Expectativas Qu es COSO-ERM? Cmo Riesgos? inici el concepto Administracin de

Cmo pueden medir los auditores el impacto de los riesgos? Cmo podemos ayudar a los gerentes a entender qu son riesgos y controles?

Qu es COSO? Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. Es una organizacin del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la tica de negocio, controles internos eficaces y gobierno corporativo. Treadway Commission on Fraudulent Financial Reporting 1987 Marco Integrado de Control Interno publicado en 1992

Por qu es Importante COSO? COSO proporciona un marco integral del control interno y herramientas de evaluacin para sistemas de control Proporciona una terminolologa utilizada comunmente y principios usados como gua para desarrollar una arquitectura efectiva para la administracin de riesgos Proporciona una visin integral del sistema de control institucional

Cmo se Inici ERM? ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas Por qu ah? En estas industrias los riesgos estn bien documentados y medidos; comnmente se utilizan sofisticados modelos estadsticos; existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos

Cmo se Inici ERM? Los Auditores Internos utilizan ERM porque La metodologa tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados La metodologa tradicional es a menudo ineficaz y costosa El enfoque cambi de auditora basada en control Se enfoca en el riesgo para determinar qu es importante y seleccionar la muestra de control La auditora basada en riesgo es ahora la norma del IIA Control Interno Marco Integral Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM

Conceptos Clave sobre ERM Todas las entidades existen para darle valor a sus accionistas Todas las entidades enfrentan la incertidumbre, por lo tanto, cunta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad ERM no se refiere a controles, se refiere a desempeo

El valor es creado, preservado o erosionado por las decisiones de la Direccin. Diariamente la Direccin toma decisiones sobre estrategias y operaciones. Las organizaciones agregan valor cuando se derivan beneficios que satisface a: - Accionistas - Clientes o usuarios - Gobierno Aplicacin de recursos (gente, capital, tecnologa, nombre comercial) a modo que los beneficios sean mayores que los recursos utilizados.

Valor

ValorAmpliar y preservar la calidad, capacidad, satisfaccin del cliente. Equilibrio entre crecimiento, riesgo y

retorno basados en objetivos y estrategias

Ms que el valor financiero o econmico.

Incertidumbre Globalizacin, tecnologa, reglamentos, reestructuracin, fusiones, adquisiciones, mercados cambiantes, competencia. No se puede determinar con precisin la probabilidad de que ocurrirn eventos potenciales y sus resultados.

Qu es Riesgo?

Riesgo - Oportunidad Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos. Ninguna entidad opera en un ambiente libre de riesgos. Existe tambin el riesgo de que no se aproveche la ventaja de una oportunidad.

Riesgo-Reglamentacin Comercio domstico e Internacional Financieras, tanto pblicas como (incluyendo leyes sobre valores) privadas

Relaciones laborales, incluyendo contrataciones, compensaciones y beneficios, sindicatos, condiciones de trabajo, igualdad de oportunidades y liquidacin Impuestos (sobre: utilidades, propiedades, activos, ventas, valor agregado, etc.) Bancarrotas Medio ambiente peligrosos) (agua, aire y materiales

Riesgo-CulturaProfundamente arraigada e influye en la dinmica organizacional tica de trabajo Perspectiva de relaciones jerrquicas Educacin Perspectiva sobre tica incluyendo: Nepotismo Cohechos o mordidas Fraude

Definicin de ERMLa Administracin de Riesgo Empresarial es un entidad, la administracin y otro personal, aplicado empresa, diseada para identificar eventos proceso, realizado por el consejo directivo de una en el establecimiento de estrategias para toda la potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su seguridad razonable referente al logro de objetivos. propensin al riesgo y proporcionar una

DefinicionesControl InternoControl Interno es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, designado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categoras: Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros aplicables Cumplimiento con las leyes y reglamentos

Administracin de Riesgos EmpresarialesLa administracin de riesgos empresariales es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su propensin al riesgo, proporcionar seguridad razonable referente al logro de objetivos .

Qu no es ERM Una herramienta para la toma de decisiones Una tcnica de clasificacin para dar seguimiento a controles internos El nico seguro al respecto El trabajo de unos cuantos

Qu ha Cambiado?MARCO COSO MARCO COSO ERM

Qu ha Cambiado?MARCO COSO MARCO COSO ERMo nt ie im pl m Cu

R Fi epo na rt nc es ier os

Cu mp li

Informacin y Comunicacin Actividades de Control

Supervisin

Identificacin de Eventos Evaluacin del Riesgo Actividades de Control Informacin y Comunicacin Supervisin Respuesta al Riesgo

Establecer Objetivos

Ambiente Interno

o O pe ra ci on es

tra t gi c

pe ra ci

O

Es

R ep or te s

on es

mi en

to

Subsidiaria Unidad de Negocio Divisin Nivel-Entidad

Actividad Actividad 1

o1 Pro Proceso 1 Unid Unidad B Unidad Unidad A

Evaluacin del Riesgo Ambiente de Control

Ambiente InternoAMBIENTE INTERNOFilosofa Propensin Admon.Riesgo al Riesgo

Valor Comun. Palabra/Acc

Valor Cuantitativo Cualitativo Vinculado a estrategia

Integridad y Valores ticos Cdigo Cond. Independen- IndepenPrerequisitos dencia. cia Ejemplo Dir. Activa Activa Involucrada Involucrada Incentivos Cultura Riesgo Asig. Autoridad y Responsab. Pol. y Proc de R.H.

Consejo Admn.

Conocimientos Habilidades Trade Off

Compentencia Personal

Diferencia en Ambiente Preferencias Formal Vs Informal Lineas Resporte Facultamiento Evaluacin Conserv. Vs. Agres. Centraliz./ Desc. Rendicin de Entrenamiento Juicios de Valor Compensacin Estilos de Matriz/Funcional/ cuentas Alineada administracin Incentivos y Geogrfica disciplina Estructura Orgnica

Filosofa . Admva. Y Operacional

Ambiente Interno Fundamento para todos los dems componentes de ERM Influye en estrategia y objetivos. Influye en diseo de actividades de control, sistemas de informacin y comunicacin, y supervisin de actividades.

Incluye valores ticos, competencia del personal, estilo de operacin, asignacin de autoridad y responsabilidad, y estructura organizacional. La Direccin se reconoce responsable de los riesgos y de ella emana la filosofa y estilo gerencial e integra y promueve el ERM

Ambiente Interno Evidencia de la cultura organizacional:

Acuerdos con sus empleados

Trato a clientes y a otros externos El tono desde lo alto

La incidencia de violaciones a leyes y reglamentos Prudencia financiera

La calidad de los productos y servicios ofrecidos Sus respuestas a las crisis Su imagen pblica

Ambiente InternoLas culturas organizacionales cambian en el transcurso del tiempo Jvenes en su entusiasmo vs compaas ms maduras

Conforme maduran las empresas, sus estructuras de control interno deben madurar tambin Las empresas con dificultades financieras, a menudo minimizan costos en formas tales que reducen los controles internos

Establecimiento de ObjetivosESTABLECIMIENTO DE OBJETIVOS Objetivos Estratgicos Objetivos Relacionados Objetivos Seleccionados Alineacin y apoyo Decisiones de la Admn. Propensin al Riesgo Tolerancia al Riesgo Variaciones aceptables Mtrica de Medicin de Objetivos.

Metas estratgicas Misin/Visin Eleccin de estrategia

Operacin Informacin Cumplimiento Salvaguarda

Crecimiento, riesgo y entorno Asig. Recursos Gente, procesos e Infraestructura

Establecimiento de Objetivos Deben existir objetivos antes de que la administracin pueda identificar eventos que potencialmente afecten su logro. Alinear misin/visin con objetivos Tipos: Estratgicos: relacionados con metas de alto nivel Reportes: confiabilidad en los mecanismos de reportes Cumplimiento: con leyes y reglamentos aplicables

Establecimiento de ObjetivosAquellos involucrados en el pensamiento estratgico deberan tener esta informacin: - Tendencias econmicas generales y en la industria especfica- Desarrollo de nuevos productos y procesos - Tendencias tecnolgicas - Desarrollos en habilidades clave - Marcos competitivos de desempeo - Planes y metas estratgicas internas - Resultados histricos de desempeo - Oportunidades para incrementar el potencial de productos o mercados - Disponibilidad de recursos - Asuntos regulatorios - Asuntos ambientales - Efectos en empleados

Identificacin de EventosIDENTIFICACIN DE EVENTOS Factores Influy. Eventos Estrat. y Objs. Incidental Internos Externos Impacto positivo y/o negativo Metodologa y tcnicas Durante Peridico Pasado y Futuro Riegos y Eventos Inter- Categoras dependientes de Eventos Oportunidades Eventos Grupos Imp. Neg: Riesgo precursores de riesgo Imp. Pos: Oport. (reacciones en por Disminucin del cadena) proceso riesgo Interrelacionados y/o funcin

Evaluacin de RiesgosEVALUACIN DE RIESGOS Riesgo Inherente y Residual Probabilidad e Impacto Metodologas y Tcnicas Cualitativas Cuantitativas Correlacin Secuencia de eventos Categoras Escenarios

Esperadas Accs. Admvas. Previas Horizonte de tiempo Accs. Admvas. Post. Esperadas e Inesperadas Mtrica de medicin Datos observables

Evaluacin de Riesgos- Condiciones que pueden crear un riesgo adicional

- Diseo u operacin inadecuada del control interno - Metas y planeacin fuera de la realidad - Actividades no autorizadas - Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares - Acciones correctivas pobremente planeadas o implementadas

Evaluacin de Riesgos- Se asegura el Consejo o el Comit de Auditora de que se reportanlos hallazgos relativos a los riesgos? - El Director Ejecutivo, el Director Financiero y el Director de AI conocen de la efectividad de los controles internos? - El Director de Auditora acta con independencia y proporciona reportes tiles y competentes? - Se rene peridicamente el Comit de Auditora con la gerencia de primer nivel, el Director de Auditora y los auditores externos? - Tiene el Consejo por lo menos un experto financiero?

Evaluacin de Riesgos- Considerar los riesgos a largo plazo. - Riesgo inherente: riesgo para la entidad en ausencia de cualquier accin realizada por la administracin para alterar la probabilidad o el impacto. - Riesgo residual: riesgo remanente despus de la accin realizada por la administracin para alterar su probabilidad o impacto.Riesgo Inherente Respuesta al Riesgo

(control interno)Riesgo Residual

Evaluacin de Riesgos1. Tormenta de ideas sobre riesgos y oportunidades 2. Identificar de raz las causas y las correlaciones 3. La mejor forma es tener sesiones de facilitacin 4. Calcular el impacto del riesgo usando la misma medida de los objetivos 5. Calcular los escenarios mnimo, mximo y probable 6. Preparar un programa de riesgo 7. Priorizar riesgos y oportunidades basados en su valor ponderado 8. Identificar los riesgos clave que requieren atencin estratgica Tormenta de Ideas Peso/Clculo Priorizar

Respuesta al RiesgoRESPUESTA AL RIESGO Identificacin de Respuestas Evadir Compartir Reducir Aceptar Evaluacin Posibles Respuestas Eleccin de Respuesta Toma de decisiones Visin Integral Nivel entidad Nivel Unidad de negocio Base Inherente y residual

Impacto Probabilidad Costo Vs. Beneficio Respuestas Innovativas

Respuesta al Riesgo- Opciones y su efecto en la probabilidad e impacto de un evento. - Relacin con: tolerancia al riesgo, costo vs. beneficio. - Seleccin e implantacin. - Seleccionar respuestas que traern la probabilidad e impacto de un evento denro de la tolerancia al riesgo de la entidad. - Cuatro Tipos de Respuesta al Riesgo - Evasin - Reduccin - Compartir - Aceptacin - Redimensionar el riesgo sobre una base residual. - Siempre existirn niveles de riesgo residual.

Actividades de ControlACTIVIDADES DE CONTROL Integradas a las Respuestas Tipos de Control Controles Generales Admon. TI Infraestructura TI Admon. Seguridad Desarrollo y Mantenimiento de software Controles de Aplicacin Especficos Estrategias y Integridad objetivos Exactitud especficos Autorizacin Ambiente Validacin Operacional Complejidad de la entidad

Implcitas en los Polticas Procedimientos procesos del Preventivos negocio Detectivos Manuales Automatizados

Actividades de Control Las actividades de control tambin incluyen sistemas, procesos, iniciativas, tcnicas, programas, proyectos y otras formas de lograr los objetivos Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones

Informacin y ComunicacinINFORMACIN Y COMUNICACIN Interna Externa Manual Computarizada Formal Informal Arquitectura Sist. Inf. Informacin Sistemas Estratgicos e Integrados Estratgica Operacional Pasada y presente Nivel detalle Periodicidad Calidad Comunicacin Interna Externa Nivel entidad Expectativas y responsabilidades Formatos Medios de transmisin

Informacin y Comunicacin De fuentes internas y externas Identifica, captura, analiza y comunica a quienes lo necesitan Forma y tiempo til para llevar a cabo responsabilidades Fluye hacia abajo, hacia arriba y a lo largo de la organizacin Intercambio con partes externas: clientes, proveedores, legisladores, accionistas

til para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos

Informacin y Comunicacin Informacin relevante Uso de datos histricos y actuales. Identifica correlaciones, tendencias, utiliza el conocimiento para ayudar a pronosticar el desempeo futuro. Prevencin temprana. Estado actual para evaluar si se est dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensin al riesgo. Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administracin. Riesgo de reportes sesgados Canales de comunicacin Tradicionales vs No-tradicionales.

SupervisinSEGUIMIENTO Y EVALUACIN Durante las Operaciones Tiempo real Implcito Operaciones da a da Evaluaciones Independientes Reporte Deficiencias Durante las Operaciones Entidades externas Protocolos Canales alternos

Alcance Frecuencia Autoevaluacin (facilitacin Auditores Internos) Ampliamente documentada

Supervisin Verificar que los componentes estn presentes y funcionando, y su calidad en el curso del tiempo Dos caminos: Evaluaciones sobre la marcha o independientes. La documentacin vara con el tamao y complejidad de la organizacin La falta de documentacin no significa que los componentes no existan o no puedan ser probados. La documentacin hace que la supervisin sea ms efectiva. Tambin es importante respaldar las aseveraciones sobre la calidad de ERM.

Supervisin Reportar las deficiencias a quienes pueden tomar la accin apropiada. La deficiencia se puede percibir, sea potencial o real. Tambin la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos. Mecanismo para reportar actos delicados, ilegales o impropios Resultados de la informacin y de la evaluacin Quin, qu, cundo, dnde, cmo, por qu

Eficacia del ERM Un estado o condicin en un momento dado Eficacia: todos los ocho componentes estn presentes y funcionando Puede haber diferentes niveles de eficacia entre entidades, industrias y combinaciones de componentes, debido tambin a diferentes culturas, tamaos, filosofas administrativas. Conceptos aplicables a todas las entidades sin importar su tamao y niveles de formalidad. Deben considerarse las relaciones externas (inversin conjunta, asociaciones) que no estn bajo un control directo.

Limitaciones de ERM ERM no garantiza que la entidad ser exitosa y lograr todos sus Objetivos Limitaciones: - Cambios en polticas o programas del Gobierno - Competencia - Condiciones econmicas - Malas decisiones - Errores y equivocaciones - Gerentes incompententes - Omisin o debilitamiento de control interno, colusin, ignorar el ERM ERM no refleja una adecuada relacin costo-beneficio .

Papeles y Responsabilidades

- Consejo de Administracin: Direccin, Estrategia, Tono en la Cumbre, propensin/aversin al riesgo, Respuestas de ERM - Administracin: Responsables de ERM, tono en la cumbre, liderazgo, delegacin apropiada de responsabilidades, influencia a lo largo de unidades organizacionales - Director Ejecutivo de Riesgos (CRO): mantener la administracin efectiva del riesgo, supervisar avances, reportar informacin relevante al Consejo de Administracin y a la Gerencia.

Papeles y Responsabilidades-Auditores Internos: Apoyar la evaluacin y supervisin del ERM y la calidad del desempeo. Asesorar a la Administracin, al Consejo y al Comit de Auditora y haciendo recomendaciones que agreguen valor a la gestin. - Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen informacin til para el ERM.

Papeles y ResponsabilidadesProporcionan informacin til para ERM, pero no son responsables de ERM Auditores Internos Auditores Externos Auditores del Legislativo Agencias reguladoras Clientes Analistas Financieros Medios de comunicacin

Consideraciones para el xito1. Compromiso del Consejo de A. Directores Generales y Directores Ejecutivos 2. Adoptar e implantar el sistema ERM desde la base hacia arriba 3. Debe ser dirigido y respaldado desde arriba hacia abajo 4. Debe existir un lenguaje comn 5. Proporcionar suficiente entrenamiento a fin de que todos los empleados entiendan completamente cmo participan en el ERM y como el control interno lo apoya

Mitos sobre ERM Es un cralo-todo con el que se pueden tomar decisiones basados en informacin 100% confiable y basada en informacin sin margen de error. Slo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organizacin Con l, las auditoras sern infalibles ERM es sobre seguros Es un proceso independiente y aislado del resto de la organizacin Cuesta demasiado implementarlo.

Beneficios de ERM Alinea la propensin al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversin Ampla las decisiones de respuesta al riesgo. Minimiza sorpresas y prdidas operacionales.

Identifica y administra riesgos a lo largo de toda la organizacin. Toma ventaja de las oportunidades. Mejora la asignacin de capital.

Proporciona respuestas integradas a los mltiples riesgos.

Beneficios de ERM Se relaciona con la gobernabilidad corporativa -Proporciona informacin al Consejo Directivo s/riesgos -Se conecta con el desempeo de la Administracin

Ayuda a organizaciones a lograr objetivos y evitar prdidas Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos Ayuda a evitar daos en la reputacin