COSO Control Interno: Cómo mejorar la rendición de cuentas racionalizando controles en la organización

Transcripción

1 Convención Bancaria 2015 Asociación Bancaria de Panamá COSO Control Interno: Cómo mejorar la rendición de cuentas racionalizando controles en la organización 23 de julio de 2015 Expositor: Bismark Rodriguez CIA CFSA CCSA CRMA CPC PAG Socio Servicios Financieros (FSO) Región Norte LATAM

2 Contenido I. Marco para la transformación II. COSO y la rendición de Cuentas: Enfoque GRC Ideas para abordar el tema III. Recomendaciones Encuesta GRC de EY IV.Conclusiones V. Q&A Page 2

3 Page 3 Marco para la transformación

4 Otros índices y ratings en el mundo Aegis Governance Risk Score basado en el nivel de corrupción, marco regulatorio, calidad de supervisión, gobierno corporativo, LD, trabajo infantil, derechos humanos, trafico de personas y flexibilidad laboral (Aegis Advisory s ASTRA Strategic Risk Profiling Service) Corruption Perception Index clasifica a los países basados en la percepción de corrupción en el sector publico (Transparencia Internacional) Regulatory Quality Percentile clasifica la percepción de la capacidad del gobierno para formular e implementar solidas políticas y regulaciones que permitan y promuevan el desarrollo del sector privado (Worldwide Governance Indicators) Financial Standards Index mide la efectividad de la regulación y supervisión bancaria (estandardsforum) Page 4

5 Reportes sobre corrupción y transparencia en LATAM Page 5

6 Cambiar rápidamente el panorama de negocios y cambiar rápidamente el perfil del control interno * Compañías 2006/ / /2020 en adelante Las empresas con mejores desempeños se enfocaron en: Cumplir, invertir y crecer * Relativamente la misma línea de tendencia para FTSE, DOW, Russell 3000, CAC, DAX, NIKKEI, HANG SENG La gestión de riesgos gastó mucho pero no se protegió de la baja en los valores Sobrevivir y redirigir Alcance de mercado Agilidad operativa Competitividad de costos Confianza de las partes interesadas Gestión de riesgos Transformar y prosperar Los fracasos empresariales provocaron mayor supervisión reglamentaria La regulación SOX en el control interno sobre los informes financieros La recesión después del 2001 con el enfoque principal en alejarse de problemas El tambaleante mercado global condujo a reducciones de costos y cambios en el modelo de negocio Falta de liquidez y acceso a capital Valor del esfuerzo de control y los gastos desafiados Cambio de la gestión de riesgo financiero a gestión de riesgo estratégico y operacional Recuperación del mercado y nuevos mercados emergentes Expansión y crecimiento con capital limitado Cumplimiento con las nuevas regulaciones La recesión después del 2010 con el enfoque principal en mejorar el negocio Alineación de la gestión de riesgos con los cambios en el modelo de negocios y los mercados emergentes Page 6

7 Tendencias en materia de riesgos y regulaciones en el Sector Financiero Tendencias del Sector Digitalización Costo y eficiencia Excelencia en servicio a clientes Data empresarial de calidad Presión regulatoria. Dollar Info Entorno Modificaciones en las regulaciones de gestión de riesgos y gobierno corporativo Yen Info Transformación constante La entidad se encuentra inmerso en profundos cambios organizacionales que lo dirigen a una transformación de su negocio Info Euro Info Pounds 2015 La agenda regulatoria presiona la agenda de las entidades financieras. Respuesta La respuesta de Ejecutivos en posiciones de Prevención y Control debe alinearse a la estrategia de transformación del banco Agenda regulatoria: Condición financiera: Liquidez y mercado / Mejorado Gobierno Corporativo / Cumplimiento AML / Conducta apropiada Clave Expansión a nuevos mercados Adquisición o desinversión Desarrollo de plataformas sociales y móviles Transformación de la función de finanzas Page 7

8 Ambiente actual en relación a procesos GRC 1. Regulaciones nuevas y existentes (GC, PBC, Crédito, otros) 2. Roles y responsabilidades a nivel de JD, Administración y áreas de prevención y control 3. Reforzamiento del tema ético y prácticas anti-fraude 4. Necesidad de reforzar la estructura organizacional 5. Automatización y optimización de procesos y controles 6. Riesgos en la tercerización de servicios 7. Requerimientos versus expectativas de las partes interesadas 8. Cobertura de los riesgos de la entidad 9. Reportería interna y externa 10. Cultura de control y riesgo institucional Condiciones de Cambios Continuos Expectativas sobre la vigilancia del GC Globalización de mercado y operaciones Cambio en los modelos de negocio Demanda y complejidad de reglas, regulaciones y normas. Expectativas sobre competencias y responsabilidades Uso y confianza en tecnología avanzada Expectativas sobre la prevención y detección de fraude Page 8

9 Principios de Control Interno Relación con la rendición de cuentas Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Actividades de Monitoreo Demostrar compromiso con la integridad y valores éticos Especificar los objetivos relevantes Selección y desarrollo de actividades de control Uso de información relevante Conducir evaluaciones continuas o separadas Ejercitar vigilancia sobre la responsabilidad Identificación y analizar riesgos Selección y desarrollo de controles generales de IT Comunicación interna Evaluar y comunicar deficiencias Establecer estructura, responsabilidad y autoridad Evaluación de riesgos de fraude Alinear a través de políticas y procedimientos Comunicación externa Demostrar compromiso con la competencia Identificación y análisis de cambios significativos Exigir la rendición de cuentas Page 9

10 Relevancia incrementada de la tecnología Rendición de cuentas Reportes internos Reportes externos Confiabilidad Oportunidad Transparencia Disponibilidad Selecciona y desarrolla los controles generales sobre la tecnología Principales riesgos asociados a la seguridad cibernética Infraestructura y recursos tecnológico Estructura COSO 2013 Alienación con CobIT Principales riesgos asociados a la Cloud computing Principales riesgos asociados a la informática móvil Principales riesgos asociados a la gestión de riesgo de terceros Page 10

11 Implicaciones de COSO 2013 en la estructura de Gobierno, Riesgos y Cumplimiento (GRC) Estado actual Objetivos actualizados COSO s Internal Control Integrated Framework (1992 Edition) Reflejar los cambios significativos en el ambiente de negocio y sus riesgos asociados Codificar los criterios a utilizar en el desarrollo y la evaluación de los sistemas de control interno Enfoque en las operaciones, el cumplimiento y los objetivos de información no financieros Mejoras Actualiza el contexto Principios Punto Focal Amplia los requerimientos Estado futuro Sistema GRC Institucional Page 11

12 Impulsores clave para asegurar la rendición de cuentas usando COSO Nuestro punto de vista 1. Asegurar la consistencia y factibilidad de un marco de referencia institucional 2. Cambiar comportamientos de forma sostenible 3. Modelo de líneas de defensa debe ser eficiente y lo menos costoso posible 4. Integrar la visión de riesgos, procesos y controles 5. Justificar la inversión con análisis sustentados 10 Acciones a tomar 1. Definir visión y propuesta de valor del marco de referencia 2. Construir una taxonomía de políticas, procesos, riesgos y controles comunes 3. Definir cuales son los estándares de cultura de control y riesgos 4. Identificar brechas e implementar planes de acción 5. Definir línea base de roles y funciones equilibradas 6. Identificar áreas de reducción o evasión de costos ocultos 7. Establecer controles a nivel de Consejo y Alta Gerencia 8. Utilizar una infraestructura común e identificar sinergias para alinear áreas de prevención y control 9. Re-definir el modelo de gobierno corporativo 10. Enfocarse en la estrategia de tratamiento a los riesgos El reto debe ser sentar los fundamentos para ir mejorando la ejecución de la función de áreas GRC e ir optimizando el control interno y la administración de riesgos Page 12

13 Page 13 COSO y la rendición de Cuentas

14 Rindiendo cuentas en un ambiente organizacional como este? Fuente: OCEG / Page 14

15 Cómo su organización ha adoptado el modelo de las tres líneas de defensa? Comités como forma de cumplir con las nuevas responsabilidades de la Junta Directiva Los tres pilares fundamentales: Comités de Auditoría, Riesgo y Cumplimiento. Deben ser complementados por la Administración Estructura de Gobierno Corporativo, Junta Directiva, Comités de JD Alta Administración 1ra. línea de defensa Sistemas de Control Gerenciales Indicadores Alertas KRI KPI Medidas de Control 2da. línea de defensa Controles Financieros Seguridad Gestión de Riesgos Calidad Cumplimiento 3ra. línea de defensa Auditoría Interna Auditores Externos Reguladores Fuente: The Institute of Internal Auditors / Page 15

16 Rendir cuentas y transicionar a un modelo GRC alineado con COSO Un enfoque GRC alineado a COSO contribuye a: 1. Alcanzar objetivos estratégicos 2. Mejorar la cultura organizacional 3. Entender expectativas de partes interesadas y ofrecer respuestas 4. Manejar el cambio y proteger la estructura organizacional 5. Responder ante la adversidad 6. Promover conductas acorde con los valores de la organización 7. Alcanzar mayor niveles de eficiencia 8. Mejorar la propuesta de valor Fuente: OCEG / Page 16

17 Qué es el GRC? Es una capacidad que habilita una organización para el logro confiable de objetivos, gestionando la incertidumbre y actuando con integridad. Un sistema que garantiza una mejor rendición de cuentas. Combinado con los principios COSO garantiza un mejor proceso de reporte interno y externo Page 17

18 Cultura de riesgo y controles Atributos de una fuerte cultura de riesgos: Liderazgo: El tono al nivel medio de la gestión está alineado con el tono al nivel superior para establecer las conductas de riesgos deseadas. Organización: Los modelos de gobierno y de negocios apoyan la entrega de las conductas de riesgo deseadas y permiten una fuerte responsabilidad y desafío efectivo. Marco de riesgos y controles: El marco de gestión de riesgos está integrado en la forma en que la empresa gestiona el riesgo y habilita el desafío efectivo. Incentivos: El ciclo de vida de los empleados y los incentivos apoyan la entrega de las conductas de gestión de riesgos deseadas. 8 COMPONENTES INTEGRADOS Monitorear & Medir Responder & Resolver Organizar & vigilar INFORMAR E INTEGRAR Detectar & Discernir Fuente: OCEG / Evaluar & Alinear Prevenir & Promover Page 18

19 Cuál es enfoque para mejorar controles y procesos y agregar valor? Equilibrar el valor, el costo y el riesgo en sus procesos y controles le ayuda a las empresas a crear una ventaja competitiva Ajustarse a la estrategia Acelerar la ejecución del proceso Transformación de controles Reducir el gasto de controles Mejorar la rendición de cuentas sobre los riesgos Un entorno de control integrado, simplificado y dinámico que proporciona agilidad para anticipar y responder a los cambios En cuanto ha contribuido la auditoría interna a racionalizar controles, mejorar la rendición de cuenta y la ejecución y; finalmente, cómo se ha alineado con la estrategia del negocio Page 19

20 Estado evolutivo de los controles Estado actual de los controles Cumplir con los requisitos normativos Futuro estado Aprovechar el control interno para una ventaja estratégica Modelo COSO 2013 Modelo COSO 2013 Monitoreo Información y comunicación Actividades de control Evaluación de riesgos Ambiente de control Monitoreo Información y comunicación Actividades de control Evaluación de riesgos Ambiente de control Actividades de control diseñadas y aplicadas a todo tipo de riesgos tipos de riesgos Estratégico Operativo Financiero Cumplimien to Automatizado Manual Dependiente de TI Detectar Prevenir Automatizado Manual Dependiente de TI tipos de riesgos Financiero Cumplimiento Operativo Estratégico Prevenir Detectar Las empresas están gastando de más en controles por al menos un 30% Las empresas están muy controladas en cuanto a los riesgos financieros y al cumplimiento Las empresas no están aprovechando completamente los controles automatizados Las empresas están haciendo un uso limitado del monitoreo continuo y el análisis de datos Los controles no están bien alineados con los riegos que importan Transformar el entorno de controles para proporcionar cobertura a todos los tipos de riesgos (financieros, de cumplimiento, operacionales y estratégicos) le ayudará a su organización: Disminuir los costos de control Agilizar la toma de decisiones Aumentar la velocidad de ejecución del proceso; y Alinear los riesgos y controles con los objetivos estratégicos Page 20

21 Retos y oportunidades Retos principales de la estructura actual Múltiples líneas de reportes Requerida flexibilidad para responder a demandas Duplicidad Incompatibilidad Requerimientos legales / estatutarios Oportunidades a la vista Racionalizar relaciones de reporte Alineación con la estrategia Estructura práctica y funcional Eliminar inconsistencias Continuidad de la gestión Page 21

22 Modelo de gestión de controles: aterrizando GRC Page 22 Presentation title

23 Page 23 Recomendaciones Encuesta global GRC 2015 de EY

24 GRC y conciencia de riesgos Pensamiento estratégico Rendir cuentas Fomentar Identificar y evaluar los riesgos que impactan la estrategia de negocios Diseñar la respuesta a los riesgos para reducir la desventaja y aprovechar la posibilidad de ventajas Optimizar Alinear óptimamente las funciones para ejecutar los planes/estrategia de respuesta ante riesgos de la organización Desarrollar procesos de riesgo para facilitar una mejor coordinación, comunicación y presentación de informes Integrar Diseñar soluciones que prevengan, equilibren o limiten los riesgos Implementar tecnologías para ejecutar efectivamente y reportar sobre el desempeño Page 24

25 Mejorar la rendición de cuentas mediante: 1. Acoger una practica de riesgos y control basada en el desempeño estratégico 2. Alinear áreas de prevención y control: Auditoría Interna, Gestión de Riesgos, Cumplimiento 3. Transformar dichas áreas y aprovechar recursos comunes 4. Automatizar procesos GRC y ampliar el alcance 5. Identificar los riesgos emergentes y entenderlos desde una perspectiva estratégica 6. Entender cómo la digitalización afecta el sistema GRC y alinear a la estrategia 7. Convertir a las áreas de prevención y control en socios del negocio asegurando que todo se haga con la calidad y trasparencia que requiere el mercado Page 25

26 Q&A Page 26

27 Más información Lea nuestro reporte: There s no reward without risk en: Para mayor información en materia GRC a, por favor acceda a nuestras publicaciones con la serie Insights on governance, risk and compliance en esta liga: Para discutir más sobre este estudio contacte a nuestro Socio Líder de Riesgos para Centro-América, Caribe y Venezuela o al equipo ejecutivo de FSO Risk Region Norte. Page 27

28 Sobre Risk Advisory para Servicios Financieros Los servicios de riesgos y regulaciones de EY cubren una amplia gama de servicios relacionados con: Gestión de Riesgos Financieros (Crédito, Mercado, Liquidez, Operacional) Gobierno Corporativo y Prevención de blanqueo de capitales y fraude financiero Procesos y Controles Riesgos tecnológicos y seguridad de TI Auditoría Interna Gestión de la Continuidad Contactos: Bismark Rodriguez Partner - Regional Leader Risk Practice Bismark.Rodriguez@pa.ey.com Cesar Novo Director - ITRA Cesar.Novo@do.ey.com Marelvys Hincapié Senior Manager - Process & Control Marelvys.Hincapie@pa.ey.com Leonidas Rey Senior Manager - Financial Risk Management Leonidas.Rey@cr.ey.com Elimar Villarroel Senior Manager - FATCA & AML Elimar.Villarroel@ve.ey.com Julio de la Espada FATCA Reporting & IT Solutions Julio.de-la-Espada@pa.ey.com Cesar Clavel Manager - IT Security & Resiliency Cesar.Clavel@pa.ey.com Suhhel Nunez Manager Process & Control - Regulations Suhhel.Nunez@pa.ey.com Page 28

29 Ernst & Young Assurance l Tax l Transactions l Advisory Acerca de Ernst & Young Ernst & Young es un líder global en servicios de auditoría, impuestos, transacciones y servicios de asesoramiento. En todo el mundo, los colaboradores compartimos la firmeza en nuestros valores y un compromiso con la calidad. Hacemos la diferencia ayudando a nuestra gente, nuestros clientes y nuestras comunidades a alcanzar su potencial. Ernst & Young se refiere a la organización global de firmas miembro conocidas como Ernst & Young Global Limited, en la gue cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited, compañía del Reino Unido limitada por garantía, no provee servicios a clientes. Más información en E&Y Central America Inc. Todos los derechos reservados. La información contenida en este documento es presentado para fines ilustrativos y académicos en el marco de la Convención Bancaria organizada por la Asociación Bancaria de Panamá. Esta presentación no representa una consultoría o asesoría no es suficiente para la toma de decisiones en una organización.