Gestión n de Riesgos Corporativos (COSO ERM) Dr. José LAGO RODRÍGUEZ, CIA, CPN, MBA Ex Presidente de FLAI

Transcripción

1 Gestión n de Riesgos Corporativos (COSO ERM) Dr. José LAGO RODRÍGUEZ, CIA, CPN, MBA Ex Presidente de FLAI Director At Large IIA Board of Directors

2 Tiene su organización un proceso formal de Gestión de Riesgo u otro método para identificar riesgos? Después de Enron: Encuesta a los Directores Corporativos

3 Corporate Governance: Definición Sistemas y Procesos que una Empresa pone en funcionamiento para proteger los derechos de sus gupos de interés (stakeholders). Accionistas Inversores Empleados Comunidad Clientes Proveedores Acreedores Estado

4 Qué implica el Buen C. G.? No basta con cumplir las normas y regulaciones (Compliance). Requiere: Cultura de Etica y Buenas Practicas en los Negocios (BP&E). Información Transparente y Adecuadamente Expuesta (D&T). Clara e Integral Comprensión de Cómo Manejar Riesgos. Procesos adecuados para Manejar y Monitorear Riesgos (ERM).

5 Gobierno Eficaz

6 COSO ERM Objetivo del Proyecto: Mejorar la Identificación de Riesgos y los Procedimientos de Análisis de Riesgos. Principios Subyacentes: Toda Organización, con ó sin fines de lucro, existe para Agregar Valor a sus grupos de interés (stakeholders). El Valor es creado, preservado ó erosionado por decisiones del Management en todas las actividades, desde la Definición de Estrategias hasta operar el día a día de la empresa.

7 COSO ERM Ayuda a la creación de Valor, permitiendo al Management: Manejarse eficazmente con eventos futuros potenciales que crean incertidumbre. Responder con comportamientos que reduzcan la probabilidad de resultados desventajosos e incrementen los beneficios.

8 ERM Provee mayores capacidades para: Alinear el apetito por el riesgo y la estrategia. Conectar crecimiento, riesgo y retorno. Mejorar las decisiones en respuesta a los riesgos. Minimizar sorpresas y pérdidas operacionales. Identificar y gestionar riesgos cruzados. Proveer respuestas integrales a riesgos múltiples. Dimensionar Oportunidades. Racionalizar el Capital.

9 ERM Es un Proceso que incluye: Identificar Potenciales Eventos que pueden Impactar en los Objetivos. Evaluar los Riesgos y darle Respuesta. Considerar los Riesgos en la Formulación de la Estrategia. Aplicar el ERM a través de toda la Empresa. Gestionar los Riesgos considerando el nivel de apetito ó adversión al riesgo de la Org. Lograr una visión del Portfolio de Riesgos a nivel de la Compañía. Monitorear el Comportamiento del ERM.

10 COSO ERM F Categorías de Objetivos: Estratégicos Operacionales de Información de Cumplimiento Considerar las Actividades en todos los Niveles dentro de la Organización: n: Empresa División Unidad de Negocio Subsidiaria.

11 Enfoque COSO IC-IF IF Efectividad y Eficiencia en las operaciones Información confiable Ambiente de Control Compliance Evaluación n de Riesgos Actividades de Control Información n y Comunicación Monitoreo y Supervisión

12 Componentes del Control Interno: COSO s Internal Control Integrated Framework (IC-IF) Información y Comunicación Monitoreo Actividades de Control Evaluación n de los Riesgos Ambiente de Control Información y Comunicación

13 COSO ERM F Componentes Interrelacionados: Ambiente de Control Establecimiento de Objetivos Identificación n de Eventos Evaluación n de Riesgos Respuesta a los Riesgos Actividades de Control Información y Comunicación Monitoreo

14 Ambiente de Control: COSO ERM F Establece una Filosofía respecto de la Gestión de Riesgos. Reconocer que tanto eventos esperados como no esperados pueden ocurrir. Establece una Cultura del Riesgo en la Org. Considera todos los otros aspectos sobre cómo las acciones de la Org. Afectan esta Cultura del Riesgo (apetito, tolerancia, adversión al riesgo).

15 COSO ERM F Establecimiento de Objetivos: Se aplica cuando el Management considera la estrategia de riesgos en la Formulación de los Objetivos. Formaliza el apetito al riesgo a nivel de entidad. Es una visión a alto nivel de cuanto riesgo están dispuestos a aceptar la Alta Dirección y el Board. Tolerancia al Riesgo es el nivel aceptable de variación respecto de los objetivos, y está alineado al apetito al riesgo. (Cuantificarlo).

16 COSO ERM F Identificación de Eventos/Sucesos: Distinguir Riesgos y Oportunidades: Riesgos: Sucesos que pueden tener un impacto negativo. Oportunidades: Eventos que pueden tener un impacto positivo. Identificar esos incidentes (int. ó ext.) que pueden afectar la estrategia y el logro de los objetivos. Determinar cómo los factores internos y externos se combinan e interactúan para influenciar su perfil de riesgos.

17 Evaluación de Riesgos: COSO ERM F Tener en cuenta su importancia y comprender el alcance sobre cómo los eventos potenciales pueden impactar en los Objetivos. Evaluar los riesgos desde 2 perspectivas: Probabilidad e Impacto. Unidad de Medición: Normalmente es la misma que usamos para medir los objetivos relacionados.

18 COSO ERM F Evaluación de Riesgos (cont.): Emplear una combinación de las 2 metodologías de evalución de riesgos: Cuantitativa y Cualitativa. Los horizontes de tiempos están relacioandos con los horizontes de tiempo de los Objetivos. Evaluar Riesgos sobre las 2 bases, de Riesgo Inherente y Riesgo Residual.

19 Respuesta al Riesgo: COSO ERM F Identificar y Evaluar las posibles respuestas al Riesgo: Transferir, Compartir, Reducir, Aceptar. Evaluar opciones en relación con: El apetito de riesgo de la Org., La Relación Costo/Beneficio de c/potencial respuesta y, El Grado en que una respuesta reducirá el Impacto y/o la Probabilidad de ocurrencia.

20 Respuesta al Riesgo: COSO ERM F Evaluar si la respuesta al riesgo impacta en el marco integral de los componentes del ERM y cuál respuesta específica es seleccionada si no es así. Seleccionar y ejecutar esa respuesta basados en la evaluación del portafolio de riesgos y de respuestas. La Respuesta no forma parte del ERM

21 Actividades de Control: COSO ERM F Son las políticas y procedimientos que ayudan a asegurar que la respuesta al riesgo, así como otras directivas de la entidad, son aplicadas. Existen a través de toda la Org., a todos los niveles y en todas las funciones. Incluyen controles en los aplicativos y controles generales en IT. Para que exista un ERM eficaz debe existir un Control Interno efectivo.

22 COSO ERM F Información y Comunicación: La Información es necesaria en todos los niveles de una entidad para identificar, evaluar y responder al riesgo. El Management identifica, captura y comunica la información pertinente en un tiempo y una forma que permitan a la gente cumplir con sus responsabilidades. La Comunicación ocurre en un sentido amplio, fluyendo hacia abajo, hacia arriba y a través de la Organización.

23 Monitoreo: COSO ERM F Monitorear la efectividad en curso de los otros componentes del ERM, a través de: Actividades de Monitoreo durante el proceso. Evaluaciones por separado. Una combinación de ambas.

24 COSO ERM F Roles y Responsabilidades: Board de Directores: Asegurarse que los riesgos son gestionados. Management: Las Gerencias son las propietarias del ERM: Identifica y maneja los riesgos. Oficiales de Riesgo / Comité de Riesgos. Auditor Interno: Facilitador y Monitoreo: Aseguramiento y Consulta. Otros miembros de la Organización.

25 COSO ERM F Relación con COSO s Internal Control Integrated Framework (COSO IC-IF) ERM se expande y elabora sobre los elementos de C.I. ya expuestos en el COSO. ERM incluye la Formulación de los Objetivos como un componente separado. COSO IC-IF expone a los Objetivos como un Prerrequisito para el Control Interno. En el Marco sobre ERM, la categoría del Objetivo sobre Información es mayor que en el COSO, que sólo hablaba de Información Financiera.

26 COSO ERM F Relación con Control Interno: Un Control Interno efectivo es necesario para un ERM efectivo. El Marco de Trabajo del ERM amplía el componente de Evaluación de Riesgos del COSO IC-IF separándolo en Componentes. El Marco de Trabajo del ERM se explaya en detalle sobre cómo otros componentes del IC IF están relacionados con el ERM

27 Marco para la Práctica Profesional: 3 Categorías de Guías Normas y Ética Consejos p/la Práctica Definición de Auditoría Interna Código de Ética Normas sobre Atributos, Desempeño e Implementación PPF: Folletos Práctica Profesional Libros Ayudas p/ Práctica y Desarrollo Inf. Investigación Seminarios Conferencias

28 Desarrollo de los Consejos para la Práctica Nuevos: Ética - El Rol de A.I. Servicios de Consultoría Seguridad Informática Información fuera de la Organización Gestión del Riesgo

29 Un Marco Completo y Multidimensional... Consejos para la Práctica (interpretar) Normas y Ética Agregar Valor Ayudas p/la Práctica y el Desarrollo (implementar)

30 Definición de Auditoría Interna Qué somos? Actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Qué hacemos? Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno.

31 Definición de Control Interno s/mpp Proceso efectuado por el Directorio, la Gerencia y los otros miembros de la Org., diseñado para proporcionar un grado de seguridad razonable en cuanto al logro de objetivos en las siguientes categorías: efectividad y eficiencia de las operaciones, confiabilidad e integridad de la información financiera y operativa, protección de activos, y cumplimiento de leyes, regulaciones y contratos.

32 Definiciones Riesgo: Incertidumbre de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos. Se mide en términos de consecuencias y probabilidad.

33 Administración de la Actividad de A.I. El principal ejecutivo de auditoría (DEA) debe gestionar efectivamente la actividad de auditoría interna para asegurar que agregue valor a la organización.

34 El Rol del AI en ERM (Sp 04) Sugiere formas para que los AI mantengan su OBJETIVIDAD e INDEPENDENCIA requeridas por las Normas del IIA cuando provean servicios de aseguramiento y consulta.

35 Objetividad Actitud mental independiente: Llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. No subordinar su juicio al de otros sobre temas de AI.

36 El Rol del AI en ERM (Sp 04) ERM: Proceso estructurado, consistente y continuo implementado a través de toda la organización para IDENTIFICAR EVALUAR MEDIR y REPORTAR amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.

37 El Rol del AI en ERM (Sp 04) Rol fundamental: Proveer Aseguramiento Objetivo a la Dirección y a la Junta sobre la EFECTIVIDAD de la Gestión de Riesgos: 1) ASEGURAR que los riesgos claves del negocio están siendo GESTIONADOS apropiadamente y, 2) ASEGURAR que el Sistema de Control Interno está siendo OPERADO efectivamente.

38 El Rol del AI en ERM (Sp 04) Rol fundamental: Proveer Consejo. Motivar y Soportar las Decisiones Gerenciales sobre Riesgos. No Decidir sobre Riesgos. Documentar responsabilidades de AI en Estatutos de AI aprobados por Comité de Auditoría.

39 El Rol del AI en ERM (Sp 04) Gerencia de Riesgos: Es el Responsible de Establecer y Operar el ERM con la Aprobación de la Junta

40 Roles Fundamentales de AI en ERM ASEGURAMIENTO: Procesos de Gestión de Riesgos (Diseño y Operación). Riesgos Correctamente Evaluados. Evaluación Procesos de Gestión de Riesgos. Evaluación de Reporte de Riesgos Claves. Revisión Gestión de Riesgos Claves (incluye Efectividad de Controles y Otras Respuestas a éstos). Gerente del Proyecto ERM???

41 Roles Legítimos de AI en ERM CONSULTORÍA: Apoyar a Gerencia en su trabajo: Facilitación, Identificación y Evaluación de Riesgos. Herramientas y Técnicas usadas por AI para analisis de Riesgos y Controles. Defender el establecimiento del ERM, aportando su experiencia en Gestión de Riesgos y en la Org. Entrenamiento a la Gcia. sobre Riesgos y Controles y Respuesta a Riesgos

42 Roles Legítimos de AI en ERM CONSULTORÍA (cont.): Coordinación, Monitoreo y Reporte sobre Riesgos. Mantenimiento y Desarrollo del Marco de ERM. Desarrollo de Estrategias de Gestión de Riesgo para Aprobación de la Junta Asumir Responsabilidad Gerencial de Gestión de Riesgos.???: Transferencia de Responsabilidades a la Gcia.

43 Roles Legítimos de AI en ERM SALVAGUARDAS: Asegurar que Actividad no amenaza Independencia y Objetividad de AI: Gerencia mantiene responsabilidad de Gestión de Riesgo. Confirmar que actividad podría mejorar los procesos de Gestión de Riesgos, Control y Gobierno de la Organización: Aplicar Normas de Consultoría. Tener Destrezas (Ej. Manejo de Proyectos, Analíticas y de Facilitación), Cuerpo de Conocimientos (Requerim. de GC) y Valores (Balance saludable de Riesgo): Pericia.

44 Rol de AI en ERM

45 Roles Que AI NO Debe Realizar Establecer el Apetito de Riesgo. Imponer Procesos de Gestión de Riesgo. Manejar el Aseguramiento sobre los Riesgos de los que es responsable. Tomar Desiciones de Riesgo en Respuesta a los Riesgos. Implementar Respuestas a Riesgos a Favor de la Administración. Tener Responsabilidad en la Gestión de Riesgos.

46 Normas para el Ejercicio Profesional Atributos: Qué Somos y qué debemos tener. Desempeño: Qué Hacemos y qué acciones debemos tomar. Implementación: Cómo aplicarlas en un caso particular.

47 Normas sobre Atributos Describen Características básicas de las Organizaciones y las personas que prestan servicios de A.I. Normas sobre Desempeño Describen la Naturaleza de las actividades de Auditoría Interna. Proporcionan criterios de calidad con los cuales puede medirse el desempeño de estos servicios

48 Pericia y Debido Cuidado Profesional Pericia: Conocimientos, Aptitudes y otras competencias necesarias p/cumplir con sus responsabilidades individuales. Debido Cuidado Profesional: Cuidado y pericia esperados de un A.I. razonablemente prudente y competente. Ejercerlo al considerar: Adecuación y efectividad de los procesos de Gestión de Riesgos, Control y Gobierno. Relación Costo de Aseguramiento/Potencial Bº

49 Pericia y Debido Cuidado Profesional Debido Cuidado Profesional: El A.I. debe estar alerta a los RIESGOS MATERIALES que pudieran afectar los objetivos, operaciones ó los recursos. Los procedimientos de aseguramiento, por sí solos, no garantizan que todos los riesgos materiales sean identificados (infalibilidad).

50 Administración Efectiva Actividad A.I. Planes basados en riesgos, p/determinar prioridades. Plan consistente c/metas Org. Agregar Valor Plan de Trabajo basado en Evaluación de Riesgos (Anual) Considerar comentarios Alta Dirección y Consejo Consultoría: Aceptar sólo si mejora gestión de riesgos, añade valor y mejora las operaciones de la Org.

51 Administración Efectiva Actividad A.I. Informar periódicamente al Directorio y la D.S. Sobre la Activ. en lo referido a Propósito, Autoridad, Responsabil. y Desempeño del Plan. Incluír Exposiciones de Riesgo Relevantes y Cuestiones de Control, Gobierno Corporativo y otras necesarias o requeridas por Consejo y la Alta Dirección.

52 Administración Efectiva Actividad A.I. A.I. debe evaluar si vuelve a informar al Consejo sobre Obs. y Recomendaciones significativas en las que la Alta Dirección y el Consejo asumieron el riesgo de no corregir la situación informada: Puede ser necesario cuando ha habido cambios en la Org, el Consejo, la AD ú otros cambios.

53 Naturaleza del Trabajo Activ. AI: Evalúa y contribuye a mejora sistemas de Gestión de Riesgos, Control y Gobierno. Gestión de Riesgos: Asistir a la Org.: Identificando y Evaluando Exposiciones significativas a los riesgos y Contribuyendo a la Mejora de los Sistemas de Gestión de Riesgos y Control. Supervisión y Evaluación Eficacia del Sistema de Gestión de Riesgos de la Org.

54 Naturaleza del Trabajo El Proceso debe ser: Adecuado: Los Objetivos y Metas serán alcanzados eficiente y económicamente. Eficiente: Consigue Objetivos de forma precisa, oportuna y económica. Económico: Mínimo Uso de Recursos en consonancia con la Exposición al Riesgo.

55 Naturaleza del Trabajo El Proceso debe ser: Eficaz: Obtener una Seguridad Razonable de que los Objetivos y Metas de la Org. serán alcanzados. Seguridad Razonable: Si se toman las acciones más eficaces con respecto al costo en las etapas de diseño e implantación, que permitan reducir riesgos y limitar las desviaciones a un nivel aceptable.

56 Naturaleza del Trabajo Evaluar las Exposiciones al Riesgo referidas al Proeceso de Gestión Global a cargo de la Dirección, en especial en lo que se refiere a Gobierno, Operaciones y Sistemas de Información de la Org.: Confiabilidad e Integridad Información (Financiera y Operativa), Eficacia y Eficiencia de las Operaciones, Protección de Activos, Cumplimiento de leyes, regulaciones y contratos. Identificación de las exposiciones al riesgo y el uso de estrategias eficaces para controlarlas.

57 Naturaleza del Trabajo Consultoría: Considerar riesgo compatible con Objetivos del Trabajo y estar alerta a la existencia de otros riesgos significativos. Incorporar los conocimientos del riesgo obtenidos de los trabajos de Consultoría en el Proceso de Identificación y Evaluación de las Exposiciones de Riesgo significativas en la Org.

58 Naturaleza del Trabajo Tipos de Control Preventivo: Evitar hechos no deseados. Detectivo: Detectar y Corregir hechos no deseados que han ocurrido. Directivo: Provocar ó Promover que sucedan hechos deseados.

59 Planificación: Temas a Considerar: Objetivos de la Actividad Revisada y Medios con los que Controla su Desempeño. Riesgos Significativos de la Actividad, sus Objetivos, Recursos y Operaciones, y Medios con los cuales el Impacto Potencial del Riesgo se Mantiene en Niveles Aceptables.

60 Planificación: Temas a Considerar: Adecuación y Eficacia de los Sistemas de Gestión de Riesgos y Control de la Actividad, comparados con un Modelo de Control. Oportunidades de Introducir Mejoras Significativas en los Sistemas de Gestión de Riesgos y Control de la Actividad.

61 Planificación: Objetivos del Trabajo Identificar y evaluar los riesgos relevantes de la Actividad bajo revisión. Los Objetivos del Trabajo deben reflejar los Resultados de la Evaluación de Riesgos.

62 Criterios para la Comunicación Las Observaciones deben Incluír: Lo que debe ser (Criterio ó Norma). Lo que es: Evidencia Causa: Porqué existe la diferencia. Efecto ó Impacto de la Diferencia: Riesgo ó Exposición en que se encuentra la Org. ó terceros y su impacto sobre las operaciones y los estados financieros de la Org

63 Supervisión del Proyecto Establecer y Mantener un Sistema para Supervisar la Disposición de los Resultados comunicados a la Gerencia. Establecer un Proceso de Seguimiento para Supervisar y Asegurar que las Acciones de la Dirección han sido efectivamente implementadas ó que la Dirección Superior acepta el Riesgo de No Tomar Acción.

64 Aceptación de Riesgos por la Dirección La Alta Dirección puede decidir asumir el riesgo de no corregir la situación informada, por razones de costo ú otras consideraciones. El Consejo debe ser informado de tales decisiones tomadas por la Alta Dirección con respecto a todas las observaciones y recomendaciones del trabajo significativas.

65 Aceptación de Riesgos por la Dirección Si Auditoría Interna considera que la Alta Dirección aceptó un Nivel de Riesgo Residual que es inaceptable para la Organización: Discutir esto con la Alta Dirección. Si la decisión referida al Riesgo Residual no se resuelve, Auditoría y la Alta Dirección deben informar esta situación al Consejo, para su resolución.

66 Para los hombres de coraje se han hecho las empresas Carta del Gral. San Martín al Sr. Godoy Cruz (Mendoza 1816)

67 Muchas Gracias por su atención

68 Los esperamos en La Conferencia Internacional de Auditoría a Interna del IIA, en Chicago, EEUU, Del 11 al 13 de Julio del Y en la X CLAI en La Habana, Cuba Del 3 al 6 de Octubre 2.005,

69 Preguntas?: Ahora y Después Dr. José LAGO RODRIGUEZ, CIA Ex Presidente de FLAI Director At Large IIA Board of Directors jlago@bna.com.ar