COSO II ERM y el Papel del Auditor Interno

Transcripción

1 COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves respecto a ERM Qué es Enterprise Risk Management? Beneficio de ERM Componentes claves de ERM ERM y otras prácticas de gestión y control de riesgos Roles y responsabilidades El rol de Auditor Interno Conclusión 1

2 Introducción a COSO II - ERM El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission. En 1992, publicó un informe denominado Internal Control Integrated Framework (IC-IF), conocido también como COSO I. Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América. Introducción a COSO II - ERM Debido al aumento de preocupación por la administración de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos. El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos. 2

3 Introducción a COSO II - ERM En septiembre de 2004, se publica el informe denominado Enterprise Risk Management Integrated Framework, el cual incluye el marco global para la administración integral de riesgos. Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework. Estructura del proyecto Introducción a COSO II - ERM COSO COSO Grupo Asesor Compañías y Otras Organizaciones Miembros de la organización COSO Compañías medianas Grandes Compañías Industrias Asociadas Entidades gubernamentales y entidades sin fines de lucro PricewaterhouseCoopers Equipo de Proyecto Otros Involucrados Importantes Academia Asociaciones Profesionales Profesionales de administración de riesgos Abogados Reguladores Otros reguladores de industria 3

4 Introducción a COSO II - ERM El estándar COSO II ERM, delinea los principios de administración de riesgo El marco conceptual proporciona: Una definición de Enterprise Risk Management Los principios y componentes críticos de un efectivo proceso de Enterprise risk management Dirección para que las organizaciones lo utilicen en la determinación de como mejorar su administración de riesgo Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita. Introducción a COSO II - ERM El estándar COSO II ERM, delinea los principios de administración de riesgo También proporciona aplicaciones técnicas: Ilustraciones de como los principios críticos pueden ser observados en una organización. Una perspectiva de un proceso de implementación. Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamaño, Estrategia, Industria y Complejidad 4

5 Introducción a COSO II - ERM COSO II ERM, 4 categorías de objetivos, 8 componentes y de alcance corporativo. Alineado con Los objetivos pueden ser vistos en el contexto de cuatro categorías Qué Ocho componentes interrelacionados Dónde Considera las actividades de todos los niveles de la organización Premisas fundamentales La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para crear valor a sus grupos de interés. No obstante, todas las organizaciones encaran incertidumbre, el desafío para la administración es determinar cuanta incertidumbre esta preparada para aceptar en la búsqueda de aumentar el valor de los grupos de interés. 5

6 Premisas fundamentales Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organización (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor. La administración de riesgos corporativos permite a la administración manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor. En una forma gráfica Premisas fundamentales Stakeholders Objetivos (creación de valor) Factores externos Negocio Incertidumbre Eventos Riesgo Impacto negativo sobre objetivos Factores internos Impacto positivo sobre objetivos Oportunidad 6

7 Preguntas claves respecto a ERM Cuales son los principales riesgos que afectan a nuestra organización? Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. Esta es comunicada y conocida? Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización? Preguntas claves respecto a ERM Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo? Cómo identificamos, evaluamos, comunicamos y monitoreamos nuestros riesgos? Nuestras personas entienden su rol como parte de la administración de riesgos? Quién asegura que el proceso de gestión de riesgo se efectúe correctamente? 7

8 Qué es Enterprise Risk Management? "La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización". Enterprise risk management Integrated Framework COSO II 29 de septiembre de 2004 Qué es Enterprise Risk Management? Proceso continuo es un medio para un fin, no un fin en si mismo Efectuado por el personal en todos sus niveles (No sólo políticas) Aplicado en la definición de la estrategia Aplicado en toda la organización en cada nivel y unidad Diseñado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo Provee seguridad razonable logro de los objetivos estratégicos, operacionales, presentación de reporte y cumplimiento. 8

9 Alinear el apetito al riesgo con la estrategia. Relacionar crecimiento, riesgo y retorno. Mejorar las decisiones de respuesta al riesgo. Reducir sorpresas y pérdidas operacionales. Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado. Aprovechar las oportunidades. Mejorar la asignación de capital. Beneficios de ERM Componentes claves de ERM Entorno Interno Definición y comprensión de objetivos Identificación de eventos Actividades Primarias de la Gestión de Riesgos Valoración del riesgo Respuesta al riesgo Dirección y Soporte Actividades de control Información y comunicación Monitoreo 9

10 Componentes claves de ERM Actividades Primarias de la Gestión de Riesgos Definición y comprensión de objetivos Identificación de eventos Valoración del riesgo Respuesta al riesgo Estratégico Operacionales Reporte Cumplimiento Fuente Externa Económicos Negocio Tecnológicos Políticos Sociales Técnicas cualitativas Técnicas cuantitativas Evitar Reducir Compartir Aceptar Fuente Interna Proceso Personas Sistemas Infraestructura Entorno Interno Filosofía Administración de riesgo Apetito al riesgo Supervisión de Directorio Integridad, valores éticos y competencia del personal Autoridad, roles y responsabilidades y estructura. Información y comunicación Identificación y capturación de datos Datos internos y externos Datos históricos Esquemas de reporte Dirección y Soporte Actividades de control Políticas y procedimientos Preventivos Detectivios Correctivos Manuales Automáticos Monitoreo Actividades continuas (KRI). Actividades esporádicas Componentes claves de ERM Estrategia Política Dirección Estrategia Qué hará la organización acerca de sus riesgos (políticas) y la responsabilidad de gestión de los mismos. Actividades Primarias de la Gestión de Riesgos Reportar Identificar Proceso de Administración de Riesgos Monitorear Analizar Responder Procesos Cómo la organización gestionará riesgos, procedimientos, prácticas y herramientas Estructura Organizacional Medición del desempeño Mecanismos de recursos humanos Educación en Gestión Cultura Soporte Comunicaciones Aseguramiento Arquitectura Qué personas, comités, foros y técnicas son necesarias para apoyar, promover y conducir la gestión del riesgo a través de la organización Cultura Cómo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos 10

11 ERM y otras prácticas de gestión ERM Relación con Governance, Risk and Compliance Definición de objetivos y estrategia, políticas, apetito al riesgo y responsabilidades. Monitoreo del desempeño Identificación y evaluación de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de respuesta al riesgo y actividades de control Operación de acuerdo con los objetivos y asegurando adherencia con las leyes y regulaciones, políticas internas, procedimientos y los compromisos de los stakeholders ERM y otras prácticas de gestión COSO II ERM, Basilea II y Solvencia II Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administración del riesgo Crear un marco de supervisión que motive el desarrollo de mejores prácticas Requerir a los bancos la apertura de información en detalle de su estructura de capital y exposiciones de riesgo 11

12 COSO II ERM y Sarbanes - Oxley ERM y otras prácticas de gestión La Ley Sarbanes Oxley estableció un nuevo paradigma de responsabilidad de las empresas. Definió claramente las responsabilidades del Comité de Auditoría, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Creó un nuevo estándar para las compañías en relación con la presentación de información, de la eficacia de los controles internos y eliminó los obstáculos para el diseño, documentación y operación de controles internos. Los buenos controles internos han dejado de ser únicamente una mejor práctica... Son Ley! Roles y responsabilidades Todas las personas en una entidad tienen alguna responsabilidad en la administración del riesgo. El CEO es responsable en general y debe asumir su función. El resto de los gerentes o altos ejecutivos deben soportar la filosofía de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administración del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgos El personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo. La Junta Directiva provee un significativo seguimiento de la administración del riesgo. Externos proveen información para la administración del riesgo. Las partes externas no son responsables por la efectividad de la administración del riesgo. 12

13 Roles y responsabilidades Responsables Otras partes involucradas Comité Ejecutivo Comités Delegados Gerentes Auditores Internos Personal Auditores Externos Reguladores Asociados con la valoración del riesgo y el control interno Outsourcing Roles y responsabilidades Junta Directiva Aprueba y aloca recursos Comité de Auditoría Riesgos Definiciones - Políticas - Reportes - Cuantificación 1 Responsable 2 Coordinación y Monitoreo 3 Aseguramiento Unidades de Negocio Auto-evaluaciones Implementa cambios Reporta internamente y a riesgos Riesgo Operacional Areas soporte Monitoreo de auto-evaluaciones Análisis de indicadores Control planes Reportes Auditoría Interna Evalúa el proceso Revisa las auto-evaluaciones Pruebas de controles 13

14 Roles y responsabilidades Junta Directiva Conoce claramente el proceso de administración del riesgo implementado y hasta qué punto el mismo es efectivo Identifica que el proceso está en línea con el apetito al riesgo Compara el portafolio de riesgos con el apetito al mismo Es informado de los principales riesgos y sus respuestas y aprueba las mismas Delega funciones (las responsabilidades no se delegan) en diversos Comités (ALCO, Créditos, Riesgos, Auditoría, Compensaciones, Riesgo Operacional, etc.) Roles y responsabilidades Administración Responsable por todas las actividades de la organización En el caso del CEO, su mayor responsabilidad es establecer el ambiente interno También provee liderazgo y dirección a los gerentes y así se crean los valores de la organización Definen los objetivos estratégicos y la estrategia Desarrollan el apetito al riesgo y su tolerancia Definen la estructura organizacional Analizan las respuestas al riesgo Monitorean a través del CRO la eficacia del proceso de administración del riesgo 14

15 Roles y responsabilidades Risk Officer Trabaja con los otros gerentes para establecer un proceso de administración del riesgo La autoridad y reporte es al CEO, puede integrar subsidiarias Algunas empresas le asignan la función al CFO, Director de Auditoría o Director de Cumplimiento. Desarrolla las políticas Define roles y responsabilidades Asignación de resultados y capitales Asiste a toda la entidad y provee modelos de gestión de riesgo y cuantificación Guía la integración de los riesgos Establece un lenguaje común Monitorea el grado de riesgo asumido por los diversos negocios Reporta Sugiere acciones correctivas Roles y responsabilidades CFO Sus actividades cruzan todas las áreas de la organización Desarrollan presupuestos y planes y monitorean su desempeño (operaciones, reporte y monitoreo) Responsable por los estados financieros y sus procesos de control y reporte al exterior Su jerarquía no puede ser minimizada por los sectores de negocios (deberá interpretar las reglas del juego y estrategias y decidir sobre la metodología de contabilización y reporte) 15

16 Roles y responsabilidades Auditoría Interna Evalúan la efectividad y sugieren mejoras sobre el proceso de administración del riesgo Los estándares establecidos por el Institute of Internal Auditors especifican que el alcance de sus tareas incluye la evaluación del proceso de administración del riesgo y del control interno Estas tareas incluyen, la evaluación del repote, la revisión de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo (CEO) Debe asistir a la gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso Sin embargo debe mantener su objetividad Roles y responsabilidades Auditoría Interna 16

17 Roles y responsabilidades Personal La administración del riesgo es parte de las responsabilidades de todos los empleados Esto debe ser comunicado muy efectivamente. Auditores Externos Deben proveer a la gerencia y al Comité Ejecutivo una visión única, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo El Auditor puede firmar un balance limpio y la administración del riesgo y el control interno no ser adecuados Sus funciones se refieren a los estados financieros. Para emitir dicha opinión deberá hacer los ajustes necesarios e invertir más tiempo en sus revisiones Su valor se observa en los hallazgos de auditoría y recomendaciones Roles y responsabilidades Reguladores Requisitos de control interno y respuesta al riesgo Revisiones in-situ y extra-situ Otras partes Clientes Vendors Outsourcers Analistas financieros Agencias de Rating Medios de comunicación 17

18 Conclusión Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratégicos, operativos y/o financieros de la organización ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización. Reducir las Amenazas PROCESO DE GESTION DE RIESGOS identificar reportar Manejar la Incertidumbre Valor para stakeholders Explotar la Oportunidad analizar responder monitorear Tradicional (Gestión por silos) Transformación Conclusión - ERM ERM (Portfolio de riesgo) Seguridad Física Seguridad IT Riesgo Riesgo Seguros Riesgo EHS Riesgo BCP Riesgo Proceso de Gestión de Riesgo Legal Auditoría Interna Riesgo Riesgo Coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos. Permitir un rápido entendimiento de los riesgos de las iniciativas de negocios. Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones Procesos organizacionales consistentes Herramientas de gestión de riesgo de alto nivel. Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas. Costos Ingresos Seguridad Riesgo 1 Riesgo 2 Riesgo 3 Riesgo 4 Riesgo 5 Riesgo 6 Seguridad IT EHS Legal Legal Global RM ERM Proceso RM Evaluar riesgo Tratar riesgo Monitorear y Reportar Medición y reporte Auditoría Interna Seguridad Fisica Estrategia de Riesgo Y Marco BCP Herramientas de Gestión de Riesgo Fuentes de Conocimiento RiskWeb 18

19 Rafael Ruano Diez 19