Presentación Rafael Ruano - Mi sitio de Auditoría, todo a cerca de
Transcripción
Presentación Rafael Ruano - Mi sitio de Auditoría, todo a cerca de
COSO II – ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN • Introducción a COSO II – ERM • Enterprise Risk Management – Premisas fundamentales – Preguntas claves respecto a ERM –¿Qué es Enterprise Risk Management? – Beneficio de ERM – Componentes claves de ERM – ERM y otras prácticas de gestión y control de riesgos • Roles y responsabilidades – El rol de Auditor Interno • Conclusión 3 & 1 Introducción a COSO II - ERM • El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission. • En 1992, publicó un informe denominado Internal Control – Integrated Framework (IC-IF), conocido también como COSO I. • Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América. Introducción a COSO II - ERM • Debido al aumento de preocupación por la administración de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos. • El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos. 2 Introducción a COSO II - ERM • En septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos. • Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework. Introducción a COSO II - ERM Estructura del proyecto COSO COSO Grupo Asesor • Compañías y Otras Organizaciones • Miembros de la organización COSO • Compañías medianas • Grandes Compañías • Industrias Asociadas • Entidades gubernamentales y entidades sin fines de lucro PricewaterhouseCoopers Equipo de Proyecto Otros Involucrados Importantes Academia Asociaciones Profesionales Profesionales de administración de riesgos Abogados Reguladores Otros reguladores de industria 3 Introducción a COSO II - ERM El estándar COSO II – ERM, delinea los principios de administración de riesgo El marco conceptual proporciona: – Una definición de Enterprise Risk Management – Los principios y componentes críticos de un efectivo proceso de Enterprise risk management – Dirección para que las organizaciones lo utilicen en la determinación de como mejorar su administración de riesgo – Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita. Introducción a COSO II - ERM El estándar COSO II – ERM, delinea los principios de administración de riesgo También proporciona aplicaciones técnicas: – Ilustraciones de como los principios críticos pueden ser observados en una organización. – Una perspectiva de un proceso de implementación. – Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamaño, Estrategia, Industria y Complejidad 4 Introducción a COSO II - ERM COSO II – ERM, 4 categorías de objetivos, 8 componentes y de alcance corporativo. Alineado con Los objetivos pueden ser vistos en el contexto de cuatro categorías Qué Ocho componentes interrelacionados Dónde Considera las actividades de todos los niveles de la organización Premisas fundamentales • La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para “crear valor a sus grupos de interés”. • No obstante, todas las organizaciones encaran incertidumbre…, el desafío para la administración es determinar cuanta incertidumbre esta preparada para aceptar en la búsqueda de aumentar el valor de los grupos de interés. 5 Premisas fundamentales • Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organización (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor. • La administración de riesgos corporativos permite a la administración manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor. Premisas fundamentales En una forma gráfica… Stakeholders Riesgo Factores externos Objetivos (creación de valor) Negocio Factores internos Impacto negativo sobre objetivos Incertidumbre Eventos Impacto positivo sobre objetivos Oportunidad 6 Preguntas claves respecto a ERM • ¿Cuales son los principales riesgos que afectan a nuestra organización? • ¿Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. ¿Esta es comunicada y conocida? • ¿Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización? Preguntas claves respecto a ERM • ¿Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo? • ¿Cómo identificamos, evaluamos, monitoreamos nuestros riesgos? comunicamos y • ¿Nuestras personas entienden su rol como parte de la administración de riesgos? • ¿Quién asegura que el proceso de gestión de riesgo se efectúe correctamente? 7 ¿Qué es Enterprise Risk Management? "La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización". Enterprise risk management – Integrated Framework COSO II 29 de septiembre de 2004 ¿Qué es Enterprise Risk Management? • Proceso continuo – es un medio para un fin, no un fin en si mismo • Efectuado por el personal en todos sus niveles (No sólo políticas) • Aplicado en la definición de la estrategia • Aplicado en toda la organización – en cada nivel y unidad • Diseñado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo • Provee seguridad razonable…logro de los objetivos – estratégicos, operacionales, presentación de reporte y cumplimiento. 8 Beneficios de ERM • Alinear el apetito al riesgo con la estrategia. • Relacionar crecimiento, riesgo y retorno. • Mejorar las decisiones de respuesta al riesgo. • Reducir sorpresas y pérdidas operacionales. • Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado. • Aprovechar las oportunidades. • Mejorar la asignación de capital. Componentes claves de ERM Entorno Interno Definición y comprensión de objetivos Identificación de eventos Actividades Primarias de la Gestión de Riesgos Valoración del riesgo Dirección y Soporte Respuesta al riesgo Actividades de control Información y comunicación Monitoreo 9 Componentes claves de ERM Definición y comprensión de objetivos • Estratégico • Operacionales • Reporte • Cumplimiento Fuente Externa • Económicos • Negocio • Tecnológicos • Políticos • Sociales Identificación de eventos Actividades Primarias de la Gestión de Riesgos Entorno Interno Fuente Interna • Proceso • Personas • Sistemas • Infraestructura • Técnicas cualitativas • Técnicas cuantitativas Valoración del riesgo Actividades de control Dirección y Soporte Información y comunicación • Identificación y capturación de datos • Datos internos y externos • Datos históricos • Esquemas de reporte • Evitar • Reducir • Compartir • Aceptar Respuesta al riesgo • Filosofía Administración de riesgo • Apetito al riesgo • Supervisión de Directorio • Integridad, valores éticos y competencia del personal • Autoridad, roles y responsabilidades y estructura. • Políticas y procedimientos • Preventivos • Detectivios • Correctivos • Manuales • Automáticos Monitoreo • Actividades continuas (KRI). • Actividades esporádicas Componentes claves de ERM Estrategia Estrategia Dirección Política Qué hará la organización acerca de sus riesgos (políticas) y la responsabilidad de gestión de los mismos. Identificar Actividades Primarias de la Gestión de Riesgos Reportar Procesos Proceso de Analizar Administración de Riesgos Monitorear Cómo la organización gestionará riesgos, procedimientos, prácticas y herramientas Responder Arquitectura Estructura Organizacional Medición del desempeño Mecanismos de recursos humanos Educación en Gestión Comunicaciones Aseguramiento Qué personas, comités, foros y técnicas son necesarias para apoyar, promover y conducir la gestión del riesgo a través de la organización Cultura Cultura Soporte Cómo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos 10 ERM y otras prácticas de gestión ERM – Relación con Governance, Risk and Compliance Definición de objetivos y estrategia, políticas, apetito al riesgo y responsabilidades. Monitoreo del desempeño Identificación y evaluación de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de respuesta al riesgo y actividades de control Operación de acuerdo con los objetivos y asegurando adherencia con las leyes y regulaciones, políticas internas, procedimientos y los compromisos de los stakeholders ERM y otras prácticas de gestión COSO II – ERM, Basilea II y Solvencia II • Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administración del riesgo • Crear un marco de supervisión que motive el desarrollo de mejores prácticas • Requerir a los bancos la apertura de información en detalle de su estructura de capital y exposiciones de riesgo 11 ERM y otras prácticas de gestión COSO II – ERM y Sarbanes - Oxley – La Ley Sarbanes Oxley estableció un nuevo paradigma de responsabilidad de las empresas. Definió claramente las responsabilidades del Comité de Auditoría, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Creó un nuevo estándar para las compañías en relación con la presentación de información, de la eficacia de los controles internos y eliminó los obstáculos para el diseño, documentación y operación de controles internos. Los buenos controles internos han dejado de ser únicamente una mejor práctica.....… ¡Son Ley! Roles y responsabilidades y Todas las personas en una entidad tienen alguna responsabilidad en la administración del riesgo. y El CEO es responsable en general y debe asumir su función. y El resto de los gerentes o altos ejecutivos deben soportar la filosofía de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administración del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgos y El personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo. y La Junta Directiva provee un significativo seguimiento de la administración del riesgo. y Externos proveen información para la administración del riesgo. y Las partes externas no son responsables por la efectividad de la administración del riesgo. 12 Roles y responsabilidades Otras partes involucradas Responsables • • • • • Comité Ejecutivo Comités Delegados Gerentes Auditores Internos Personal • Auditores Externos • Reguladores • Asociados con la valoración del riesgo y el control interno Outsourcing Roles y responsabilidades Junta Directiva Comité de Auditoría Aprueba y aloca recursos Riesgos Definiciones - Políticas - Reportes - Cuantificación 1 Responsable Unidades de Negocio Auto-evaluaciones •Implementa cambios •Reporta internamente y a riesgos 2 Coordinación y Monitoreo Riesgo Operacional Areas soporte Monitoreo de auto-evaluaciones • Análisis de indicadores • Control planes • Reportes 3 Aseguramiento Auditoría Interna • Evalúa el proceso • Revisa las auto-evaluaciones • Pruebas de controles 13 Roles y responsabilidades Junta Directiva y Conoce claramente el proceso de administración del riesgo implementado y hasta qué punto el mismo es efectivo y Identifica que el proceso está en línea con el apetito al riesgo y Compara el portafolio de riesgos con el apetito al mismo y Es informado de los principales riesgos y sus respuestas y aprueba las mismas y Delega funciones (las responsabilidades no se delegan) en diversos Comités (ALCO, Créditos, Riesgos, Auditoría, Compensaciones, Riesgo Operacional, etc.) Roles y responsabilidades Administración y Responsable por todas las actividades de la organización y En el caso del CEO, su mayor responsabilidad es establecer el ambiente interno y También provee liderazgo y dirección a los gerentes y así se crean los valores de la organización y Definen los objetivos estratégicos y la estrategia y Desarrollan el apetito al riesgo y su tolerancia y Definen la estructura organizacional y Analizan las respuestas al riesgo y Monitorean a través del CRO la eficacia del proceso de administración del riesgo 14 Roles y responsabilidades Risk Officer y Trabaja con los otros gerentes para establecer un proceso de administración del riesgo y La autoridad y reporte es al CEO, puede integrar subsidiarias y Algunas empresas le asignan la función al CFO, Director de Auditoría o Director de Cumplimiento. y Desarrolla las políticas y Define roles y responsabilidades y Asignación de resultados y capitales y Asiste a toda la entidad y provee modelos de gestión de riesgo y cuantificación y Guía la integración de los riesgos y Establece un lenguaje común y Monitorea el grado de riesgo asumido por los diversos negocios y Reporta y Sugiere acciones correctivas Roles y responsabilidades • CFO • • • Sus actividades cruzan todas las áreas de la organización Desarrollan presupuestos y planes y monitorean su desempeño (operaciones, reporte y monitoreo) Responsable por los estados financieros y sus procesos de control y reporte al exterior Su jerarquía no puede ser minimizada por los sectores de negocios (deberá interpretar las reglas del juego y estrategias y decidir sobre la metodología de contabilización y reporte) 15 Roles y responsabilidades • Auditoría Interna • • • • • Evalúan la efectividad y sugieren mejoras sobre el proceso de administración del riesgo Los estándares establecidos por el Institute of Internal Auditors especifican que el alcance de sus tareas incluye la evaluación del proceso de administración del riesgo y del control interno Estas tareas incluyen, la evaluación del repote, la revisión de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo (CEO) Debe asistir a la gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso Sin embargo debe mantener su objetividad Roles y responsabilidades Auditoría Interna 16 Roles y responsabilidades • Personal • • • Auditores Externos • • • La administración del riesgo es parte de responsabilidades de todos los empleados Esto debe ser comunicado muy efectivamente…. las Deben proveer a la gerencia y al Comité Ejecutivo una visión única, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo El Auditor puede firmar un balance limpio y la administración del riesgo y el control interno no ser adecuados Sus funciones se refieren a los estados financieros…. Para emitir dicha opinión deberá hacer los ajustes necesarios e invertir más tiempo en sus revisiones Su valor se observa en los hallazgos de auditoría y recomendaciones Roles y responsabilidades Reguladores • • Requisitos de control interno y respuesta al riesgo Revisiones in-situ y extra-situ Otras partes • • • • • • Clientes Vendors Outsourcers Analistas financieros Agencias de Rating Medios de comunicación 17 Conclusión Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratégicos, operativos y/o financieros de la organización ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización. PROCESO DE GESTION DE RIESGOS Reducir las “Amenazas” identificar reportar Valor para stakeholders Manejar la “Incertidumbre” analizar Explotar la “Oportunidad” monitorear responder Conclusión - ERM Tradicional (Gestión por silos) Legal Seguridad IT EHS Auditoría Interna Seguridad Física Seguros BCP Riesgo • Coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos. • Permitir un rápido entendimiento de los riesgos de las iniciativas de negocios. • Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones • Procesos organizacionales consistentes • Herramientas de gestión de riesgo de alto nivel. • Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas. Riesgo Riesgo Riesgo ERM (Portfolio de riesgo) Transformación Ingresos Riesgo Riesgo Riesgo Seguridad Costos Global RM Seguridad IT Auditoría Interna ERM EHS Legal Legal BCP Seguridad Fisica Estrategia de Riesgo Y Marco Riesgo 1 Proceso RM Riesgo 2 Evaluar riesgo Herramientas de Gestión de Riesgo Tratar riesgo Fuentes de Conocimiento Monitorear y Reportar RiskWeb Riesgo 3 Riesgo 4 Riesgo 5 Riesgo 6 Proceso de Gestión de Riesgo Medición y reporte 18 Rafael Ruano Diez [email protected] 19