[pd] presentaciones - gestion de riesgos erm - coso ii (5).pps
TRANSCRIPT
1
Aplicación practica de la implantación de la Gestión Integral de Riesgos (ERM) - COSO II- en una empresa y el
rol de Auditoría Interna.
XIII Jornadas de Auditoría Interna Ahciet
Ecuador 10 y 11 de Octubre 2006
Juan Ignacio Ruiz Zorrilla – CIA.Secretario General IAI – España.
2
Índice:
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad
Evolución e impacto de los modelos ERM – COSO II
El Cubo de COSO II – ERM
COSO I vs COSO II
Responsabilidad del modelo ERM
Beneficios COSO II – ERM
Fases de elaboración de un Mapa de Riesgos
Mapa de Riesgos
Objetivos – Riesgo – Controles
Auditoría Interna en el Control y la Gestión de Riesgos
Rol de Auditoría Interna en la Gestión de Riesgos, posición the IIA
3
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (I)
“La Gestión de Riesgos CorporativosGestión de Riesgos Corporativos es un proceso efectuado por el Consejo de Administración de una entidad, su Dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potencialesidentificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgosgestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivoslogro de los objetivos. “
* COSO (Committee of Sponsoring Organization of the Treadway Commission)
4
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (II)
La Gestión de Riesgos Corporativos (ERM) dentro una empresa o Grupo de empresas permite:
Identificar aquellos acontecimientos que puedan impactar en la organización impidiéndole alcanzar sus objetivos.
Realizar una valoración de los riesgos de la compañía y gestionar su tratamiento en función del riesgo aceptado en la misma.
Integrar la gestión de riesgos en los procesos de planificación estratégica de la compañía, en el control interno y en la operativa diaria de la misma.
Disponer del portafolio de riesgos a nivel global de la compañía y para cada una de sus divisiones y/o funciones.
5
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (III)
EstrategiaIncertidumbre asociada a Fusiones y adquisiciones
Estrategia y Planes de negocio
Valor para el accionista y Stakeholders
FinanzasGestión de ingresos
Cash flow
Acceso a fondos/tipos de interés
Procurement y pagos
Cambio de divisas
Fiabilidad de la contabilidad
Control de crédito
Legal y RegulatorioCompliance
Optimización fiscal
MercadoCambios en variables
macroeconómicas
Cambios en volúmenes
Actividades de los competidoresReputación
Cambios de marca / impacto en el mercado
Seguridad alimentaria
ClientesInvestigación
Fidelidad del cliente
Recursos humanosCambios en el equipo gestor
Recursos y perfiles
Integridad y fiabilidad del personal
Motivación
Salud, seguridad e higiene
Relaciones con los sindicatos
ProducciónLogísitica
Trazabilidad
Planificación y programación
Configuración
Inventarios y repuestos
Ciclo de vida
Producto Marketing
Branding
Cartera
Atractividad
Innovación
Corporate GovernanceProyectos e Inversiones
Plannig and budgeting
Estructura organizativa
Comunicación
Reporting
Sistemas de InformaciónConfidencialidad
Integridad
Disponibilidad
Value for money
Seguridad
E-Business
Obligaciones / Compromisos
Pasivos contratados
Reclamaciones
Responsabilidad de producto
Pasivos éticos
Obligaciones legales
ENTIDAD
Entorno de la Empresa
¿Por qué surge la necesidadnecesidad de disponer de una Gestión de estas características?
Existe una gran diversidad de riesgos presentes y potencialesgran diversidad de riesgos presentes y potenciales en la actividad de los negocios, todo ello debido a la creciente complejidad del entorno empresarial y los variados intereses involucrados en la empresa.
6
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (IV)
Existencia de nuevos marcos regulatoriosmarcos regulatorios como consecuencia de dichos escándalos financieros. Todos ellos pivotan alrededor de un Modelo de Riesgos incorporado en los procesos de gestión y dirección de la empresa.
The Sarbanes-Oxley Act of 2002
Ley de Transparencia
26/2003
Orden Ministerial 3722/2003
¿Por qué surge la necesidadnecesidad de disponer de una Gestión de estas características?
7
Evolución e impacto de los Modelos ERM (I)
VISIÓN TRADICIONAL
Función dedicada a la gestión activa y por anticipado de los riesgos de negocio.
Proceso proactivo que integra la gestión de riesgos en la estrategia de la empresa.
Presión de los “stakeholders” para entender el rango de riesgos que está afrontando la empresa.
El conocimiento de los riesgos subyacentes permite gestionar más adecuadamente la asignación del capital, permitiendo incrementar el valor para los “stakeholders”.
Función soporte.
Concepto exclusivo de riesgo como peligro.
Comunicación del riesgo sólo a través de una pérdida o una noticia negativa para la Compañía.
Coste del riesgo no entendido o capturado para su consideración financiera.
VISIÓN ACTUAL
8
Evolución e impacto de los Modelos ERM (II)
ImpactoImpacto de los modelos ERM
En estos momentos ERM es uno de los
proyectos prioritarios de la Alta Dirección de las Compañías...
Fuente: 7ª Encuesta Global de CEOs de PWC
Nivel de compromiso
ERM es una prioridad del Consejo
ERM es una prioridad de la Compañía
Tengo la información que necesito para gestionar riesgos a nivel empresa
Terminología y estándares comunes para gestionarlos riesgos
ERM es una de mis prioridades
Totalmente de acuerdo
Algo de acuerdo
Algo en desacuerdo
Totalmente en desacuerdo
9
Evolución e impacto de los Modelos ERM (III)
...más del 85% piensan tener en funcionamiento un Modelo de
Gestión de Riesgos antes de
tres años...
Fuente: 7ª Encuesta Global de CEOs de PWC
¿Para cuándo?
Ya dispongo de ERM eficiente y eficaz
Dentro de 1 año
Dentro de 2 años
Dentro de 3 años
Más de 3 años
No espero implantar ERM
No sabe / No contesta
ImpactoImpacto de los modelos ERM
10
Evolución e impacto de los Modelos ERM (IV)
Fuente: 7ª Encuesta Global de CEOs de PWC
...que les ayudará a mejorar, de una
forma significativa su
reputación, rentabilidad y confianza de la
dirección ejecutiva...
Impactos
Muy positivo
Positivo
Negativo
Muy Negativo
Reducción de costes
Objetivos
estratégicos
Menor coste capital
Inversión I+D
Reputación
Actividades F&A
Rentabilidad
Confianza de la Dirección
ImpactoImpacto de los modelos ERM
11
El Cubo ERM: Objetivos, componentes y niveles de la organización (I)
En el marco de Gestión Integral de Riesgos desarrollado por COSO II, existe una relación directa entre los OBJETIVOS (aquellos que la organización trata de alcanzar), los COMPONENTES de gestión del riesgo de la compañía (representan las herramientas necesarias para el logro de dichos objetivos), así como con cada uno de los NIVELES de la organización. La relación se representa con el siguiente cubo:
OBJETIVOS
COMPONENTES
NIVELES DE LA ORGANIZACIÓ
N
12
El Cubo ERM: Objetivos, componentes y niveles de la organización (II)
El presente Modelo de Gestión de Riesgos Corporativos está orientado a alcanzar los OBJETIVOSOBJETIVOS de la Compañía, que se pueden clasificar en cuatro categorías:
ESTRATÉGICOS: referidos a metas de alto nivel, alineadas y dando soporte a la misión / visión de la organización.
OPERATIVOS: referidos a la eficiencia y eficacia de las actividades de la organización, incluyendo los objetivos de rentabilidad y desempeño.
INFORMACIÓN: referidos a la fiabilidad de la información suministrada por la organización, que incluye datos internos y externos, así como información financiera y no financiera.
CUMPLIMIENTO: referidos al cumplimiento de las leyes y normas y leyes aplicables.
13
El Cubo ERM: Objetivos, componentes y niveles de la organización (III)
El modelo de Gestión de Riesgos Corporativos consta de ocho COMPONENTESCOMPONENTES relacionados entre sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión.
Ambiente InternoFilosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia– Estructura organizativa – Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivosObjetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientosAcontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías deAcontecimientos – Riesgos y oportunidades
Evaluación de riesgosRiesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
Ambiente InternoFilosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia– Estructura organizativa – Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivosObjetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientosAcontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías deAcontecimientos – Riesgos y oportunidades
Evaluación de riesgosRiesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
14
El Cubo ERM: Objetivos, componentes y niveles de la organización (IV)
Actividades de controlIntegración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – ControlesEspecíficos de la entidad
Información y comunicaciónInformación - Comunicación
SupervisiónActividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
Respuesta a los riesgosEvaluación de posibles respuestas – Selección de respuestas -
Perspectiva de cartera
Actividades de controlIntegración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – ControlesEspecíficos de la entidad
Información y comunicaciónInformación - Comunicación
SupervisiónActividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
Respuesta a los riesgosEvaluación de posibles respuestas – Selección de respuestas -
Perspectiva de cartera
15
El Cubo ERM: Objetivos, componentes y niveles de la organización (V)
La Gestión de Riesgos Corporativos considera actividades a todos los NIVELES DE LA ORGANIZACIÓNNIVELES DE LA ORGANIZACIÓN:
- NIVEL CORPORATIVO
- LÍNEA DE NEGOCIO / PAÍS
- EMPRESA
- UNIDAD
16
COSO I vs. COSO II (I)
COSO I
COSO II
COMPONENTES
COMPONENTES (5)
ENTORNO DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
COMPONENTES (5)
ENTORNO DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
COMPONENTES (8)
AMBIENTE INTERNO
ESTABLECIMIENTO DE OBJETIVOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
IDENTIFICACIÓN DE EVENTOS
EVALUACIÓN DE LOS RIESGOS
RESPUESTA A LOS RIESGOS
COMPONENTES (8)
AMBIENTE INTERNO
ESTABLECIMIENTO DE OBJETIVOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
IDENTIFICACIÓN DE EVENTOS
EVALUACIÓN DE LOS RIESGOS
RESPUESTA A LOS RIESGOS
COMPONENTES (3/4)
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIÓN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)
OBJETIVOS (3/4)
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIÓN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)
OBJETIVOS (4)
OPERATIVOS
INFORMACIÓN
CUMPLIMIENTO
OBJETIVOS (4)
OPERATIVOS
INFORMACIÓN
CUMPLIMIENTO
ESTRATÉGICOS
17
Responsabilidades del Modelo ERM
Todas las personasTodas las personas que integran una Compañía tienen alguna responsabilidad en la Gestión de Riesgos Corporativos.
PRESIDENTE / CONSEJERO DELEGADO: responsable último.
OTROS DIRECTIVOS: apoyan la filosofía de gestión de riesgos de la entidad, gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo.
DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO: desempeñan responsabilidades claves de apoyo y supervisión del Modelo de Gestión de Riesgos.
PERSONAL RESTANTE: responsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directrices establecidas.
CONSEJO DE ADMINISTRACIÓN / COMISIÓN DE AUDITORÍA Y CONTROL: desarrolla una importante supervisión de la gestión de riesgos corporativos, es consciente del riesgo aceptado por la Sociedad y está de acuerdo con él.
TERCEROS (clientes, proveedores, auditores externos, reguladores y analistas financieros): proporcionan a menudo información útil para el desarrollo del ERM, aunque no son responsables de su eficacia en la entidad.
18
Beneficios del ERM
Permite a la Dirección de la empresa poseer una visión global del riesgovisión global del riesgo y accionar los planes para su correcta gestión.
Posibilita la priorizaciónpriorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. Toma de Toma de decisiones más seguradecisiones más segura, facilitando la asignación del capital.
Alinea los objetivosAlinea los objetivos del Grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.
Permite dar soporte a las actividades de planificación estratégica y soporte a las actividades de planificación estratégica y control internocontrol interno.
Permite cumplircumplir con los nuevos marcos regulatorios y demanda de marcos regulatorios y demanda de nuevas prácticasnuevas prácticas de Gobierno Corporativo.
Fomenta que la gestión de riesgos pase a formar parte de la cultura del cultura del GrupoGrupo.
19
Fases de elaboración del Mapa de Riesgos.-
Se les envía los datos
obtenidos en la entrevista
para que validen datos de Riesgos y
Controles.
Se les envía los datos
obtenidos en la entrevista
para que validen datos de Riesgos y
Controles.
ENTENDIMIENTO DE LA SITUACIÓNENTENDIMIENTO
DE LA SITUACIÓN ELABORACIÓNPERFIL DE RIESGOS
ELABORACIÓNPERFIL DE RIESGOS
ENTREVISTASCOMITÉ DIRECCIÓN
ENTREVISTASCOMITÉ DIRECCIÓN
Se identifican los
principales Riesgos y los
Controles existentes
Se identifican los
principales Riesgos y los
Controles existentes
Se analiza la Estrategia, la
normativa vigente,
órganos de control,
procesos que controlan Riesgos
Se analiza la Estrategia, la
normativa vigente,
órganos de control,
procesos que controlan Riesgos
Con toda la información se elabora el
Mapa de Riesgos
Con toda la información se elabora el
Mapa de Riesgos
MAPA DE RIESGOSMAPA DE RIESGOS
En base a entrevistas,
se identifican Riesgos y se Valoran en base a su Impacto y
Probabilidad.
En base a entrevistas,
se identifican Riesgos y se Valoran en base a su Impacto y
Probabilidad.
VALIDACIÓN DE LAINFORMACIÓN
VALIDACIÓN DE LAINFORMACIÓN
El CEO marca para cada uno
de los 4 objetivos de
COSO el Nivel aceptado de
Riesgo
El CEO marca para cada uno
de los 4 objetivos de
COSO el Nivel aceptado de
Riesgo
FIJACIÓN CON EL CEO TOLERANCIA AL RIESGO
FIJACIÓN CON EL CEO TOLERANCIA AL RIESGO
Experiencia practica en TPI
20
Mapa de Riesgos.- sin identificar apetito al riesgo
Ejemplo no real de Riesgos:
E – Competencia
O – Flexibilidad al cambio
R- Comunicación interna
C – Regulación.
21
Mapas de Riesgos.- con indicación de apetito al riesgo.
22
•RENTABILIDAD
•CREACIÓN DE VALOR PARA EL ACCIONISTA
•CUOTA DE MERCADO
•MEJORA DE LA CALIDAD DEL SERVICIO
•PRODUCTIVIDAD
RIESGOS PRINCIPALES DE LAS
EMPRESAS DE TELECOMUNICACIONES
•Satisfacción del cliente
•Recursos Humanos
•Desarrollo de productos
•Competencia
•Planificación Estratégica
•Imagen
•Facturación/Perdida Ingresos
•Liderazgo
•Eficiencia
•Fijación de precios
•Regulación
•Infraestructuras
•Obsolescencia
CONTROL
Objetivos – Riesgos – Controles
23
Auditoría Interna en la gestión y control de riesgos
Definición de Auditoría Interna:
La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
Normas Internacionales para el ejercicio profesional de la Auditoría
Interna:
2120 – Control.- La actividad de auditoría interna debe ayudar a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo su mejora continua.
2110 – Gestión de Riesgos.- La actividad de auditoría interna debe ayudar a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.
24
Auditoría Interna en la gestión y control de riesgos
2110. A1 – La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.
2110. A2 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:
Fiabilidad e integridad de la información financiera y operativa; Eficacia y eficiencia de las operaciones; Protección de activos, y Cumplimiento de leyes, regulaciones y contratos.
2110. C1 – Durante los trabajos de consultoría, los auditores internos deben considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a la existencia de otros riesgos significativos.
2110.C2 – Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones a riesgos significativos en la organización.
25
El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial
El Institute of Internal Auditors (IIA), ha publicado un documento sobre su posición sobre el Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial. El documento sugiere formas para que los auditores internos mantengan la objetividad e independencia requerida por las Normas cuando provean servicios de aseguramiento y consulta.
El rol fundamental de la auditoría interna respecto al ERM es proveer aseguramiento objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una organización, para ayudar a asegurar que los riesgos claves de negocio están siendo gestionados apropiadamente y que el sistema de control interno esta siendo operado efectivamente.
El Instituto enfatiza que las organizaciones deben entender completamente que la gerencia mantiene la responsabilidad de la gestión de riesgo. Los auditores internos deben proveer consejo, y motivar las decisiones gerenciales sobre riesgos, en vez de realizar decisiones sobre gestión de riesgo.
26
Rol de Auditoría Interna en la Gestión de Riesgos, posición the IIA