Gobernanza. Gobernabilidad. Governance. Para Alcanzar Madurez Empresarial

Transcripción

1 Gobernanza Gobernabilidad Governance Para Alcanzar Madurez Empresarial RSM ROC & Company Octubre 2014

2 Agenda Qué es Gobernanza o Gobernabilidad? Cómo se Traduce al Ambiente Corporativo? Qué Estándares/Regulaciones Impactan la Gobernabilidad? Elementos Básicos de Basilea III Elementos Básicos de Sarbanes Oxley Auto Evaluación de Gobernabilidad Estructura Organizacional

3 Agenda Enterprise Risk Management Gobernabilidad en los Procesos Gobernabilidad en la Información Gobernabilidad en Manejo Financiero Auto Evaluación de Controles Resumen de las Jornadas Preguntas y Respuestas

4 Qué es Gobernabilidad?

5 Real Academia Española 1. f. Cualidad de Gobernable. 2. f. gobernanza 1. f. Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía.

6 Naciones Unidas Ejercicio de cualquier autoridad legal, económica y administrativa para la gestión de una corporación a todos sus niveles

7 Qué es Gobernabilidad?. Conjunto de reglas por las cuales una empresa toma decisiones... Es el sistema a través del cual las empresas son dirigidas y controladas. Potencial que tiene una organización de mantener la situación en armonía de los diferentes intereses que dan cita en una empresa.

8 CONTROLES Qué es Gobernabilidad?

9 Quién Impone los Controles? Acuerdos internacionales (como Basilea) Acuerdos de país (como SOX) Entidades bursátiles (como el SEC) Organismos internacionales (PCI, BID) Proveedores (Visa, MC, AMEX, y otras) Profesiones (Colegios de CPA, entre otros) Reguladores locales (Comisionados, Superintendentes y otros muchos más) Pero mayormente son auto-impuestos

10 Gobernabilidad Corporativa Definición: Un conjunto de relaciones entre la gerencia, su Junta Directiva, sus accionistas y los relacionados de una compañía* Contiene una estructura que establece: Los objetivos de la compañía Define los canales para alcanzar y monitorear la ejecución de dichos objetivos Comprende la administración eficaz del cumplimiento de pautas, leyes y regulaciones * Organización para la Cooperación y Desarrollo Económico ( Organization for Economic Cooperation and Development, OECD),

11 Gobernabilidad Corporativa Más puntual y compleja en el sector bancario/financiero, donde hay claro énfasis en proteger al consumidor El esquema de gobernabilidad de la industria financiera es impactada por factores tales como como: La debida administración de riesgos disponibilidad y financiamiento de capital (y sus condiciones) control interno y su cumplimiento Gobernabilidad es la herramienta de prevención ante el surgimiento de crisis bancarias

12 Por Qué es Importante el Concepto de Gobernabilidad?

13 Debacles de Gobernabilidad Más Conocidos Enron -debacle en 2001 llevó a Enron Corp. a bancarrota y a la disolución posterior de Arthur Andersen. Estados financieros engañosos escondieron billones en deudas. Motivó la creación de la ley Sarbanes Oxley en E. U. ) Banco Latino Banco de Venezuela, 2do más grande. Tuvo una expansión nacional e internacional que sobreextendió sus recursos. Llegó a pagar 105% a depositarios para atraer capital, pero terminó en 1994 con retiros masivos en pánico y el apoderamiento del gobierno.

14 Debacles de Gobernabilidad Más Conocidos Banco Bicentenario Este banco mexicano, originado en el 2012, fue llevado a proceso de liquidación por los reguladores después de solo 15 meses de vida. Se le revoca el permiso bancario por serios deterioros del nivel de capital, tras serias faltas de controles/reportes. Es la primera institución bancaria intervenida en los pasados 20 años, desde la crisis tequila de la década de 1990 s.

15 Debacles de Gobernabilidad Más Conocidos WorldCom Llegó a ser la segunda compañía de telecomunicaciones en E.U. En 2001 anunció que había sobre-estimado sus ingresos; fraude en manejo de reservas; bancarrota en 2002; valor de $64 a $1 Banco Intercontinental - 2do banco comercial en R.D. antes de colapsar en el Amplio esquema de fraude para sustentar expansión. Déficit de US$2.2 billones fue equivalente al 12% del producto nacional bruto de R. D. Culpables fueron encarcelados.

16 Qué Estándares y Regulaciones Impactan la Gobernabilidad?

17 Plataformas Más Comunes Basilea II y III Sarbanes Oxley ERM A Nivel Local

18 Basilea II y III

19 Basilea II y III Creados por el Comité de Basilea Fundado en el 1974 por presidentes de los bancos centrales de los países del G10 Bélgica, Canadá, Francia, Italia, Japón, Nederland, Reino Unido, Estados Unidos, Alemania y Suecia Elabora estándares de supervisión, lineamientos y recomendaciones sobre prácticas bancarias/financieras Para ser aceptados por organismos supervisores en los diferentes países No constituye formalmente un organismo supervisor supranacional Sus conclusiones y recomendaciones no tienen fuerza legal

20 Basilea II Presentado en el 1999 Pretende lograr una medición del capital regulatorio: Más sensible al riesgo Complementada con el proceso de supervisión bancaria Disciplina del mercado Basado en tres pilares: I. Requerimiento mínimo de capital II. Proceso de supervisión bancaria III. Disciplina del mercado

21 Basilea II Pilar I Requerimientos mínimo de capital Riesgos a considerar: crédito, mercado y operacional Pilar II Proceso de supervisión bancaria Pilar III Disciplina de mercado

22 Pilar I Requerimientos mínimo de capital Riesgos a considerar: crédito, mercado y operativo Riesgo de Crédito Dos metodologías: Método estándar y método interno Riesgo de Mercado Posibilidad de sufrir pérdidas en posiciones a raíz de oscilaciones en los precios y condiciones de mercado ( value at risk ) Riesgos inherentes a acciones e instrumentos relacionados con los tipos de interés en la cartera; riesgo de divisas; y riesgo de productos básicos en todo el banco. Riesgo Operativo Se permiten tres tipos de cálculos: Básico, Estándar, Avanzado

23 Pilar II Proceso de supervisión bancaria 1. Bancos deben contar con procesos para evaluar suficiencia de capital total en función de su perfil de riesgo y una estrategia de mantenimiento de su nivel de capital 2. Los supervisores deberán examinar las estrategias y evaluaciones internas de la suficiencia de capital de los bancos así como la capacidad de estos para vigilar y garantizar su cumplimiento. Deben intervenir en caso de resultados insatisfactorios. 3. Los supervisores deberán esperar que los bancos operen por encima de los coeficientes mínimos de capital y deberán tener la capacidad de exigirles que mantengan capital por encima del mínimo 4. Supervisores deberán intervenir con prontitud para evitar que el capital descienda por debajo de los mínimos y deberán exigir la inmediata adopción de medidas correctivas.

24 Pilar III Disciplina de mercado Disciplina de Mercado Establece requerimientos de divulgación de la información General Información cualitativa sobre políticas de gestión de riesgos Indicadores de suficiencia de capital y sus componentes Información de exposiciones a riesgo propensa a cambiar de capital con rapidez Permite al mercado evaluar el perfil de riesgo del banco Por los nuevos métodos de estimación de riesgo que se introducen dependen en mayor medida de las estimaciones de las propias entidades

25 Basilea III Desarrollada en respuesta por la crisis de regulación financiera revelada a finales del 2000 Refuerza los requisitos del capital bancario e introduce nuevos requisitos regulatorios de liquidez bancaria y apalancamiento bancario Estándar regulatorio gradual sobre: La adecuación de capital de los bancos Pruebas de estrés y riesgo de liquidez acordado Por miembros del Comité de Supervisión Bancaria de Basilea Inicio en el 2013 hasta el 2018

26 Por Qué es Importante Basilea?

27 Auto Evaluación de Aplicabilidad de Basilea (7) 1. Tiene su país / regulador normas aplicables basadas en Basilea? 2. Posee dicha regulación los tres (3) pilares clásicos? 3. Se maneja el riesgo crediticio según Basilea? Reservas de riesgo crediticio adecuadas han sido instituidas? 4. Se maneja el riesgo de liquidez y mercado según Basilea? Reservas de riesgo de mercado adecuadas han sido instituidas? 5. Se maneja el riesgo operacional según Basilea? Reservas de riesgo operacional adecuadas han sido instituidas? 6. Se hacen stress tests anualmente en su institución? 7. Ejerce oversight efectivo la Gerencia del proceso de riesgo?

28 Sarbanes Oxley

29 Sarbanes Oxley Aprobada en julio de 2002 en el Congreso de Estados Unidos Respuesta a una serie de escándalos corporativos que afectaron a empresas estadounidenses a finales del 2001 Producto de quiebras, fraudes y manejos inapropiados Afectaron la confianza de los inversionistas respecto de la información financiera emitida por las empresas Establece controles estrictos a empresas, buena gobernanza administrativa, responsabilidad de los administradores y transparencia en términos generales.

30 Sarbanes Oxley Establece el Public Company Accounting Oversight Board Junta para supervisar las auditorias de compañías públicas que estén sujetas a las leyes de valores Protege a los intereses de los inversionistas y el interés público Preparación de reportes de auditoría informativos, exactos e independientes para compañías cuyas acciones se vendan Composición del Comité de Auditoría de la Junta de Directores: 5 miembros de integridad y reputación prominente; 2 miembros pueden ser contadores públicos certificados Termino de servicio de 5 años nombrados por el Federal Reserve System y el Secretario de Estado

31 Sarbanes Oxley Entre las funciones de la Junta están: Seleccionar y supervisar las firmas de contadores públicos que preparen los reportes de auditoría. Velar por posibles conflictos de intereses Establecer o adoptar, o ambas, estándares de auditoría, control de calidad, ética e independencia relacionados a la preparación de informes de auditoria Realizar investigaciones u procedimientos disciplinarios e imponer sanciones a las firmas de contadores públicos Hacer cumplir las Leyes y Estándares, internos y externos

32 Sarbanes Oxley Elementos de Responsabilidad Corporativa Comité de auditorías del ente emisor Componentes: Miembros de la Junta de Directores, personal preparado y con conocimiento financiero Asumir responsabilidad corporativa por los reportes financieros Prohíbe ejercer cualquier presión indebida en el proceso de auditoría Creación de diferentes comités además del de auditorías para mantener la independencia y supervisión adecuada de la Junta de Directores.

33 Por Qué es Importante Sarbanes- Oxley (SOX)?

34 Cómo Cambiaron la Gobernabilidad Corporativa Regulaciones como Basilea y SOX? 1. Mayor Relieve e Importancia a las Junta de Directores Gerencia responde a la Junta de Directores (no al revés) Establece bases claras de independencia de sus Directores Directores deben ser más proactivos y técnicamente duchos Mayor diversidad entre Directores de la Junta Mayor autonomía y responsabilidades para el Comité de Auditoria Mejores políticas de evaluación y rotación de Directores Control sobre entes tales como auditores internos y externos, y otras posiciones estratégicas

35 Cómo Cambiaron la Gobernabilidad Corporativa Regulaciones como Basilea y SOX? 2. Aceleró la Adopción de Códigos de Ética Corporativa Requisito de un código de ética para la Junta de Directores Requisito de evaluación de Directores de acuerdo a dicho código Compañías públicas deben publicar el código de ética (SEC) Debe haber programas de cumplimiento de dichos códigos de ética Cumplimiento debe ser realizado por ente independiente Código de ética también aplica a principales oficiales de la Gerencia, y puede alcanzar a todos los empleados.

36 Cómo Cambiaron la Gobernabilidad Corporativa Regulaciones como Basilea y SOX? 3. Cambio la Relación con los Auditores Externos y Asesores Legales Creación de nuevos reguladores (en E.U. el PCAOB) para evaluar a los auditores externos Auditores externos son inspeccionados cada 1-3 años Contacto periódico mandatorio entre la Junta y los Auditores Rotación de Socios y Firmas en manera mandatoria Limita otros trabajos que puedan comprometer la independencia Establece reglas de evidencia y comunicación de violaciones

37 Cómo Cambiaron la Gobernabilidad Corporativa Regulaciones como Basilea y SOX? 4. Responsabilidades de la Junta de Directores Más Claras y Directas Responsable por la administración de riesgos y cumplimiento Implica creación de comités a nivel de la Junta de Directores Múltiples regulaciones establecen la necesidad de crear Oficiales que reporten a la Junta de Directores Por ejemplo, Oficial de BSA/AML ó Oficial de Seguridad Hay que probar vía documentación que los temas propios de administración de riesgos, cumplimiento y seguridad son traídos a la atención de la Junta de Directores.

38 Auto Evaluación de Gobernabilidad de la Junta de Directores (8) 1. Tiene estatutos formales? Reunión mínima mensual? 2. Posee un código de ética? Se avalúa su cumplimiento? 3. Tiene un Comité de Auditoría? Es responsable de los estados? 4. Posee comités adicionales para cumplimiento y riesgo? 5. Ejerce oversight efectivo sobre la Gerencia? 6. Composición adecuada de Directores por roles y conocimiento? 7. Hay rotación adecuada de Socios/Firmas de Auditores? 8. Hay documentación efectiva de las decisiones de la Junta?

39 Qué es Enterprise Risk Management (ERM)? Qué es Administración de Riesgos Empresariales?

40 Qué es ERM? De acuerdo con COSO, la metodología de controles internos ampliamente aceptada, ERM es un proceso estratégico que cubre todos los aspectos de un negocio, ejecutado conjuntamente por su Junta de Directores, Gerencia y Personal, diseñado para identificar los eventos que potencialmente puedan afectar la empresa, administrar los riesgos dentro de parámetros aceptables, y proveer una garantía razonable de cumplimiento de objetivos.

41 Enterprise Risk Management (ERM) Pero, en que diferencia esto del proceso regular de administración de riesgos? Hay dos diferencias básicas. La primera tiene que ver con el alcance del esfuerzo. En el enfoque tradicional, el alcance de la función de administración de riesgos se enfoca en cuantificar riesgos financieros y regulatorios, según se muestra abajo: Activos Tipos Riesgos Tierras, Equipos, Edificios e Inventario Préstamos, Primas, Equidad, CxC, Inversiones Activos Físicos Activos Financieros Uso No Autorizado, Pérdidas, Costosas Reparaciones Economía mala, Catástrofes, Falta de Liquidez, Fluctuaciones Interés Cumplimiento, Estándares y Permisos Activos Regulatorios Riesgo de No Cumplimiento, Clasificación por Rating

42 Enterprise Risk Management (ERM) Pero ERM añade elementos adicionales de riesgo al alcance: Activos Tipos Riesgos Clientes, Canales Intermedios Activos de Mercado Pérdida de clientes, alianzas no efectivas, Pérdida de mercado Empleados, Socios Estratégicos Activos de Personal Escasez de Talento, Paros Laborales, Dependencias Liderato, Valores Reputación, Gobernabilidad, Conocimiento Activos de Empresa Estrategias no claras, Pérdida de reputación, Desarrollo inefectivo de la organización La segunda diferencia es que ERM considera la definición de apetito de riesgo una decisión estratégica y que la misma debe ser evaluada continuamente por la Gerencia y la Junta de Directores.

43 Por Qué es Importante ERM? Se ha convertido en un requisito de industria para entidades bancarias y de seguros, y de toda entidad sujeta a una compañía clasificadora Alinea las diversas perspectivas de riesgo de la Gerencia, a través del establecimiento de objetivos comunes de riesgo Reduce la variabilidad en la ejecución, ya que identifica los riesgos potenciales y las respuestas formales a los mismos Fortalece la confianza (interna y externa) y aumenta la transparencia de los riesgos enfrentados y el nivel de preparación general Fortalece la gobernabilidad corporativa, mediante la clarificación de los riesgos y de las responsabilidades de supervisión Asegura una exitosa respuesta a los movimientos del mercado, mediante la evaluación de premisas y escenarios de mercado Establece una fuerte cultura de administración de riesgo, creando conciencia corporativa y la práctica de la auto-evaluación Asegura el cumplimiento regulatorio mediante el continuo monitoreo de los riesgos y de sus planes de mitigación

44 Cuál es el Objetivo Principal de ERM? Identificar, cualificar y mitigar.. RIESGOS

45 Metodología General de Identificación de Riesgos Establecer Contexto: Establecer regulaciones y estándares aplicables, audiencia, alcance y objetivos generales del programa de riesgo. Identificación de Riesgos: Claramente identificar los riesgos potenciales, sus fuentes (operacional, financiero, organizacional, etc) y proveer una descripción completa. Establecer tendencias del riesgo si es apropiado. Análisis de Riesgos: Determine que genera el riesgo ( driver ) y cuantifique el mismo (volumen, potencial impacto, probabilidad) Evaluación del Riesgo: Es importante establecer límites aceptables, puntos de verificación, objetivos y tolerancias para cada riesgo. La cuantificación de estos elementos es crítico. Tratamiento: Establecer como enfrentar el riesgo. Tres alternativas básicas - aceptarlo, mitigarlo o eliminarlo. Monitorear y Revisar: Una vez se hayan implantado las medidas de mitigación, es necesario monitorear y evaluar el riesgo residual.

46 Establecer el Marco de Objetivos de Riesgo Aplica cuando la gerencia considera estrategias de riesgo en el marco de sus objetivos. Conforma el apetito de riesgo de la entidad una visión de alto nivel sobre cuánto riesgo la gerencia y la junta están dispuestos a aceptar. La tolerancia de riesgo, el nivel aceptable de variación en torno a objetivos, está alineado con el apetito de riesgo.

47 DETERMINACIÓN DEL APETITO DE RIESGO Apetito del riesgo es la cantidad de riesgo a grandes rasgos que una entidad está dispuesto a aceptar en la búsqueda de valor. Usa términos cuantitativos y cualitativos (por ej. ganancias en riesgo v. riesgo de reputación) y considera tolerancia de riesgo (rango de variación aceptable).

48 DETERMINACIÓN DEL APETITO DE RIESGO Alguna Preguntas Claves: Qué riesgos no aceptará la organización? (por ej., compromisos ambientales o de calidad) Qué riesgos aceptará la organización al emprender iniciativas nuevas? (por ej., nuevas líneas de producto) Qué riesgos aceptará la organización para el logro de objetivos en competencia? (por ej., ganancia bruta vs. cuota del mercado)

49 Establecer el Marco de Objetivos de Riesgo Objetivos y estrategias claves del negocio Determinar filosofía de riesgo Estudiar la cultura de riesgo Considerar valores éticos e integridad de la organización Decidir/asignar roles y responsabilidades Definan el Apetito de Riesgo de su Empresa

50 Identificación de Eventos de Riesgo Conlleva la identificación de incidentes, internos o externos, que pudieran afectar la estrategia y el logro de objetivos. Carácter estratégico y operacional Se dirige a la identificación de factores internos y externos y cómo se combinan e interaccionan para influir en el perfil de riesgos. Cuántos riesgos tiene una empresa?

51 Análisis y Evaluación de Riesgos Identificación y descripción clara del riesgo Cómo afecta objetivos y estrategias? Probabilidad de ocurrencia del riesgo Cuantificación de impacto: Qué líneas o productos afecta? Qué activos estarían afectados? Qué tanto sería el impacto? Requiere una metodología de análisis de riesgos que asigne peso y priorice Tiene su empresa una metodología de análisis de riesgos?

52 Respuesta al Potencial Riesgo Identifica/evalúa respuestas posibles al riesgo. Cuantifica impacto de la posible respuesta Evalúa opciones con relación al apetito de riesgo, costo versus beneficio de respuestas potenciales, y el grado al cual una respuesta reducirá su impacto y/o probabilidad. Selecciona y ejecuta una respuesta a base de una evaluación de la cartera de riesgos. Aceptar, mitigar, compartir, evitar Predice cual es el riesgo residual a monitorear Qué tan formal es su respuesta al riesgo?

53 Ejemplo: Organización de Adm. de Riesgos Principal Oficial de Riesgo (CRO) Gerente Riesgo Crédito Gerente Otros Riesgos Gerente Monitoreo Gerente RO Gerente RM Personal Personal Personal

54 Comunicación de Resultados Tablero de riesgos y respuestas relacionadas (estatus visual de dónde están los riesgos clave con relación a los niveles de tolerancia) Diagramas de flujos de procesos con controles claves anotados Narrativas de objetivos de negocio enlazados a riesgos operacionales y respuestas Lista de riesgos claves a ser monitoreados o usados Entendimiento de la gerencia de la responsabilidad de riesgos del negocio y comunicación de asignaciones

55 Tablero de Riesgos / Mapa de Riesgos Areas of Focus / Operational Processes Information Financial Management Legal/ Regulatory Compliance Safeguard of Assets Operational Technology Strategic/ Management Gift Receipts Low Low Moderate Low Moderate Low High Fund Adminstration Low High Low Low High Moderate High Corporate Accounting High High Low Low Moderate High High Corporate Functions/Finance Low High High Low Moderate Low High Cash Disbursements High High Low Moderate Moderate Moderate High HR and Payroll High Moderate High Low High Moderate Moderate Information Technology* High High Low Moderate Moderate High Moderate Pledge Administration High Moderate Low High High Low High Deferred Gift Administration Moderate Low Low High High Moderate Low Marketing High High Low Low Moderate High High Investment Management Moderate High Low Moderate Moderate Low Moderate Purchasing Moderate Moderate Low High Moderate High Low Real Estate/Fixed Assets High Moderate Low High Moderate Low Moderate Regulatory Compliance Moderate High High Moderate Moderate Moderate High Regent Gift Policy Moderate High Low Low Low Moderate High *Information Technology is evaluated using our IT risk factors which evaluate specific risks in this area.

56 Monitoreo Recopilar y mostrar información Realizar análisis - Riesgos atendidos adecuadamente - Controles trabajando para mitigar riesgos Vigilancia Gerencial (Management Oversight) Responsabilidad por los riesgos Actualización - Cambios en objetivos de negocio - Cambios en sistemas - Cambios en procesos

57 Auditores Internos pueden añadir valor: Revisando sistemas críticos de control y procesos de administración de riesgo. Revisando la efectividad de la gerencia en la evaluación de riesgos y controles internos. Brindando asesoría en el diseño y mejora de los sistemas de control y estrategias de mitigación de riesgos. Educando sobre administración de riesgos

58 Auditores Internos pueden añadir valor: Implantando un enfoque de riesgo en la planificación y ejecución del proceso de auditoría interna. Asegurando que los recursos de auditoría interna se dirijan a las áreas más importantes de la organización. Retando la base de las evaluaciones de riesgo de la gerencia, y evaluando la suficiencia y efectividad de las estrategias de manejo de riesgos.

59 Auto Evaluación de Gobernabilidad Administración de Riesgos (8) 1. Hay una estructura de administración de riesgo? Un CRO? 2. Posee una definición clara de apetito de riesgo? 3. Existen límites, tolerancias y puntos de revisión de riesgos? 4. Alcance de la administración de riesgo es limitada a Basilea o es tan amplia como los conceptos de ERM? 5. Existe un inventario completo de riesgos? 6. Existe una metodología de evaluación/cuantificación de riesgos? 7. Hay mapas de riesgo debidamente actualizados? 8. Es clara la función de auditoría interna en torno a riesgos?

60 Qué es un Modelo de Controles Internos? ( Internal Controls Framework )

61 De Dónde Surge El Estándar COSO? El estándar COSO (COSO framework ) surge originalmente de un documento emitido en el 1992 titulado COSO Report: Internal Control An Integrated Framework El Committee of Sponsoring Organizations of the Treadway Commission (COSO) es una organización privada voluntaria establecida en los Estados Unidos, dedicada a proveer guías a entidades de negocio y regulatorias en torno a diversos aspectos críticos asociados con gobernabilidad, ética de negocios, controles internos, manejo de riesgo, fraude y generación de informes financieros. COSO estableció un modelo de controles internos para ayudar a compañías y organizaciones en la revisión de sus sistemas de control. COSO fue creado en el 1985 por el National Commission on Fraudulent Financial Reporting, mejor conocida como la Comisión Treadway. Dicha comisión fue fundada por cinco (5) asociaciones de contabilidad y finanzas de los Estados Unidos: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives International (FEI), Institute of Internal Auditors (IIA) y el Institute of Management Accountants (IMA). Estas cinco organizaciones conforman al día de hoy el Committee of Sponsoring Organizations de la Comisión.

62 Por Qué Surge un Estándar Como COSO? Qué lo Motivó? Prácticas contables y financieras inconsistentes Información financiera no confiable en compañías públicas Colapso de empresas Impacto en la industria financiera y entidades de intercambio bursátil Presión del SEC Presión de la industria de contabilidad, finanzas y auditoría Enfoque inicial casi exclusivamente en información financiera Empuje inicial dado por la entidades de CPA Gobierno de E. U. empujó el estándar vía Ley de Sarbanes Oxley Motivados por el colapso de entidades públicas (Enron, MCI, etc) Y de compañías contables tales como Arthur Andersen a raíz del escándalo Enron Hoy en día, es el estándar de facto de controles internos, proveyendo un lenguaje común entre terceros.

63 Qué Implicaciones Tiene el Estándar? El estándar COSO no tan solo define un modelo de controles internos, sino que además provee para medir la madurez de una entidad en cuanto a controles. COSO descansa sobre una serie de conceptos básicos: Un modelo de control interno no es el objetivo, sino la herramienta para alcanzar el objetivo Los controles internos son afectados por GENTE. No son meramente políticas, manuales y diagramas, sino también recursos a través de cada nivel de la organización. Se espera que los controles internos provean una seguridad razonable (no seguridad total), a la gerencia y junta de directores de la entidad en cuestión. Los recursos, capacidades y madurez de una organización en torno al modelo COSO pueden ser evaluadas en base a categorías incrementales definidas, mediante el uso del capability maturity model. Este modelo de madurez describe etapas evolutivas que dirigen la empresa a las mejores prácticas del mercado. Aunque sería idóneo que cada entidad aspire a la etapa más alta de este modelo, cada una deberá establecer su relación TIEMPO-MADUREZ de acuerdo a recursos, prioridades y necesidades.

64 Etapas del Modelo de Madurez 1 Una entidad está en la etapa inicial o Ad Hoc cuando: La Alta Gerencia reconoce la necesidad de regular sus controles. La evaluación de controles internos descansa en el conocimiento de expertos y se aplica ad hoc. No hay responsabilidades específicas de monitorear la efectividad de controles. Cualquier evaluación es probablemente parte de las auditorías financieras. Metodologías y destrezas usadas no corresponden con necesidades existentes. 2 Una entidad en etapa 2 posee controles repetibles pero descansa en intuición: La entidad usa reportes informales sobre controles para iniciar acciones correctivas. La evaluación de controles internos depende de las destrezas de recursos críticos. Se posee una mayor conciencia sobre la evaluación de controles internos. Se evalúa la efectividad de los que ellos entienden son riesgos y controles críticos. Se usan metodologías y herramientas para monitorear controles, pero sin planes 3 Una entidad tiene controles Definidos cuando: Gerencia promueve continua evaluación de controles internos y educa su personal Existen políticas y procedimientos para evaluar, monitorear y reportar controles. Hay un proceso de auto-evaluación y revisión de controles, con roles específicos. Se usan herramientas, aunque no estén totalmente integradas a los procesos. Existen políticas de detección y mitigación de riesgos en todas las áreas.

65 Etapas del Modelo de Madurez (continuación) 4 Una entidad tiene controles Administrados y Medibles cuando: La Gerencia implanta un modelo o framework para la evaluación de controles. Hay niveles de tolerancia para los controles organizacionales y operativos. Existen herramientas automáticas para estandarizar evaluaciones y monitoreo Se establece una función formal de controles internos, con personal designado. Se utiliza un modelo aprobado por personal certificado y apoyado por la Gerencia. Se implanta un sistema de métricas/indicadores, con datos históricos de controles. Se implantan revisiones independientes y de pares. 5 Una entidad está Optimizada cuando: La Gerencia implanta un programa de mejoras continuas a través de la entidad. Los modelos y políticas se actualizan en base a lo aprendido y a las mejores prácticas de la industria. Se usan herramientas integradas que permitan la rápida detección de incidentes. Se establecen medios y políticas para compartir el conocimiento adquirido. Comparaciones o benchmarks contra las mejores prácticas son realizadas periódicamente. Hoy en día, estas etapas de madurez son medidas de forma independiente por múltiples entidades y compañías de ratings tales como Standard & Poor. 7

66 En Qué Etapa de Madurez Está su Entidad?

67 Componentes Originales del Estándar COSO El estándar COSO define el término control interno como un proceso sobrellevado por una entidad, influenciado por su Junta de Directores, gerencia y personal, diseñado para proveer una garantía razonable de logro de objetivos en tres categorías básicas: Eficiencia Operacional (incluyendo salvaguarda de activos y beneficios), Confiabilidad de Datos Financieros, y Cumplimiento con Leyes y Regulaciones Aplicables. Al momento de ser emitido originalmente, el modelo COSO consideraba cinco (5) componentes inter-relacionados, derivados de la forma en que son administrados los negocios. De acuerdo a COSO, estos componentes proveen un marco de descripción y análisis de sistemas de controles internos. Los cinco componentes son: 3 Dimensiones Principales del Cubo COSO Cinco componentes básicos Tres Categorías Básicas Actividades (tantas como necesarias)

68 Componentes Originales del Estándar COSO Componente 1 Ambiente de Control: El ambiente de control establece el tono de la organización (frase tone at the top es muy común), su visión en cuanto a controles internos. El ambiente de control influencia la percepción que tiene la gente sobre la importancia de controles. Provee estructura y disciplina. Los factores principales incluyen: Integridad y valores éticos de la entidad y sus recursos Compromiso con la adquisición y mantenimiento de competencias Rol de la Junta de Directores y el Comité de Auditoría Interna Filosofía y estilo gerencial y operacional Razonabilidad de la Estructura Organizacional Asignación/delegación de autoridad y responsabilidad Procesos para administrar y desarrollar los recursos humanos Componente 2 Evaluación de Riesgos: Toda entidad enfrenta múltiples riesgos internos y externos que deben ser continuamente evaluados. Un pre-requisito para evaluar riesgos es establecer objetivos, por lo que la evaluación de riesgo implica la identificación de aquellos riesgos relevantes a cumplir objetivos trazados. Los factores principales son: Establecimiento de objetivos corporativos, departamentales y por proceso Identificación y análisis de riesgos Administración de cambio

69 Componentes Originales del Estándar COSO Componente 3 Actividades de Control: Actividades de control son aquellas políticas y procedimientos (procesos) que ayudan a la gerencia a cumplir exitosamente con las directivas del negocio. Las actividades de control aseguran que se tomen las acciones necesarias para enfrentar aquellos riesgos que amenazan los objetivos (a través de todos los niveles y funciones). Estas actividades incluyen factores como los siguientes: Aprobaciones (diversas personas, diversos niveles) Autorizaciones, consultas o informaciones Reconciliaciones de datos Revisión de ejecución operacional Evaluaciones internas Evaluaciones externas Seguridad de los activos Pistas de auditoría para cambios de datos en sistemas Segregación de tareas Mantenimiento de registros y logs Elementos de TI tales como seguridad, resguardos y continuidad de negocio Definición de niveles de servicios

70 Componentes Originales del Estándar COSO Componente 4 Información y Comunicación: Los sistemas de información juegan un rol clave en los modelos de controles internos, ya que producen informes claves (operacionales y financieros) que permiten correr y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurarse que la información corra a través de toda la entidad, a tiempo y de manera efectiva. Ejemplo; deben existir procesos formales para comunicar posibles actos de fraude o pérdida de información confidencial. La comunicación efectiva también incluye a entes externos, incluyendo a clientes, proveedores, reguladores y accionistas. Calidad de información (completa, correcta y a tiempo) Efectividad de la información Componente 5 - Monitoreo: Los sistemas de controles internos deben ser monitoreados un proceso que determina la calidad de la ejecución sobre un periodo de tiempo. Esto se cumple a través de actividades de monitoreo o evaluaciones separadas. Cualquier deficiencia detectada a través de estos mecanismos debe ser reportada a lo largo de la cadena de mando, con planes de acción correctiva. Factores claves son: Monitoreo continuo (automatizado, manual o semi-manual) Evaluaciones separadas internas y externas Reportar y corregir deficiencias

71 Modelo COSO y Ley Sarbanes-Oxley (Estados Unidos) En julio de 2002, los E. U. aprueban la Ley de Sarbanes-Oxley, dirigida a corregir deficiencias contables y administrativas de compañías públicas (bajo autoridad del SEC). SOX, que avala el estándar de COSO, pretende: Definir roles y responsabilidades de las juntas de directores y sus comités. Asegurar la independencia de los auditores externos. Crear políticas que aseguren salvaguarda de responsabilidades corporativas. Ampliar los requisitos conducentes a la comunicación de información financiera. Detectar y resolver conflictos de interés a través de la organización. Ampliar los recursos y autoridad del Securities Exchange Commission (SEC). Proteger al accionista mediante procesos y riesgos controlados, debidamente informados. Proveer información financiera justa y transparente. Establecer responsabilidades por el fraude corporativo. Ampliar penalidades por crímenes de cuello blanco. Esta ley aplica todas las compañías cuyas acciones se intercambiasen públicamente en los Estados Unidos, así como a los auditores de éstas.

72 Sección 404 de la Ley de Sarbanes-Oxley de 2002 Define controles internos sobre estados financieros como: Un proceso diseñado a proveer garantías razonables en cuanto a la veracidad de la información financiera y de los estados financieros preparados para efectos externos de acuerdo a GAAP. Esta definición incluye políticas y procedimiento que: Se asocian al mantenimiento de datos financieros que razonablemente reflejan en forma correcta las transacciones y disposiciones de los activos de la entidad. Provee garantías razonables que las transacciones son registradas según son necesarias para permitir la generación de estados financieros de acuerdo a GAAP. Asegura que los ingresos y desembolsos de la entidad son registrados y están de acuerdo con las autorizaciones de la gerencia y los directores. Provee garantías razonables en cuanto a la prevención o detección a tiempo de una adquisición, uso o disposición no autorizada de un activo, que pudiese tener un impacto material en los estados financieros.

73 Sección 404 de la Ley de Sarbanes-Oxley de 2002 Entre los requisitos periódicos a la gerencia están los siguientes: Una declaración en torno a la responsabilidad gerencial sobre el establecimiento y mantenimiento de controles internos adecuados sobre los datos y estados financieros. Una declaración identificando el modelo de controle internos usado por la gerencia para evaluar la efectividad de los controles internos. Una evaluación por parte de la gerencia, en cuanto a la efectividad de los controles financieros al cierre del año fiscal. Comunicación formal de cualquier debilidad que pueda potencialmente impactar los activos y estados financieros de la entidad. Una declaración del Auditor que avale los informes gerenciales. Una evaluación separada por parte del auditor sobre los controles internos en lugar para producir los estados financieros. Pone el peso de la responsabilidad sobre la gerencia de la organización, e inclusive penaliza el incumplimiento de la ley y sus preceptos.

74 Sección 404 de la Ley de Sarbanes-Oxley de 2002 Cómo afectan estos requisitos a la gerencia de la organización? Los principales ejecutivos operacionales y financieros deben: Certificar que revisaron los estados financieros, así como cada informe trimestral. Certificar que cada informe financiero representa fielmente la condición financiera de la entidad en cuestión. Certificar que se han establecido/mantenido los controles internos necesarios. Corroboraron la efectividad de dichos controles trimestralmente. Revisaron todo cambio significativo de controles internos u otros factores que puedan afectar dichos controles. Identificaron acciones correctivas en respuesta a deficiencias y debilidades en los controles internos. Revelaron públicamente cualquier deficiencia significativa en controles o a cualquier persona involucrada en fraude que haya tenido un rol en dichos controles.

75 Modelo Integrado COSO-ERM del 2004 En 2004, COSO emite un nuevo reporte titulado Enterprise Risk Management (ERM) Integrated Framework. Este documento es emitido en respuesta a la necesidad de guías que ayuden a las entidades a diseñar e implantar modelos de manejo de riesgo más complejos y en forma más proactiva. El modelo resultante define que es manejo de riesgo empresarial (ERM), sus principios y componentes. Además, introduce elementos tales como apetito de riesgo, tolerancia de riesgo y portfolio de riesgo. A su vez, el documento ofrece un nuevo cubo de COSO, descrito a continuación:

76 Los objetivos de la entidad se pueden ver en el contexto de cuatro categorías: Estrategia Operaciones Reportes Cumplimiento

77 Coso considera actividades de todos los niveles de la organización: Nivel corporativo División o subsidiaria Procesos de las unidades de negocio

78 Componentes Nuevos de COSO-ERM 2004 Componente Nuevo #1 Establecimiento de Objetivos: Aún cuando el modelo original de COSO requiere la definición de objetivos para la corporación, área y actividad, dichos objetivos eran operacionales en naturaleza. Pero el nuevo modelo COSO-ERM requiere la definición de objetivos estratégicos tales como la posible creación de nuevos productos o líneas de negocio, ó la venta o adquisición de otras entidades. Componente Nuevo #2 Identificación de Eventos: Aún cuando el modelo tradicional de COSO estaba más centrado en eventos internos, el nuevo modelo COSO-ERM incluye el análisis de eventos externos que pudiesen impactar las operaciones de la entidad. Esto pudiese ser desde la llegada al mercado de un nuevo competidor, hasta el impacto que condiciones meteorológicas adversas tendrán en el negocio. Componente Nuevo #3 Respuesta al Riesgo: Este nuevo componente abarca todas aquellas actividades asociadas con la oportuna respuesta a un riesgo. El énfasis es en la continua identificación de nuevos riesgos, dentro de un alcance mucho mayor que el expuesto en el modelo tradicional. Para representar este cambio de visión, hemos incluido una representación gráfica del alcance del análisis de riesgo bajo los dos modelos en las próximas páginas.

79 Por qué el Enfoque en Manejo Empresarial de Riesgo (ERM)? Tal como presagia la inclusión de una nueva dimensión de Estrategia, COSO dice que el valor de una entidad se maximiza cuando la gerencia establece estrategias y objetivos que balanceen el crecimiento con los riesgos. ERM cubre: Alinear el apetito de riesgo con las estrategias La Gerencia debe considerar el apetito de riesgo de la entidad cuando evalúe alternativas estratégicas y sus objetivos. Ampliar la toma de decisiones en respuesta a riesgos El modelo COSO- ERM provee la disciplina de identificar y seleccionar entre diversos tipos de respuesta a los riesgos, incluyendo las de evitar, reducir, compartir y aceptar. Reducir sorpresas operacionales Las entidades que usan este modelo ganan la capacidad de identificaron riesgos y establecer respuestas en forma inmediata, reduciendo las sorpresas. Manejo de Riegos Múltiples y Cruzados Cada entidad enfrenta muchos tipos de riesgo, y a través de ERM se pueden inter-relacionar los mismos, incluyendo aquellos que cruzan fronteras departamentales y corporativas.

80 Componente 1 Ambiente de Control Hay que comenzar desde arriba ( set tone at the top ), documentando y comunicando decisiones claves sobre adopción de estándares y políticas Implantar controles a nivel de Junta de Directores y de Comités de la Junta Establecer políticas que promuevan independencia a través de todos los niveles de la organización Implantar mecanismos para el mejor manejo de riesgos, incidentes y reacciones Definir/documentar roles de áreas (Control Riesgo, Auditoría Interna, Cumplimiento) y recursos claves Crear mecanismos que incorporen procesos claves tales como la planificación estratégica, la confección de los presupuestos y el análisis mercadológico de la entidad Definir políticas de accountability o responsabilidad individual en torno a la veracidad e integridad de los datos operacionales y financieros.

81 Componente 1 Ambiente de Control (continuación) Ejemplos de Controles de Integridad y Valores Éticos Dejar de hacer cumplir el código de conducta de la compañía Procesar transacciones no ordinarias del negocio sin cuestionar riesgos o con la debida pistas de auditoría Realizar transacciones con entidades no auditadas Hacer transacciones con cuentas bancarias u operaciones subsidiarias en jurisdicciones paraíso fiscal sin justificación aparente de negocio Poseer una actitud laxa, no pro-activa, hacia regulaciones internacionales tales como BSA-Anti Money Laundering No sancionar conductas anti-éticas dependiendo de quien la cometió (un cliente importante o un accionista)

82 Componente 1 Ambiente de Control Ejemplos de Falta de Compromiso de Competencias Funciones de contabilidad y riesgo/control carecen de destrezas necesarias para cumplir con sus responsabilidades efectivamente. Ejemplos de Problemas con la Junta o el Comité de Auditoría Carece de independencia, autoridad, información u otro recurso necesario para cumplir efectivamente su rol de vigilancia. Ejemplos de Problemas con la Estructura Organizacional Estructura compleja con entes legales, líneas de autoridad, o arreglos contractuales numerosos o inusuales, sin propósito aparente de negocio Falta de mecanismos para una apropiada sucesión gerencial Localizaciones de negocio ampliamente dispersadas con gerencia descentralizada y sistema deficiente de reporte

83 Componente 1 Ambiente de Control Filosofía de Gerencia y Estilo de Operación Vacilación, evasión y/o carencia de detalles de la gerencia o auditores frente a preguntas sobre estados financieros Noticias optimistas o comunicaciones a accionistas, con el CEO actuando como evangelista para convencer a los inversionistas del crecimiento futuro potencial Carencia de informes de auditoría interna o informes sin substancia Inconsistencias entre hechos subyacentes a los estados financieros Instancias frecuentes de diferencias en visión entre la gerencia interna y los auditores externos Casos numerosos y/o frecuentes de ajustes surgidos de la auditoría anual, y no registrados o descartados

84 Componente 1 Ambiente de Control Asignación de Autoridad y Responsabilidad Funciones de contabilidad y riesgo/control carecen de la autoridad o respeto corporativo necesarios para cumplir efectivamente con sus responsabilidades Políticas y Procedimientos de Recursos Humanos Programas de incentivo de ventas o ganancias agresivas Carencia de un plan de evaluación de riesgos de fraude por parte de recursos internos Carencia de un programa de evaluación de ejecución de empleados. Carencia de un programa de comunicación de riesgos y controles amplio y continuo a través de la organización

85 Componente 2 Evaluación de Riesgos Muchos países evalúa los riesgos cubiertos por Basilea II (Liquidez, Mercado, Crédito). Pero, COSO y COSO-ERM abarcan otros riesgos adicionales. Entre estos podemos señalar: Riesgos a facilidades y otros activos físicos Riesgos de seguridad, tanto físicos como lógicos Riesgos de reputación, valores éticos y otros intangibles corporativos Riesgos asociados a la informática Riesgos asociados con la cartera de clientes (concentración, fusiones/adquisiciones, etc) Riesgos asociados con cumplimiento regulatorio Riesgos asociados con eventos externos y no esperados Riesgos de continuidad de negocio Riesgos asociados con la cadena de suplidor y los proveedores Riesgos legales y de seguros Riesgos asociados con la falta de salvaguardas del conocimiento corporativo Y muchos otros más

86 Componente 2 Evaluación de Riesgos Ejemplos de Riesgos Crecimiento rápido en comparación a otras compañías de la industria Resultados financieros demasiado buenos para creer o significativamente mejores que los de competidores sin grandes diferencias operacionales Presión para obtener capital adicional necesario para seguir competitivo al considerar la posición financiera de la entidad incluyendo necesidad para financiar gastos de investigación y desarrollo u otros gastos Dependencia alta en deuda o habilidad marginal para cumplir con obligaciones de pago de deudas. Pactos de deuda difíciles de mantener. Consecuencias adversas en transacciones significativas pendientes, tal como fusión de negocios u otorgación de contrato, con estados financieros deficientes Inhabilidad para producir flujo de efectivo de operaciones mientras se reporta crecimiento en ganancias

87 Componente 2 Evaluación de Riesgos Ejemplos de Riesgos Consistentemente, correspondencia cercana o exacta entre resultados reportados y resultados planificados Cambios en Estado de Situación, o cambios en tendencias o en relaciones importantes de estados financieros Arreglos de negocio complejos no comprendidos adecuadamente Transacciones inusuales o muy complejas cerca del cierre de año fiscal Transacciones sustanciales de último momento que reflejan ingresos significativos en informes trimestrales o anuales Cambios frecuentes y significativos a estimados aumentando o reduciendo ingresos reportados Vulnerabilidad alta a cambios en tasas de interés

88 Componente 2 Evaluación de Riesgos Ejemplos de Riesgos Políticas de contabilidad inusuales, particularmente para reconocimiento de ingresos y diferimiento de costos Métodos de contabilidad que aparentan favorecer forma sobre sustancia Principios y prácticas de contabilidad distintos o en varianza con las normas de la industria o GAAP Carencia de un subsidiario formal de activos fijos, o de controles sobre cualquier subsidiario existente Ajustes significativos a períodos previos Continuos cambios de auditores externos Falta de controles en la relación con proveedores claves (ATH Dominicana)

89 Análisis del Riesgo Evaluación del Riesgo Gerencia del Riesgo Monitoreo del Riesgo Identificación Controlarlo Nivel de Proceso Medición Compartirlo o Transferirlo Nivel de Actividad Determinación de prioridad Diversificar o Evitarlo Nivel de Entidad

90 Determinación del Apetito de Riesgo en una Entidad Apetito del riesgo es la cantidad de riesgo a grandes rasgos que una entidad está dispuesto a aceptar en la búsqueda de valor. Usa términos cuantitativos y cualitativos (por ej. ganancias en riesgo v. riesgo de reputación) y considera tolerancia de riesgo (rango de variación aceptable). Preguntas Claves: Se realiza un BIA todos los años? Se hace de forma independiente? Qué riesgos no aceptará la organización? (por ejemplo, compromisos ambientales o de calidad) Qué riesgos aceptará la organización al emprender iniciativas nuevas? (por ejemplo, nuevas líneas de producto) Qué riesgos aceptará la organización para el logro de objetivos en competencia? (por ejemplo, ganancia bruta vs. cuota del mercado)

91 Impacto vs. Probabilidad Alto I M P A C T O Riesgo Mediano Compartir Riesgo Bajo Acceptar Alto Riesgo Mitigar y Controlar Riesgo Mediano Controlar Baja PROBABILIDAD Alta

92 Ejemplo de Evaluación de Riesgo Central de Llamadas Alto I M P A C T O Riesgo Mediano Pérdida de teléfonos Pérdida de computadoras Fraude Riesgo Bajo Transacciones perdidas Moral del empleado Riesgo Alto Riesgo de crédito Cliente tiene larga espera Cliente no puede acceder Cliente no obtiene respuestas Riesgo Mediano Errores de entrada Obsolescencia de equipo Llamadas repetidas para mismo problema Bajo PROBABILIDAD Alta

93 Ejemplo de Análisis de Función de Cuentas por Pagar Objetivo Riesgo Actividad de Control de Control Integridad Transacción Acumulación de material obligaciones no registrada pendientes Facturas acumuladas post cierre Problema: Facturas vienen de la calle y cuentas por pagar no está al tanto de la obligación

94 Tipos de Eventos de Pérdida Principales Fraude Interno Fraude Externo Relaciones laborales y seguridad en puesto de trabajo Clientes, productos y prácticas empresariales Daños a activos materiales Interrupción del negocio y fallos en los sistemas Ejecución, entrega y gestión de procesos Cada riesgo debe estar asociado a un tipo de evento de pérdida

95 Líneas de Negocio Según Basilea Finanzas Corporativas Negociación y Ventas Banca Minorista Banca Comercial Liquidación y Pagos Servicios de Agencia Gestión de Activos Intermediación Minorista Cada riesgo debe estar asociado como menos a 1 línea de negocio

96 Ejemplos de Riesgos Operacionales en Áreas de Negocio Pérdida de documentos indispensables para tramitar préstamos u otras transacciones Desembolso de préstamo sin la documentación y/o las aprobaciones requeridas Ingresar información incorrecta en los sistemas de información Aprobar financiamiento a cliente sin capacidad de pago Contrato no considera alguna cláusula importante Tasación de inmobiliario sobre-evaluada Robo de identidad

97 Ejemplos de Riesgos Operacionales en Áreas de Negocio Incumplimiento del tiempo establecido por ley para atender reclamaciones Tramitar cancelación de cuenta equivocada Pérdida de control en tarjetas de crédito embozadas y/o entregadas al cliente Seguridad de activos líquidos en cajeros y ATM s Falta de depuración adecuada de documentos Firmas inválidas o no autorizadas Falta de documentación actualizada para tramitar préstamo

98 Ejemplos de Riesgos Operacionales en Áreas de TI Acceso no autorizado a información de índole sensitiva. Carencia de Administración de Proyectos de TI Dependencia única en el personal que realiza las tareas Desfase entre proyectos de operaciones de negocio e Informática Falta de SLA s ( service level agreements ) y de OLA s ( operations level agreements ) formales Hurto de equipo Incapacidad de continuar en caso de emergencia/desastre. No documentar apropiadamente los eventos del incidente y la información de los sistemas afectados.

99 Ejemplos de Riesgos Operacionales en Áreas de TI No exista documentación de políticas y procedimientos (Método de Resguardo y Restauración, aprovisionamiento de usuarios en la red, etc.) No llevar a cabo pruebas de calidad en los desarrollos/implantaciones Carencia de una adecuada segregación de tareas y responsabilidades No poder evidenciar que se mantuvo una cadena de custodia apropiada No poder llevar a cabo tareas diarias de seguridad de información de manera eficiente y efectivamente. Pérdida de información vital para la investigación del suceso Robo de información por falta de controles (cifrado, configuración débil de los sistemas, etc.) 40

100 Medición de Riesgo en el Corto y Mediano Plazo Probabilidad Alta 3 Media 2 Baja 1 Impacto Zona de Riesgo Leve Moderado Muy Alto Con el objetivo de minimizar la complejidad del Sistema de Administración de Riesgo, proponemos una metodología que contemple tres (3) niveles de probabilidad de ocurrencia de los eventos de riesgo y tres niveles de impacto. Interpretación de las Zonas de Riesgo Aceptable Tolerable Moderado Importante Inaceptable Probabilidad: Alta: Se espera la ocurrencia del evento en cualquier circunstancia (> 6 eventos en los últimos tres años). Media: Evento ocurrirá en algún momento (entre 3 y 5 eventos) Baja: Evento solo puede ocurrir en circunstancias excepcionales (entre 0 y 2 eventos)

101 Medición de Riesgo en el Corto y Mediano Plazo Niveles de Impacto Perdida Patrimonio Tomando como base el patrimonio técnico de la entidad, definiremos los niveles de impacto acorde a la pérdida probable como consecuencia de la frecuencia de ocurrencia de los eventos de riesgo durante un periodo, acorde a la siguiente escala: Muy Alto Moderado Leve Patrimonio Perdida Muy Alto: >5% del patrimonio técnico. Moderado: >1% y <5%. Leve: < 1%. REPORTE DE EVENTOS DE PERDIDA POR RO. INSTRUCTIVO RO Rangos de Patrimonio Técnico Monto de perdida a reportar por evento Hasta 20.0 M $1, m-75.0M $2, M-125M $5, M $8,000

102 Medición de Riesgo en el Corto y Mediano Plazo Probabilidad de ocurrencia de los eventos de pérdida Probabilidad 5 Casi Certeza 4 Probable 3 Posible 2 Improbable 1 Raro CLASIFICACION Se espera ocurrencia en la mayoría de las circunstancias Casi con certeza se espera la ocurrencia del evento (81% y 100%) Evento ocurrirá en casi cualquier circunstancia Significativa probabilidad de ocurrencia (entre 61% y 80%) Evento ocurrirá en algún momento Mediana probabilidad de ocurrencia (entre 41% y 60%) Evento puede ocurrir en algún momento Baja probabilidad de ocurrencia (entre 21% y 40%) Evento puede ocurrir solo bajo circunstancias excepcionales Muy baja probabilidad de ocurrencia (entre 0% y 20%)

103 Medición de Riesgo en el Largo Plazo Matriz de Riesgos 5- Casi Certeza Probable Posible Poco Probable Raro Probabilidad Magnitud 1 Insignificante 2 - Menor 3 - Moderado 4 - Mayor 5 - Catastrófico Una vez evaluados los riesgos de acuerdo con su probabilidad e impacto, se construye la matriz de riesgos, con el objetivo de detectar los riesgos que pudieran encontrarse en la zona Roja. Al igual que en la Metodología de Corto Plazo, la magnitud o impacto estará dada por la pérdida probable en función del patrimonio técnico. Interpretación de las Zonas de Riesgo Bajo Moderado Alto Extremo

104 Escala de Efectividad Escala Definición Descripción 3 Fuerte 2 Moderada 1 Débil Escala de Implantación Escala Definición Descripción 3 Alta 2 Media 1 Baja Medición de Riesgo en el Largo Plazo Los controles son adecuados en cuanto a su diseño inherente Los controles son adecuados; existen algunas debilidades pero no representan riesgo significativo Los controles no son de nivel aceptable o no existen El control se aplica de la forma planeada, en torno a periodicidad y dueños del control asignados. El control tiene algunas fallas en su aplicación, sin embargo no representa mayores riesgos El control no se aplica de la forma planeada, o no ha sido implementado Evaluación de Controles Derivado de las escalas, se crea una matriz con la finalidad de evaluar que tan efectivo es cada control 3 Fuerte Moderada Débil Efectividad Implantación 1 Baja 2 - Media 3 - Alta 3 Fuerte 3 2 Moderada 2 1 Débil 1

105 Componente 3 Actividades de Control La definición de controles (o actividades de control) es el corazón del modelo COSO, y el más apegado al detalle operacional. Este componente presupone las siguientes actividades y elementos: Crear un inventario de actividades o procesos de la organización Punto de partida es la definición de actividades provista por Basilea Identificar todo proceso de negocio realizados por entes externos Para cada proceso/actividad, saber riesgos generales que enfrenta Para cada riesgo (o grupo de riesgos relacionados), hay que definir un objetivo de control (conocido en COSO como control objective ) En paralelo con el objetivo de control, hay que idear mecanismos para cuantificar riesgos e impacto de medidas contra dichos riesgos Para cada riesgo-objetivo de control, hay que diseñar un control específico a implantar en corto o largo plazo Importante definir responsabilidad sobre cada elemento de riesgo y control, y que las personas tienen las herramientas para librar dichas responsabilidades

106 Componente 3 Actividades de Control Inventario de Riesgos y Controles Gerencia de Proyectos - Hipotecas Área Proceso Sub Proceso Eventos de Riesgos Solicitud y trámite de financiamiento Recopilar datos requeridos para financiamiento Documentación incompleta y/o vencida Cliente trae tasación sobreevaluada Cliente presenta presupuesto de construcción abultado Propiedad con gravamen Identidad falsa del cliente Probabilidad Ocurrencia Media Baja Baja Baja Baja Controles Gerencia de Valuaciones (GV) revisa documentos requeridos para fines de evaluación de proyecto Se informa al cliente cualquier anormalidad y solicita información necesaria y/o actualizada. Gerencia de Valuaciones revisa y da opinión de valor. Gerente de Proyecto trabaja en base a opinión de GV. GV revisa y da opinión Gerente de Proyecto trabaja en base a opinión de GV. Certificación de Cargos y Gravámenes debe tener < de 60 días de vigencia. Gerencia de Proyectos confirma los datos de identificación del cliente en el Padrón Electoral. Si el cliente es de nacionalidad extranjera, la Dirección de Seguridad depura información.

107 Preventivo Detectivo Tipo de Control Frecuencia Evidencia Calificación de Riesgo Control Clave Efecto Financiero Componente 3 Actividades de Control Inventario de Riesgos y Controles # Dirección o Area Proceso Descripción del Proceso Descripción del Riesgo Controles

108 Componente 3 Actividades de Control Narrativas y Diagramas de Flujo - Introducción El requisito más importante de esta fase es sencillo el ejecutor y sus supervisores deben conocer los procesos en su más pequeño detalle. El segundo requisito más importante también es sencillo el proceso debe estar documentado de manera tal que cualquiera en la organización lo comprenda tan bien como el ejecutor del proceso. Existen múltiples técnicas de documentación que asisten al equipo de auditores internos y a los responsables de los procesos a llegar a un entendimiento común del proceso. Pero los dos elementos de documentación comúnmente aceptados son las narrativas y los diagramas de flujos. Confirmada su precisión, los documentos proveen una base para el análisis de riesgos, pruebas de controles internos, implantación de mejoras a los procesos y adiestramiento de personal.

109 Componente 3 Actividades de Control Narrativas y Diagramas de Flujo Ejemplo de BPMN

110 Componente 4 Información y Comunicación Información Sistemas no proveen información oportuna/confiable a las personas correctas y con suficiente detalle para permitirles cumplir sus responsabilidades eficiente y efectivamente Comunicación Comunicación a través de la organización (y con clientes y socios en la cadena de valor) no capacita a las personas para cumplir sus responsabilidades

111 Componente 5 Monitoreo Monitoreo continuo Resistencia a cambios a sistemas y procedimientos recomendados por auditores internos y/o externos Evaluaciones separadas Auditores internos operando bajo restricciones de alcance Reportes de Deficiencias Causas subyacentes a deficiencias en controles o problemas de reporte no son investigadas ni se toma acción

112 Proceso de Implantación del Modelo COSO La Junta de Directores y la Alta Gerencia establecerán el modelo de controles internos en concordancia con el modelo COSO y el modelo COBIT. Need for Tone at the Top Gobernabilidad Administración de Riesgo Manejo de Información (énfasis en IT) Actividades financieras y operacionales

113 Enfoque Propuesto para Cumplir con el Modelo COSO La entidad debe adoptar una estrategia de revisión y documentación continua de sus riesgos y controles internos. Sugerimos una metodología gradual hacia este logro. Fase 4 Monitoreo Continuo Fase 3 Determina Efectividad Operacional Fase 2 Determinar Efectividad del Diseño Fase 1 - Planificación

114 Cumplimiento con COSO FASE 1: PLANIFICACIÓN Actividades Educar a la alta gerencia, la junta de directores y el comité de auditoría en torno al estándar COSO Establecer un equipo de trabajo interno, con recursos claramente responsabilizados y una buena comunicación Identificar y delegar el plan de trabajo Considerar mecanismos tecnológicos para la recopilación de datos, la documentación, el análisis y la generación de informes Llevar a cabo un análisis inicial de riesgos Entregables Equipo de trabajo con sus roles Plan de trabajo detallado Prioridad por riesgo Análisis inicial de riesgo con recomendaciones Herramientas seleccionadas Adiestramientos impartidos Fase 3 Fase 2 Fase 1 Fase 4

115 Cumplimiento con COSO FASE 2: EFECTIVIDAD DE DISEÑO Actividades Revisar políticas y procedimientos existentes Determinar que procesos y controles son importantes Determinar que localizaciones o unidades de negocio deben ser incluidas Documentar los procesos seleccionados y confirmar veracidad con los usuarios Evaluar el diseño y efectividad de los controles Identificar las deficiencias de diseño y determinar medidas correctivas Identificar áreas a ser probadas Determinar naturaleza y alcance de las pruebas Coordinar para la ejecución Entregables Documentación de controles internos Herramientas de apoyo implantadas Observaciones de mejora de controles Identificación de transacciones a probar Programa de pruebas Fase 3 Fase 2 Fase 1 Fase 4

116 Cumplimiento con COSO FASE 3: EFECTIVIDAD OPERACIONAL Actividades Evaluar la eficiencia operacional de los controles mediante pruebas enfocadas Ejecutar pruebas de controles Determinar resultados Establecer recomendaciones Comunicar resultados a auditores/áreas implicadas Entregables Documentar resultados de pruebas y recomendaciones Lista detallada de controles fallidos: Deficiencia Condiciones/características Comentarios Fase 3 Fase 2 Fase 1 Fase 4

117 Cumplimiento con COSO FASE 4: MONITOREO CONTINUO Actividades Establecer un plan de monitoreo continuo Actualizar documentación Considerar pasos adicionales para alcanzar madurez Satisfacer requisitos regulatorios Entregables Diseño del plan de monitoreo mensual, trimestral, semestral y anual Cambios a entregables previos Diseño del paquete de informes a generar Fase 3 Fase 2 Fase 1 Fase 4

118 Qué Modelo de Controles Internos Aplica a Tecnología?

119 Reguladores.y Estándares Gran enfoque en temas de seguridad de información Muchos países poseen regulaciones sobre el tema de seguridad Múltiples estándares en torno al tema de seguridad Cobit (controles generales de TI) ITIL (parámetros de TI como un servicio) ISO (seguridad de información) ISO y DRI (continuidad ó recuperación de negocios) PCI (industria de tarjetas de pago) Cumplimiento regulatorio solo es posible mediante la adopción de estándares

120 Continuidad de Negocio Continuidad del negocio ( business continuity ) y recuperación de desastres ( disaster recovery ) son otra faceta de la seguridad de información en el plano corporativo. Se piensa solo en resguardos de datos.pero va mucho más allá. Reguladores están haciendo gran énfasis en esta área de seguridad Anualmente se invierten billones de US$ en continuidad de negocio: Eventos naturales no son la causa más común de declaración de desastre en una empresa.problemas con tecnología son la causa más común de activación Según encuestas, menos del 40% de las empresas tienen un plan de continuidad formalmente escrito y probado.

121 Fases para la Preparación de un Plan de Continuidad de Negocios Fase 1 Organizar el Proyecto Fase 2 Evaluar los Riesgos Fase 3 Análisis de Impacto (BIA) Fase 4 Definir Estrategias Primarias Fase 5 Manejo de Incidentes Fase 6 Documentar el Plan Fase 7 Adiestrar y Crear Cultura Fase 8 Prueba del Plan Fase 9 Comunicar y Diseminar