semana 3 coso erm

MSc. Carlos Peña

CONTROL DE LOS SISTEMAS DE

NEGOCIO

MARCO INTEGRADO DE CONTROL

INTERNO – COSO

ORIENTACIONES

4

Lo nuevo de COSO

¿Por qué surge COSO II-ERM?

• Debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90, el comité de las organizaciones que patrocinaban la Comisión de Treadway (COSO) determinó que había una necesidad de un marco común de Gestión Integral de Riesgo

• En el 2001 la Comisión contrató a PricewaterhouseCoopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones

• COSO - ERM se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno

• En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework

Origen del estudio del Committee of Sponsoring Organizations of

the Treadway Commission (COSO)

5

1. Es un proceso…

2. realizado por la junta directiva, la

gerencia y demás personal de la

entidad,…

3. basado en el establecimiento de

estrategias para toda la empresa, …

4. diseñadas para identificar eventos

potenciales que puedan afectar a la

entidad, y gerenciar los riesgos dentro

del apetito de riesgo…

5. para proporcionar una seguridad

razonable referente al logro de los

objetivos del negocio

Fuente: Enterprise Risk Management — Integrated Framework Septiembre, 2004



6

COSO II - ERM: Marco de Gestión Integral

de Riesgo (Enterprise Risk Management)

COSO I: Control Interno - Marco

Conceptual Integrado

Ambiente de Control

Operacio

nes

Report

e

Cumpli

miento

Un

ida

d A

Unid

ad

B

Activid

ad

1

Activid

ad

2

Evaluación de Riesgos

Actividades de Control

Información y Comunicación

Monitoreo



7

Nuevo Componente

Componente Ampliado

Componente Ampliado

Objetivo Nuevo

Considera las

actividades de todos los

niveles de la

organización

Componentes del

COSO-ERM

Nuevo Componente

Nuevo Componente

Componente Ampliado

Componente Ampliado

Componente Ampliado

8

Ambiente de Control

Componentes de COSO-ERM

9

Componente COSO-ERM: Ambiente de Control

Este componente establece:

• Una filosofía de gestión integral de riesgo

• Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)

• Rol supervisorio de la junta directiva en la gestión integral de riesgo

• La integridad y los valores éticos

• Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte

• Estándares de recursos humanos: habilidad y competencia de los empleados

Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.

Es la base del resto de los componentes y provee disciplina y estructura.

10

“ERM debe proveer a nuestra

organización de capacidades

superiores para identificar, evaluar, y

gestionar en amplio espectro los

riesgos en todos los niveles de

cargo a fin de mejorar el

entendimiento y manejo de los

riesgos. Para ello debe proveer:

•Aceptación responsable del riesgo

•Apoyo para el comité ejecutivo y

junta directiva en la creación de

portafolio de riesgos

•Considerar los diferentes riesgos

en la toma de decisiones… “


Enseñar

con

palabras y

acciones

Filosofía de Gestión de Riesgo - Ejemplo

11


Cultura de Riesgo y Control

• La cultura de riesgo fluye desde la

filosofía y el apetito de riesgo de la

entidad

• Una gestión integral de riesgo es

exitosa y eficiente, cuando la

organización mantiene una cultura de

riesgo positiva; esto es que toda la

entidad tenga conciencia de los

riesgos y cumpla con los ocho (8)

componentes COSO -ERM

Filosofía de Gestión de Riesgo

12

• Son comunicados por medio de un código formal

de conducta

• Establecimiento de canales de comunicación y

denuncia

• Compromiso de los empleados en comunicar

aquellas situaciones que se consideren

incumplimiento del código de ética y conducta

• Deben ser mostrados con acciones


Integridad y Valores Éticos

La efectividad de la gestión integral de riesgo, nunca superará la integridad y

los valores éticos de las personas que crean, administran y monitorean las

actividades de la entidad

13


Integridad y Valores Éticos

Estructura del Código de Conducta

Secciones del Código

- Visión, misión y objetivos

- Manifiesto de la Presidencia Ejecutiva exhortando al

cumplimiento del Código

- Declaración de los valores éticos de la organización

- Las responsabilidades individuales y

organizacionales

- Lineamientos éticos y medidas disciplinarias

- Guía o canales para resolver las cuestiones éticas

- Glosario de términos

14


Integridad y Valores Éticos Canales de denuncia

Opción 1

Identificación del denunciante

Opción 2

Anonimato Parcial

Canales abiertos de

comunicación

Identificación de la

identidad de la persona

que denuncie

irregularidades

Esta es una de las

opciones más utilizada.

Cuenta con canales de

comunicación bajo el

control de unidades de

gestión de ética y

conducta

Se conoce al denunciante

pero no se divulga su

identidad

Cuenta con canales de

comunicación

confidenciales para

conservar el anonimato

Conservación del

anonimato absoluto de la

identidad de la persona

que denuncie

irregularidades

Opción 3

Anonimato Total

Fax, buzón de voz, números telefónicos directos y correo electrónico

15

• Facilita la efectividad de gestión

integral de riesgo

• Define áreas clave de

responsabilidad

• Establece líneas de reporte


Estructura organizacional

Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad

16

Existen diferentes alternativas de estructura organizacional, donde los

roles y responsabilidades, así como las líneas de reporte pueden

presentar debilidades y fortalezas diferentes



• Opción A: Lidera la gestión de

riesgo: existe una unidad de gestión

de riesgo que coordina todas las

actividades en la organización,

reporta al comité de riesgo. Auditoría

interna es responsable por la

evaluación de la efectividad de los

procesos, prueba los controles clave

establecidos para la repuesta al

riesgo

CEO

Grupo de alta gerencia

Unidades de

Negocio

Auditoría

Interna

Auditor Interno

Senior

Junta Directiva

CFO CTO Legal CIO

PCN Seguro Seguridad de

Información Fraude

Aseguramiento

Gerencia

Integral de

riesgo

Comité de

riesgo Comité de

auditoría

17






• Opción B: Lidera la gestión de

riesgo y aseguramiento: existe

una unidad de gestión de

riesgo que es reponsable de

los riesgos y el aseguramiento

del cumplimiento de las

actividades de la gestión de

riesgo Unidades de

Negocio Auditoría

Interna

Comité de Auditoría

Auditor Interno

Senior


Información Fraude

Aseguramiento

CEO


Junta Directiva

CFO CTO Legal CIO

Comité de

Riesgo

Gerencia

Integral de

riesgo

18






• Opción C: Las funciones de la

gerencia de riesgo son lideradas

por auditoría interna

Auditoría Interna y

Gerencia de Riesgo

Comité de

Auditoría y Riesgo

Auditor Interno

Senior/ CRO

Seguro Seguridad de

Información Fraude

CEO


Junta Directiva

CFO CTO Legal CIO

Unidades de Negocio

PCN

Aseguramiento

19






CEO


Unidades de

Negocio

Auditoría

Internal

Comité de Auditoría

Auditor Interno

Senior

Junta Directiva

CFO CTO Legal CIO


Información Fraude

Aseguramiento

• Opción D: Estructura

descentralizada, donde no existe

una unidad específica de riesgo

sino que cada unidad de negocio

es responsable de la gestión de

riesgo

20


ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO

Junta Directiva • Velar y supervisar la adecuada administración y control de los riesgos

• Tomar decisiones sobre las pérdidas financieras por reducción del patrimonio que la

organización pueda sufrir a causa de la materialización de los riesgos

Presidencia • Delegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de la

organización

• Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales

estén establecidos para administrar todos los riesgos

Comité de Riesgo • Designar al responsable de la Unidad de Administración Integral de Riesgo.

• Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de

Administración Integral de Riesgo con respecto a la gestión de riesgos

• Aprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo

para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por

la organización

Asignación de autoridad y responsabilidades

Gerencia de Riesgo • Garantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la Institución

• Aprobar los planes de acción resultantes de la identificación, evaluación y medición de los

riesgos y las acciones mitigantes

• Establecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayor

uso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo

Coordinadores de Riesgo por Unidad de Negocio • Administrar los riesgos

• Participar activamente en las auto-evaluaciones del riesgo integral en su área.

• Realizar seguimiento de los indicadores de riesgo.

• Seguir y reportar las pérdidas por materialización de los riesgos

Auditoría Interna • Supervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integral

• Revisar el marco general de la gestión del riesgo integral

21

• Establecen las normas de orientación, adiestramiento,

evaluación, promoción, compensación, y acciones de

remediación, manejo esperado de niveles de integridad,

comportamiento ético y competencia

• Envían mensajes de acciones disciplinarias ante violaciones

de comportamiento esperado que no pueden ser toleradas

• La capacidad del personal de la organización refleja el

conocimiento y las habilidades necesitados para realizar las

tareas asignadas

• Permite a la gerencia alinear los costos-beneficios


Normas de recursos humanos, habilidades y competencias

22

Establecimiento de Objetivos


23

Componente COSO-ERM: Establecimiento de Objetivos

• La gestión integral de riesgo se

asegura que la gerencia cuente con

un proceso para definir objetivos

que estén alineados con la misión y

visión, con el apetito de riesgo y

niveles de tolerancia

• Los objetivos se clasifican en

cuatro categorías:

• Estratégicos

• Operacionales

• Reporte o presentación de

resultados

• Cumplimiento

Dentro del marco de la definición de la misión y visión, la gerencia

establece las estrategias y objetivos

Apetito de Riesgo

• Es una guía en el

establecimiento de la

estrategia

• La gerencia lo expresa como

un balance entre:

crecimiento, riesgo y retorno.

• Dirige la asignación de

recursos

• Alinea la organización,

personal, procesos e

infraestructura


Probabilidad

Impacto

Bajo Medio Alto

Ba

jo

Med

io

A

lto

Excediendo el

Apetito de

Riesgo

Dentro del

Apetito de

Riesgo

Es el máximo nivel de riesgo que los accionistas están

dispuestos a aceptar

25

Tolerancia al Riesgo

• La tolerancia al

riesgo se puede

medir

preferiblemente

en las mismas

unidades que los

objetivos

relacionados

Meta Fijada

Tiempo

Estrategia de negocio

Límite de

tolerancia

Desempeño

Real

Variación

Inaceptable

Límite de

tolerancia Variación

Inaceptable


Son los niveles aceptables de variación de las metas fijadas

26

Tolerancia al Riesgo

20% TDC en relación

con la cartera total

Tiempo

Estrategia de negocio

Límite de

tolerancia

Desempeño

Real

18%

Límite de

tolerancia

22%


Colocación de tarjeta de crédito

27

Identificación de Eventos


28

Componente COSO-ERM: Identificación de Eventos

• La gerencia reconoce que la

incertidumbre existe, lo cual se

traduce en no poder conocer con

exactitud cuándo y dónde un

evento pudiera ocurrir, así como

tampoco sus consecuencias

financieras

• En este componente se identifican

los eventos con impacto negativo

(riesgos) y con impacto positivo

(oportunidades)

Se identifican eventos potenciales que si ocurren pueden afectar a la entidad.

Base para los componentes: evaluación de riesgos y respuesta al riesgo

29


Evento: Devaluación cambiaria

Impacto positivo – impacto negativo

Riesgo:

Oportunidad:

Deuda Externa

Inversión en moneda extranjera

Evento: Aumento de precios afectando los productos de 1000 grs

Disminución de las ventas

Ventas de productos de 250 grs

Riesgo:

Oportunidad:

30

• La gerencia identifica los eventos potenciales que afectan

la puesta en práctica de la estrategia o el logro de los

objetivos, pudiendo tener impactos positivos o negativos

• Incluso los eventos con baja posibilidad de ocurrencia se

consideran si el impacto en un objetivo es alto

• Los eventos se identifican en todos los niveles de la

organización

• La gerencia reconoce la importancia de entender los

factores internos y externos y el tipo de eventos que

pueden generar


Eventos

Factores Influyentes

31

Factores Externos

Económicos Ambiente Natural Políticos

• Contaminación

• Energía

• Desastres naturales

Tendencias tecnológicas

• E-business, E-commerce

• Tecnologías emergentes

• Interrupciones

• Cambios gubernamentales

• Legislación

• Regulaciones


• Disponibilidad de capital

• Incumplimiento de créditos

• Seguros

• Incumplimiento

• Concentración

• Liquidez

• Financiamiento

• Flujo de caja

• Mercado

• Precios

• Desempleo

• Huelgas

32

Factores Internos

Infraestructura

Personal Proceso Tecnología


• Diseño

• Ejecución

• Proveedor /

dependencias

• Competencia del personal

• Salud e higiene

• Ética e integridad

• Disponibilidad de activos

• Capacidad de activos

• Acceso a capital

• Datos

• Mantenimiento

• Distribución

• Confidencialidad

• Integridad

• Disponibilidad

• Capacidad

• Sistemas

• Selección

• Desarrollo

• Implantación

• Desempeño y

rendimiento

• Disponibilidad

33

Económicos

Medio Ambiente

Políticos

Personal

Procesos

Infraestructura

Objetivo

mantener

margen 10%


Nuevos competidores

Lluvias Control de

comisiones

Nuevos canales

Lentitud respuesta

Expira contrato

colectivo

34

Evaluación de Riesgo


35

Componente COSO-ERM: Evaluación de Riesgo

• Determina riesgos a partir de dos

perspectivas: Probabilidad e

Impacto

• Entre las técnicas se utiliza

determinar riesgos y normalmente

también se utiliza medir los

objetivos relacionados

• En la evaluación de riesgos, la

gerencia considera eventos

previstos e inesperados

• Los riesgos inherentes y residuales

son evaluados

Permite que una entidad entienda el grado en el cual los eventos potenciales

pudieran afectar los objetivos del negocio

36


Es el riesgo en una organización en ausencia de acciones que podrían

alterar el impacto o la frecuencia de ocurrencia de ese riesgo

Es el riesgo que resulta después que la gerencia ha implantado

efectivamente acciones para mitigar el riesgo inherente

Riesgo Inherente

Riesgo Residual

37


• Los acontecimientos potenciales se evalúan a partir de dos

perspectivas: probabilidad e impacto

• En la determinación de impacto, la gerencia utiliza normalmente una

medida igual, o congruente según lo utilizado para el establecimiento

del objetivo

• El horizonte del tiempo usado para determinar riesgos debe ser

constante con el horizonte del tiempo de la estrategia y de los

objetivos

Estimar probabilidad e impacto

38

• Técnicas Cualitativas - Impacto Vs. Probabilidad

• Técnicas Semi-cuantitativa

- Se usa un análisis cualitativo asignando

valores monetarios al riesgo

• Técnicas Cuantitativas - Técnicas Probabilísticas

• Valor en Riesgo VaR

• Riesgo de Flujo de Caja

• Distribuciones de pérdidas

• Back-testing

- Técnicas no probabilísticas

• Análisis de sensibilidad

• Análisis de escenarios

• Benchmarking


Técnicas de evaluación

39


• Autoevaluación: Es el proceso en el cual las unidades funcionales de

la organización, de forma subjetiva, identifican los riesgos inherentes

a sus actividades, evalúan el nivel de control existente y determinan

los puntos de mejora que se deben realizar

• Talleres Grupales (Workshops)

• Cuestionarios

• Como resultado de la aplicación de cualquiera de esta técnicas se

obtiene el catálogo de riesgos, ponderando la probabilidad de

ocurrencia e impacto en los objetivos del negocio

Técnicas de evaluación: Cualitativas

Altamente probable

Posiblemente probable

Remotamente probable

Alto

Medio

Bajo

Probabilidad de ocurrencia Impacto

40

Riesgos Probabilidad Impacto

1 Multas por violaciones a las normas

2 Deterioro de imagen

3 Devaluación de la moneda mayor al 15%

4 Huelgas que afectan la respuestas a clientes

5 Morosidad de la cartera

6 Falla en la integridad de la información

7 Alta concentración (colocaciones en pocos

clientes)

8 Bajo retorno de la inversión



41

Distribución de riesgos de forma representativa, de acuerdo

con el nivel de exposición

Impacto

P

atr

imonia

l

Probabilidad de ocurrencia

Devaluación de la

moneda mayor al

15%

Falla en la integridad

de la información

Deterioro de imagen

Multas violaciones

ambientales y sanitarias

Morosidad de la

cartera Huelgas que afectan las

respuestas a clientes



42

Respuesta al riesgo


43

Las respuestas deben ser evaluadas en función de alcanzar el riesgo

residual alineado con los niveles de tolerancia al riesgo y pueden estar

enmarcadas en las siguientes categorías:

Componente COSO-ERM: Respuesta al riesgo

Evaluar posibles respuestas

Mitigar el Riesgo

Compartir el Riesgo

44

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring)

contra pérdidas

• Aceptar los riesgos de acuerdo a

los niveles de tolerancia de riesgo

Compartir el Riesgo • Compra de seguros contra pérdidas

inesperadas significativas

• Contratación de outsourcing para

procesos del negocio

• Compartir el riesgo con acuerdos

sindicales o contractuales con

clientes, proveedores u otros socios

de negocio

Mitigar el Riesgo • Fortalecimiento del control interno

en los procesos del negocio

• Diversificación de productos

• Establecimiento de límites a las

operaciones y monitoreo

• Reasignación de capital entre

unidades operativas

Evitar el Riesgo • Reducir la expansión de una línea

de productos a nuevos mercados

• Vender una división, unidad de

negocio o segmento geográfico

altamente riesgoso

• Dejar de producir un producto o

servicio altamente riesgoso


Evaluar posibles respuestas

45

• Los costos de diseñar e implantar una respuesta deben ser

considerados, así como los costos de mantenerla

• Los costos y los beneficios de la implantación de las respuestas al riesgo

pueden ser medidos cualitativa o cuantitativamente, típicamente la

unidad de medición es consistente con la utilizada en el establecimiento

de los objetivos y tolerancia al riesgo

• La gerencia debe considerar los riesgos adicionales que pueden resultar

de una respuesta, así como también las posibles oportunidades


Evaluar los costos versus beneficios de las respuestas

46

Actividades de Control


47

Componente COSO-ERM: Actividades de Control

Políticas y procedimientos que ayudan a la gerencia a asegurar que las

respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna

• Están presentes en todos los

niveles y áreas funcionales de la

organización para lograr los

objetivos del negocio

• Incluye un rango de actividades,

tales como:

- Aprobaciones

- Autorizaciones

- Verificaciones

- Conciliaciones

- Seguridad de los activos

- Desempeño de las operaciones

- Segregación de funciones

48


Políticas y procedimientos

• Las actividades de control usualmente involucran el establecimiento

de una política (lo que debe ser hecho) y los procedimientos para

ejecutar la política

• Cuando las políticas están formalmente documentadas pueden ser

implementadas amplia, consciente y consistentemente en toda la

organización

• Si se identifican desviaciones en el cumplimiento de las políticas y

procedimientos deben ser investigadas y tomar las acciones

correctivas

49

La selección de las actividades de control incluye:

• Considerar su relevancia y lo adecuado para responder ante el riesgo

• Cómo se interrelacionan con otras actividades de control y con los

objetivos de la entidad


Integración con las respuestas al riesgo

Respuesta: Reducir el riesgo mediante el análisis del

comportamiento histórico de los clientes y realizar investigaciones

de mercado

Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo

producto

Riesgo: Carencia de suficiente conocimiento de factores externos,

tales como necesidades potenciales de los clientes

Actividad de control: Monitorear el comportamiento de los clientes

mediante reportes mensuales y la validación de la data existente

50

Diferentes tipos de controles:


Tipo de Actividades de Control

Diseñados para detectar de forma rápida riesgos,

errores o incidentes

Controles

detectivos

Diseñados para evitar riesgos, errores o incidentes

antes de su ocurrencia

Controles

preventivos

Diseñados para remediar o reducir daños como

consecuencia de riesgos, errores o incidentes

ocurridos

Controles

correctivos

51

Información y comunicación


52

Componente COSO-ERM: Información y comunicación

• Los sistemas de información

deben apoyar la toma de

decisiones y la gestión de

riesgo (ERM)

• La gerencia debe enviar un

mensaje al personal

resaltando su responsabilidad

ante el ERM

• El personal debe entender su

rol en el ERM así como su

contribución individual en

relación con el trabajo de otros

La información relevante, debe ser identificada, capturada, procesada y

comunicada en la oportunidad y forma adecuada

53

• Estrategia y sistemas integrados

• Integración con las operaciones

• Profundidad y puntualidad de la información

• Calidad de la información

• Se puede obtener de fuentes internas y externas


Información

Uso de Sistemas Integrados SAP, Peoplesoft, JD Edwards.

Disponibilidad de consultas vía Intranet o Internet

Revisión de información histórica vs. actual

54


• La comunicación interna debe proveer al personal y a la organización

en relación al ERM:

- Un lenguaje común de riesgo

- La importancia y relevancia del ERM

- Los objetivos de la organización

- El apetito de riesgo y la tolerancia al riesgo de la organización

- Los roles y responsabilidades del personal y sus funciones de apoyo a la

gestión de riesgos

- Los comportamientos aceptables y no aceptables son claramente

transmitidos al personal

- Existencia de canales de comunicación internos y externos

• Los canales de comunicación externos (ejemplo: proveedores,

consumidores y reguladores) proveen información necesaria para

mejorar la calidad de productos y servicios, así como anticiparse a las

tendencias de mercado, problemas u oportunidades

Comunicación

55


• Creación de Comités de atención de reclamos o de calidad

• Convenciones internas de ventas y conferencias de resultados del

negocio

• Líneas internas de denuncias anónimas y políticas de “whistleblower”

• Carteleras, publicaciones, e-mails informativos

• Independencia de funciones

• Lineamientos de interacción con la alta gerencia y junta directiva

• Interacción y definición de canales para compartir información del

Back y Front-Office

Comunicación

56

Monitoreo


57

Componente COSO-ERM: Monitoreo

La eficacia de los otros

componentes del ERM se

sigue mediante:

- Actividades de

supervisión continua

- Evaluaciones separadas

El ERM es monitoreado, evaluando la presencia y funcionamientos de sus

componentes a lo largo del tiempo

58

• Se realizan normal y recurrentemente en cada

una de las actividades de la organización

• Son ejecutadas sobre la base de un esquema de

tiempo real

• Son más efectivas que las evaluaciones

separadas, lo cual hace que el monitoreo

continuo pueda identificar rápidamente cualquier

desviación


Actividades de supervisión continua

59

• Se enfocan directamente a la efectividad del

ERM y las actividades de supervisión continua

• El responsable de la evaluación debe entender

las actividades de la entidad y de cada

componente del ERM evaluado

• Se debe corroborar el diseño del ERM y los

resultados de las pruebas realizadas contra los

indicadores establecidos inicialmente por la

gerencia


Evaluaciones separadas

60

• Autoevaluación de las

áreas de la

organización

• Evaluaciones de

auditoría interna

• Evaluaciones de

auditoría externa


Evaluaciones separadas

Ger Auditoría

Interna

Riesgos

Financieros

Riesgos

Tecnológicos

Riesgos

de Fraude

Riesgos de

Manufactura

Riesgos

Seguridad

Lógica

Riesgos

Regulatorios

Riesgos de

Seguridad de

Información

Riesgos de

Reputación

CONCLUSIONES Y/O ACTIVIDADES DE

INVESTIGACIÓN SUGERIDAS

GRACIAS

semana 3 coso erm

Documents