AUDITORIA INTERNA UNA ALTERNATIVA PARA GENERAR NEGOCIOS. Amory González DFK Guatemala. Conferencia Latinoamericana DFK Panamá, Septiembre 2011

Transcripción

1 AUDITORIA INTERNA UNA ALTERNATIVA PARA GENERAR NEGOCIOS Amory González DFK Guatemala Conferencia Latinoamericana DFK Panamá, Septiembre 2011

2 La auditoría interna es una disciplina con orientación gerencial que ha evolucionado rápidamente. Anteriormente era una función concerniente principalmente a asuntos financieros y contables, ahora la auditoría interna abarca el rango completo de actividades operativas y lleva a cabo una amplia variedad de servicios de aseguramiento y consulta

3 El desarrollo de la auditoría interna fue fomentado por: El creciente tamaño y descentralización de las organizaciones. La gran complejidad y sofisticación tecnológica de sus operaciones. La necesidad de contar con medios independientes y objetivos de evaluar y mejorar sus procesos de administración de riesgo, control, y gobierno.

4 Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgo, control y gobierno.

5 Antecedentes - COSO

6 Antecedentes y acontecimientos que condujeron a COSO: Watergate 1977 Foreing Corrupt Practices Act, de La Comision Cohen 1979 Securities and Exchange Commission (SEC) 1979 Comité de Minahan 1980 Financial Executives Research Foundation (FERF) AICPA (Desarrollo y Perfeccionamiento)

7 COMMITTE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION Qué significa COSO? Son las siglas en Inglés de la Comisión creada en 1985, con el objetivo principal de identificar los factores causantes de información financiera fraudulenta y emitir recomendaciones para reducir su incidencia; también conocida como The National Commission on Fraudulent Financial Reporting.

8 1985 Se crea La Comisión Treadway con el patrocinio de: 1987 La comisión Treadway publica un informe en el que pidió que las organizaciones patrocinadoras trabajaran juntas con el fin de integrar los diversos conceptos y definiciones relacionadas con el Control Interno y desarrollar una base común de referencia La redacción del informe fue encomendad a Coopers & Lybrand. American Institute of Certified Public Accountants American Accounting Association Financial Executive Institute 1992 La comisión emite el documento denominado Framework Internal Control Integrated (Marco Integral de Control Interno), el cual desarrolla con mayor amplitud el enfoque moderno de Control Interno en el documento conocido como el Informe COSO. The Institute Of Internal Auditors Institute Of Management Accountants

9 CONTROL INTERNO (Definición): Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos, dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables.

10 PARTES DEL NUEVO CONCEPTO DE CONTROL INTERNO:

11 Antecedentes ERM Debido al aumento de preocupaciones por la administración de riesgos, The Committe of Sponsoring Organizations of the Treadway Commission determina la necesidad de la existencia de un marco reconocido de administración integral de riesgos. En enero de 2001 inició el proyecto, con el objetivo de desarrollar un marco global para evaluar y mejorar el proceso de administración de riegos, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgo. En septiembre de 2004 se publica el informe denominado Enterprise Risk Management Integrated Framework, (Administración de Riesgo Corporativo Marco Integrado), el cual incluye el marco global para la administración integral de riesgos (este marco incluye el Control Interno, por lo que en ningún caso lo reemplaza).

12 ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIÓN DE EVENTOS EVALUACIÓN DE RIESGO RESPUESTA AL RIESGO ACTIVIDADES DE CONTROL INFORMACIÓN Y COMUNICACIÓN MONITOREO

13 Una premisa implícita en ERM es que cada entidad existe para generar valor para sus grupos de interés. - Maximizar Valor + Impide la creación del valor o erosiona el valor existente Factores Externos Estrategia Negocio Incertidumbre Eventos Stakeholders Factores Internos Refuerzan la creación de valor o su conservación Riesgo Oportunidad Impacto negativo s/objetivos Impacto positivo s/ objetivos

14 EVENTOS - RIESGOS Y OPORTUNIDADES Qué es un evento? Incidente o acontecimiento, derivado de fuentes internas o externas, que afectan a la implantación de la estrategia o la consecución de objetivos. Puede tener un impacto positivo, negativo o de ambos tipos a la vez. Factores Externos - Riesgo: Impacto negativo s/objetivo Eventos Factores Internos + Oportunidad impacto positivo s/objetivo Los eventos abarcan desde lo obvio a lo desconocido, desde lo inconsecuente a lo muy significativo.

15 .Valor Las decisiones de la dirección en todas sus actividades, desde el establecimiento de la estrategia hasta las operaciones cotidianas de la empresa, concluyen en: Crear valor Conservar valor Erosionar valor El valor se maximiza cuando la dirección establece una estrategia y objetivos que consiguen equilibrio óptimo entre las metas de crecimiento, rentabilidad y los riesgos asociados, y utiliza eficiente y efectivamente los recursos a fin de alcanzar los objetivos de la entidad.

16 ERM - Definición La Administración de Riesgo Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicado en la definición de la estrategia y en toda la entidad, diseñado para identificar eventos potenciales que puedan afectar a la organización y administrar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable sobre la consecución de los objetivos de la entidad. Administracion de Riesgo Corporativo Marco Integrado Diciembre 2005.

17 Un proceso: No es estática, sino mas bien un intercambio continuo de acciones que fluyen por toda la entidad. Acciones que se difunden y están implícitas en la forma como la dirección lleva el negocio. Realizado por personas: Son las personas de la organización, mediante lo que hacen y dicen quienes la hacen realidad. Las personas establecen la misión, estrategia y objetivos de la entidad. Aplicado al establecimiento de la estrategia: Se aplica durante el proceso del establecimiento de la estrategia en el que la administración contempla los riesgos relacionados con las estrategias alternativas. Aplicado en toda la empresa: Debe considerar toda la gama de sus actividades en los diferentes niveles de la organización

18 Riesgo Aceptado (Risk Appetite): Es el volumen de riesgo, a un nivel amplio que una entidad esta dispuesta a aceptar en su búsqueda de valor. Refleja la filosofía de la administración del riesgo de la entidad e influye en su cultura y estilo operativo. Proporciona seguridad razonable: Refleja la idea de que la incertidumbre y el riesgo están relacionados con el futuro, que nadie puede predecir con precisión y no implica que ERM fracase con mucha frecuencia. Consecución de objetivos: Dentro del contexto de la misión establecida la dirección fija objetivos estratégicos, operativos, de reporte y cumplimiento.

19 Características de un Equipo de Alto Desempeño Las Herramientas para la Cooperación 6 Excelente Comunicación 1 La razón para Cooperar Objetivo Común 2 Roles apropiados La Estrategia para Cooperar El Clima para la cooperación 5 3 Relaciones Sólidas Liderazgo Aceptado 3 El Efecto secundario El Proceso para la Cooperación 4 Planes y Métodos Efectivos La Estructura para Cooperar

20 Cómo funcionamos en nuestra organización? Disposición para cooperar Habilidad para cooperar

21 CONSECUCION DE OBJETIVOS El marco integrado de ERM establece 4 categorías de objetivos de una entidad: Objetivos de alto nivel, alineado con la misión de la entidad. Relativos al uso efectivo y eficiente de los recursos. Relativos a la confiabilidad de los informes de la entidad. Relativos al cumplimiento por la entidad de las leyes y regulaciones.

22 Componentes de la Administración de Riesgo Corporativo. ERM consta de 8 componentes interrelacionados, derivados de la manera como la dirección lleva el negocio, que se integran en el proceso de administración, así: Actividades primarias de la gestión de riesgo Dirección y Soporte

23 Componentes de la Administración de Riesgo Corporativo. Ambiente Interno: Filosofia de la administración de riesgo - Cultura de Riesgo Consejo de Administración/Dirección - Integridad y valores éticos Compromiso de Competencia - Estructura Organizacional Asignación de Autoridad y Responsabilidad Humanos. - Políticas de Recursos Establecimiento de Objetivos: Definición de Objetivos -Objetivos Estratégicos Objetivos Relacionados - Objetivos Seleccionados Reisgo Aceptado - Tolerancia al Riesgo Identificacion de Eventos: Eventos - Factores de Influencia - Técnicas de Identificación de Eventos, - Eventos Interdependientes - Categoría de Eventos Distinción entre riesgos y oportunidades Evaluacion de Riesgos: Riesgo inherente y residual - Establecimiento de Probabilidad e impacto - Fuentes de datos - Técnicas de evaluación Correlación entre eventos

24 Respuesta al Riesgo: Evaluación de Posibles Respuestas al Riesgo Seleción de Respuestas Perspectiva de Portafolio Actividades de Control: Integración de la respuesta al riesgo Tipos de Actividades de Control - Políticas y procedimientos Controles sobre los sistemas de información Controles específicos de la entidad Información y comunicación Información y comunicación Calidad de la información Comunicación interna y externa Medios de Comunicación Monitoreo: Actividades permanentes de monitoreo Evaluaciones independientes Comunicación de deficiencias Componentes de la Administración de Riesgo Corporativo.

25 Relación entre Objetivos y componentes ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIÓN DE EVENTOS EVALUACIÓN DE RIESGO RESPUESTA AL RIESGO ACTIVIDADES DE CONTROL INFORMACIÓN Y COMUNICACIÓN MONITOREO

26 EFECTIVIDAD Cuando se determina que ERM es efectiva, el Consejo de Administración y la Dirección tendrán seguridad razonable de que conocen: El grado de consecución de los objetivos estratégicos de la entidad. El grado de consecución de los objetivos operativos de la entidad. Que el reporte de la entidad es confiable. Que se cumplen las leyes y regulaciones aplicables.

27 LIMITACIONES DE ERM ERM, sin importar su alto grado de diseño y ejecución, sólo proporciona una seguridad razonable a la Dirección y al Consejo de Administración, respecto a la consecución de objetivos de la entidad. Su eficacia está afectada por las limitaciones inherentes a cualquier proceso de administración. Necesidad de considerar los costos y beneficios relativos a las respuestas a los riesgos.

28 LIMITACIONES DE ERM Juicio humano erróneo durante la toma de decisiones. Que puedan eludirse los controles mediante colusión de dos o más personas. Que la dirección pueda hacer caso omiso a las decisiones relacionadas con la administración de riesgo corporativo.

29 E.R.M. ROLES Y RESPONSABILIDADES Todo el personal de una entidad tiene alguna responsabilidad en la administración de riesgos corporativos. El Chief Executive Officer -CEO- es responsable en último lugar y debería asumir su responsabilidad. El Consejo de Administración, la Dirección, los directores financieros y de riesgo, los auditores internos y, de hecho, toda persona de la entidad, contribuyen a una administración efectiva de riesgos corporativos.

30 E.R.M. ROLES Y RESPONSABILIDADES DE AUDITORIA INTERNA: Los auditores internos juegan un rol clave en la evaluación de la efectividad de ERM y recomiendan mejoras sobre el proceso. Las normas del Institute of Internal Auditors establecen que el alcance de la Auditoría Interna debería abarcar la gestión del riesgo y los sistema de control, lo que incluye la evaluación de la confiabilidad de los reportes, la efectividad y eficiencia de las operaciones y el cumplimiento de leyes y regulaciones aplicables. No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo. Asisten a la Gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso, manteniendo su objetividad.

31 E.R.M. - ROLES Y RESPONSABILIDADES DE AUDITORIA INTERNA: Roles que Auditoría Interna No debe Realizar 1. Establecer el Apetito de Riesgo. 2. Imponer procesos de gestión de Riesgo. 3. Manejar el aseguramiento sobre los riesgos. 4. Tomar decisiones en respuesta a los riesgos. 5. Implementar la respuesta a riesgos a favor de la administración. 6. Responsabilidad de la gestión. Roles Legítimos de Auditoría Interna realizados con Salvaguarda 1. Facilitación, identificación y evaluación de riesgos. 2. Entrenamiento a la gerencia sobre respuesta a riesgos. 3. Coordinación de actividades de ERM. 4. Consolidación de reportes sobre riesgos. 5. Mantenimiento y desarrollo del marco de ERM. 6. Defender el establecimiento del ERM. 7. Desarrollo de estrategias de gestión de riesgo para aprobación de la JD. Roles Principales de la Auditoria Interna respecto a ERM 1. Revisión del manejo de los riesgos claves. 2. Evaluación de reportes de riesgos claves. 3. Evaluación de los procesos de gestión de riesgo. 4. Brindar aseguramiento de que los riesgos son correctamente evaluados. 5. Brindar aseguramiento sobre procesos de gestión de riesgo.

32 E.R.M. ROLES Y RESPONSABILIDADES: Consejo de Administración El Consejo forma parte del componente de Ambiente Interno de ERM y debe de tener la composición y enfoque necesario para conseguir que ésta sea efectiva. El Consejo facilita el monitoreo cuando: Sabe hasta qué punto la Dirección ha establecido una administración efectiva de riesgo corporativo en la organización. Es consciente del riesgo aceptado por la entidad y está de acuerdo con él. Revisa la perspectiva de portafolio de riesgo de la entidad y la contrata con el riesgo aceptado por ella. Está informado de los riesgos más significativos y de si la dirección está respondiendo adecuadamente. Delega funciones (las responsabilidades no se delegan) en diversos comités (Créditos, Riesgos, Auditoría, Compensaciones, etc.) La Dirección La Dirección es responsable por todas las actividades de una entidad, incluyendo ERM. El CEO tiene la responsabilidad última sobre ERM, su mayor responsabilidad es establecer un ambiente interno positivo, sus responsabilidades incluyen: Proporcionar liderazgo y orientación a los altos directivos, configurando con ellos los valores, principios y políticas operativas importantes que constituyen los cimientos de ERM. Establece los objetivos estratégicos, la estrategia y los objetivos de alto nivel. Formula las políticas en sentido amplio, desarrolla la cultura de la entidad y establece su filosofía de ERM y el nivel de riesgo aceptado. Monitorea a través del Chief Risk Officer CROla eficacia del proceso de administración del riesgo.

33 E.R.M. ROLES Y RESPONSABILIDADES: Enmarca la autoridad y responsabilidad de ERM en las unidades de negocio. Oficial de Riesgo Directivos Financieros Otro Personal de la Entidad Establece las políticas de ERM, Sus actividades cruzan todas ERM es, hasta cierto punto, incluyendo la definición de las áreas de la organización. responsabilidad de toda roles y responsabilidades y persona en una entidad y, por participa en la formulación de esto, debería ser una parte objetivos para su explicita o implícita de su implantación. descripción de funciones. Guiar la integración de ERM con otras actividades de planeación y administración del negocio. Desarrollan presupuestos y planes globales de la entidad y monitorean su desempeño desde una perspectiva operativa, de cumplimiento y de reporte. Juega un rol importante en la prevención y detección de la información fraudulenta y ayuda a establecer el tono de la conducta ética. Los roles y responsabilidades de cada empleado deberían comunicarse efectivamente. Establece un lenguaje común para la administración de riesgo. Ayuda a los ejecutivos a desarrollar protocolos de información, y a monitorear el proceso de distribución de reportes. Es el máximo responsable de los Estados Financieros. Influye en el diseño, implantación y monitoreo de los sistemas de reporte de la empresa.

34 E.R.M. ROLES Y RESPONSABILIDADES: Auditores Externos Legisladores y Reguladores Otras partes Es importante reconocer Los legisladores y reguladores afectan a Clientes que una auditoria de los la administración de riesgo corporativos Proveedores estados financieros de dos maneras: Medios de comunicación normalmente no incluye un Analistas financieros. Establecen las reglas que enfoque significativo sobre impulsan a la dirección a ERM y, en cualquier caso asegurar que la administración no da como resultado la de riesgos y los sistemas de expresión de una opinión control satisfacen los sobre dicha gestión. requisitos mínimos legales y estatutarios. Cuando las leyes o regulaciones exigen que el auditor evalúe las declaraciones de una empresa relativa a su control interno sobre la información financiero y los fundamentos en que se apoyan dichas declaraciones, el alcance del trabajo dirigido a dichas áreas será más amplio y se obtendrá información y seguridad adicional. Tras inspeccionar una entidad, facilitan información útil en la aplicación de la administración de riesgo corporativo.

35 LEY SARBANES-OXLEY

36 LEY SARBANES-OXLYEY: La más importante regulación surgida después de los escándalos financieros en Estados Unidos, en el (Enron Worldcom Global Crossing Merrill Lynch Tyco Imclone Xerox Adelphia, etc.). El cuerpo legal propuesto por el diputado Michael G. Oxley y el Senador Paul S. Sarbanes, en el Congreso estadounidense, tiene efectos que van mucho más allá de la auditoría financiera propiamente tal y sus brazos son bastante largos.

37 Cuándo surgió Resultado de las quiebras, fraudes y el manejo de los criterios contables usados en la preparación de los estados financieros, elaborados con CREATIVIDAD más que con SERIEDAD, sacudió al mundo de los negocios erosionan la confianza de los inversionistas con relación a la información financiera emitidas por las empresas. la ley? Así, el 24 de julio de 2002 la Cámara de Representantes del Gobierno de los Estados Unidos aprobó la ley SARBANES-OXLEY, con el propósito de endurecer los controles de las empresas y retornar confianza.

38 Relación ERM SOX? Cumplir la ley SOX implica, entre otras cosas, enfocarse en revelaciones financieras más amplias, tomar los impuestos con seriedad y evaluar los controles internos por parte de la gerencia. (Título IV y X, sección 404 de la ley. ERM, enfoca sus objetivos y componentes en formar un sistema que contribuya a generar información financiera confiable y a cumplir con leyes y regulaciones. ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIÓN DE EVENTOS EVALUACIÓN DE RIESGO RESPUESTA AL RIESGO ACTIVIDADES DE CONTROL INFORMACIÓN Y COMUNICACIÓN MONITOREO

39 A quién le es aplicable la ley? Aplica a las empresas estadounidenses que estén registradas en: NYSE New York Stock Exchange National Association of Securities Dealers by Automatic Quotation NASDAQ Aplica a las empresas estadounidenses que estén bajo la supervisión de: Securities and Exchange Commission SEC

40 A quien le es aplicable la ley? También rige para todas las empresas extranjeras que cotizan en dichas bolsas de valores, incluyendo a la casa matriz, las subsidiarias y afiliadas Qué regula la ley? La ley contiene once títulos y numerosas secciones, regulando diferentes aspectos e involucrando a los ejecutivos de las empresas, directorio, gobierno corporativo, comités de auditoría, agentes de valores, corredores de bolsa, firmas de auditoría, entre otros.

41 SOX Sección 404: Esta sección incluida en el Título IV de la ley, posiblemente es la que más a dado de que hablar, por exigir responsabilidad a la administración respecto del establecimiento y mantención de los controles internos para los reportes financieros. Esto genero inicialmente preocupación a las empresas de tener que publicar sus debilidades en materia de control por temer que el mercado reaccionara negativamente.

42 Reflexión Final sobre Sox: Después de seis años de existir la ley, que paso recientemente con la economía estadounidense? Posiblemente Sarbanes Oxley no será la solución final del problema de la transparencia sino mas bien el comienzo de una nueva etapa, liderando los cambios y temas necesarios en el tiempo para conquistar confianza.

43 Relación entre el PCAOB (Public Company Accounting Oversight Board, y The IIA

44 USO DEL INFORME COSO: En los últimos años se han elaborado y difundido en varios países una serie de informes que presentan un enfoque integrador sobre el control interno, es decir que se lo interpreta con un sistema que abarca y atraviesa la organización en todas sus áreas, operaciones y funciones. Entre estos informes los más conocidos después de COSO son: Informe COCO Elaborado por la Junta de Criterios de Control del Instituto Canadiense de Contadores Matriculados. Informe Cadbury: Producido por el Cadbury Committe (Reyno Unido) sobre control interno e informacion financiera.

45 USO DEL INFORME COSO: El IIA (Institute of Internal Auditors) realizo una de sus habituales encuestas rápidas ( quick poll ). Planteando la consulta sobre la implementación de un marco de control interno formal. El instituto aclara que no se trata de una encuesta de carácter científico, sus resultados pueden considerarse indicativos de una tendencia: COSO % CoCo 17 3% Cadbury 17 3% Modelo propio interno % No utiliza marco de control %

46 Presentación de beneficios a JD y Alta Gerencia Ninguna empresa opera en una ambiente libre de riesgos, ERM permite que la gerencia opere y trabaje más eficiente y efectivamente cubriendo los riesgos del negocio. Alinear el apetito de Riesgo y la Estrategia Mejorar las decisiones de respuesta a los riesgos (evitar, reducir, compartir, aceptar el riesgo) Reducir sorpresas y pérdidas operativas Identificar y administrar los riesgos en toda le entidad Proveer respuestas integradas a riesgos múltiples Aprovechar las oportunidades Mejorar la utilización de capital

47 Presentación de beneficios a JD y Alta Gerencia Ayuda a asegurar danos en la reputación Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos Se relaciona con la gobernabilidad coorporativa En definitiva, ERM ayuda a la entidad a llegar al destino deseado, salvando obstáculos y sorpresas en el camino.

48 Servicios Potenciales Outsourcing Auditoria Interna Capacitación CIA y otros Evaluaciones de Calidad Reclutamiento Auditoria Interna, Reorganización Auditorias de Propósitos Especiales Revisiones SOX Asesoría Comités Auditoria Talleres AEC Encuestas Auditoria Interna Planeación Estratégica

49 Lic. Amory Gonzalez DFK - Guatemala

50