Nuevo enfoque de la administración del riesgo y su impacto en la auditoría interna. Paula Alvarez Agosto 2011

Transcripción

1 Nuevo enfoque de la administración del riesgo y su impacto en la auditoría interna Paula Alvarez Agosto 2011

2 Agenda Introducción Nuevo enfoque de administración de riesgos El rol de Auditoría Interna en la administración de riesgos Conclusión

3 Por qué las compañías están tan interesadas en la gestión de Riesgos? La administración de Riesgos ha salido como #1 ranking de principales temas para directores en el 2011, fuente: estudio global de Deloitte. Terremotos, Tsunamis, Crisis nuclear en Japón Las pérdidas medias combinadas por fraude en los últimos tres años por empresa encuestada ascendieron a millones de dólares Caída abrupta de las bolsas mundiales 25% sufrieron robos, pérdidas o ataques de información 21% no han cumplido con las normas y/o cumplimiento Escándalos financieros, Enron, Parmalat, WorldCom 23% han sido objeto de conflictos de intereses en la dirección 20% sufrieron de fraudes con proveedores 19% han sido parte de corrupción y soborno 18% sufrieron fraude interno 38% han sufrido de robo de activos materiales o existencias Crisis financiera US, Europa Derrame de petróleo BP 21% han sufrido de mala gestión financiera Nuevas regulaciones, locales y mundiales

4 Por qué las compañías están tan interesadas en la gestión de Riesgos? 1. Pérdida de reputación y aumento de obligaciones 2. Desafíos para la regulación de negocios 3. Responsabilidad con terceros y conciencia profesional 4. Cambios en la industria/sector 5. Participación de accionistas e inversionistas 6. Incertidumbre del mercado 7. Posible extinción o fracaso de la empresa 8. Gravedad de pérdidas no anticipadas 9. Velocidad de impacto 10. Normas y regulaciones 11. Costo por el cumplimiento / no cumplimiento

5 Nuevo enfoque: cultura y gestión inteligente frente al riesgo

6 Nueve principios de la gestión inteligente frente al riesgo Risk Intelligent Enterprise Definición común de Riesgos Framework común de Riesgos Oversight Roles y Responsabilidades Responsabilidad de los Órganos de Gobierno Gobierno de Riesgo Foco puesto en el más alto nivel Directorio Infraestructura común de Riesgos Responsabilidad de la Gerencia Objetivos de Aseguramiento y Monitoreo Infraestructura y Management del Riesgo Infraestructura Común de Riesgos Personas Procesos Tecnología Gerencia Procesos de Riesgos Responsabilidad de las Unidades de Negocio Soporte de las funciones de soporte Ownership de Riesgos Identificar Riesgos Analizar y Evaluar Riesgos Integrar Riesgos Responder a los Riesgos Clases de Riesgos Diseñar, Implementar y testear controles Monitorear, Asegurar y Escalar Unidades de Negocio y Funciones de Soporte Gobierno Estrategia y Planeamiento Operaciones/ Infraestructura Compliance Reporting

7 Gestión Inteligente de riesgos en la empresa Cuenta con prácticas de administración de riesgos inmersas en la cultura corporativa. Enfoque Proactivo. Procesos sostenibles. Capacidad sistemática para identificar, medir y responder a los riesgos de manera efectiva y eficiente. Dueños de los procesos conocen su responsabilidad por identificar y gestionar sus riesgos. Comprende y gestiona el espectro completo de los riesgos. Establece una clara vinculación del riesgo con la generación de valor.

8 Modelo de Madurez De acuerdo con el enfoque aplicado y el tipo de Entidad podemos encontrar diferentes niveles de madurez del Risk Intelligent Enterprise: Sistemático Inteligencia de Riesgos Inicial El Riesgo se gestiona mediante capacidades individuales o heroicas. Silos Riesgos definidos de diferente manera a diferentes niveles en diferentes partes de la organización. Enfoque limitado de los vínculos entre los riesgos. Funciones de reporte y monitoreo dispares. Top - Down Identificación del universo de riesgos. Enfoque de respuesta al riesgo elaborado y aprobado. Evaluación de riesgos en toda la organización Planes de acción implementados en respuesta a los riesgos de alta prioridad. Comunicación de los riesgos estratégicos al equipo directivo. Actividades de gestión de riesgo coordinadas entre las área de negocio. Herramientas de análisis de riesgos desarrolladas y comunicadas. Monitoreo, medición y reporte de riesgos. Planeamiento de escenarios. Riesgos de oportunidad explotados. Procesos de evaluación de riesgos en marcha. Discusión de riesgos sobre la base del planeamiento estratégico, ubicación del capital, desarrollo de productos, etc. Sistema de alarma temprana para notificar al directorio y a la gerencia de riesgos por encima del umbral establecido. Vinculación con las medidas de desempeño e incentivos. Modelado de riesgos. Riesgo no recompensado Riesgo recompensado

9 Roles y Responsabilidades Presidencia y Directorio Deben rendir cuentas (accountability) con respecto a la gestión de riesgos. CRO & Comité de Riesgos Monitoreo de la gestión empresarial del riesgo inteligente Establecimiento de políticas, niveles de tolerancia-apetito al riesgo y principios de gobierno. Áreas de negocio / Gerencias Gestión de riesgos Identificación de riesgos Autoevaluación de Riesgos Estrategias y acciones para mitigar los riesgos Asegurar el cumplimiento políticas y procedimientos para la gestión de riesgos Proveer aseveraciones ante un posible riesgo. Organización de Administración de Riesgos Soporte de CRO, Comité de Riesgos, áreas de negocio y directorio Implementación de políticas, principios de gobierno y niveles de tolerancia Metodología de evaluación de riesgos Medición, control y reporte Monitoreo del estatus de exposición al riesgo y reporte al directorio. Auditoria Interna Seguridad independiente Verificación periódica de controles y cumplimiento. Revisión objetiva del proceso de gestión riesgos Aseguramiento Independiente para la Gerencia y Directorio con respecto a la exposiciones de riesgo.

10 Rol de la gerencia Se responsabiliza por: 1. Evaluar el riesgo inherente. 2. Evaluar la efectividad de la mitigación de riesgos y los controles. 3. Determinar el riesgo residual. 4. Determinar si tal exposición está dentro de los límites que la compañía desea asumir. 5. Dar seguridad razonable al Directorio en cuanto a que los controles son al mismo tiempo efectivos y eficientes para manejar la exposición. Auditoría Interna se encarga de garantizar la confianza en los informes de la administración y/o asesorar sobre riesgos y los controles

11 Impacto de riesgo en valor RIESGO INHERENTE Desarrollo de planes de acción A Seguridad S R Prevenir Detectar Corregir Escalar Mejorar la mitigación de riesgos M IA Redistribución de recursos Medir el impacto acumulado B Vulnerabilidad RIESGO RESIDUAL A

12 El rol de Auditoria Interna en la administración de riesgos

13 Rol de Auditoría Interna en ERM según Instituto de Auditores Internos Roles principales de auditoría interna en lo que respecta a ERM Fuente: position paper IIA Roles legítimos de auditoría interna con salvaguardas Roles que auditoría interna no debería realizar

14 Cuál es el Rol del Director de Auditoria Interna? Conocer los objetivos de valor y crecimiento de sus compañías. Ayudar a evaluar la eficiencia y efectividad con que las actividades y funciones del negocio comparten y administran la información de riesgos. Ayudar a mejorar la capacidad de la empresa para prevenir, detectar y corregir los problemas críticos de riesgos. Centrar y dirigir las actividades de auditoría interna y otras funciones que participan en la administración de riesgos para tener un enfoque integral

15 Cuál es el Rol del Director de Auditoria Interna? Identificación y evaluación de riesgos relevantes en toda la empresa, para asesorar a la administración en dar respuestas apropiadas a los riesgos. Informar al Directorio sobre los riesgos consolidados y las respuestas de la administración. Catalizador y facilitador, para que desarrollen un lenguaje de riesgos común. Orientar y garantizar que el riesgo se está manejando debida y eficientemente dentro de los límites establecidos. El plan de auditoría interna debe ser un plan basado en riesgos.

16 Límites del Rol del Director de Auditoria Interna No debe fijar el tipo y el límite de los riesgos que una empresa desee asumir; esto deben decidirlo la alta dirección y el Directorio. No debe imponer los procesos de administración de riesgos. No debe asumir el rol de la Alta Gerencia de dar Seguridad en cuanto a los riesgos. No puede tomar decisiones en cuanto a las respuestas a los riesgos, aunque sí ofrecer recomendaciones. No debe asumir la responsabilidad por la administración de riesgos.

17 Realidad hoy en el Peru Supervisión de riesgos Fuente: Deloitte Perú, Agosto Encuesta auditoría interna mas de 60 compañías en el Peru

18 Conclusión La administración de riesgos hoy es un concepto mucho más amplio de lo que era años atrás. Involucra a toda la compañía. Incluye un cambio cultural hacia una gestión riesgo inteligente. Esta cercanamente relacionada a la función de auditoría interna en su rol de aseguramiento y como facilitador en ciertas áreas.

19 Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio web Deloitte Touche Tohmatsu