategias de
negocios, objetivos y proceso de toma
de decisiones
• Procesos organizacionales
consistentes
• Herramientas de gestión de riesgo de
alto nivel.
• Enfoque en los riesgos que tienen
mayor probabilidad de impactar en el
valor de los accionistas.
Riesgo
Riesgo
Riesgo
ERM
(Portfolio de riesgo)
Transformación
Ingresos
Riesgo
Riesgo Riesgo
Seguridad
Costos
Global
RM
Seguridad
IT
Auditoría
Interna
ERM
EHS
Legal
Legal
BCP
Seguridad
Fisica
Estrategia de Riesgo
Y Marco
Riesgo 1
Proceso RM
Riesgo 2
Evaluar riesgo
Herramientas
de Gestión
de Riesgo
Tratar riesgo
Fuentes de
Conocimiento
Monitorear y
Reportar
RiskWeb
Riesgo 3
Riesgo 4
Riesgo 5
Riesgo 6
Proceso de Gestión de Riesgo
Medición y reporte
18
Rafael Ruano Diez
[email protected]
19

Presentación Rafael Ruano - Mi sitio de Auditoría, todo a cerca de

Transcripción

Documentos relacionados

Lomo Adobado - Embutidos Duque de Lerma

INFORME COSO I Y II

Estaciones de Regulación Filtración y Medición (ERM) Gas

BAILLY-BAILLIÉRE E HIJOS