DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS «Risk management- Principles and guidelines «

Transcripción

1 ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile ) FRAUDE DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS «Risk management- Principles and guidelines «DOCUMENTOS DE APOYO PARA EL ANALISIS Y REVISIÓN DEL Santiago, diciembre de

2 OBJETIVO Esta Asociación entrega aquí a sus Firmas asociadas, a los lectores de su página web, incluidos profesores y estudiantes del mundo académico y a quienes estén interesados, una guía para el análisis de la ISO Este documento es adicional a los que cada Firma tuviere y es por tanto, material de lectura, análisis y apoyo en un tema importante como lo es el Riesgo. José Monsalve Presidente 2 2

3 REFERENTE A ISO ISO es una entidad que agrupa a 163 países ( Chile pertenece ) que emite diversa normativa, que si bien no es obligatoria, constituyen mejores prácticas. Es para todo tipo de empresas públicas y privadas. alizaci%c3%b3n La ISO fue aprobada en noviembre del 2009 después de dos años de trabajo. Es la única ISO de Riesgos. Fue aprobada por todos los países ( un voto en contra y dos abstenciones ) Chile la aprobó. El documento se titula. Risk management- Principles and Guidelines, está sólo en inglés y francés; no es público y al comprarlo vale unos US $ 100. Está basada principalmente en la norma australiana nuevo zelandesa AS/NZC La guía 73 es el documento con las definiciones el que también, para quienes les interese, debe comprarse. Aquí se acompañan algunas diapositivas con referencias y definiciones de la ISO. 3 3

4 REFERENTE A ISO La ISO recomienda revisar lo que tenga cada empresa en administración y control de riesgos y compararlo con lo contenido en esta ISO. Por ahora, esta ISO no es certificable, pero si es una buena práctica acordada por 160 países, incluido Chile, o sea, internacional. Esta ISO es para todo tipo de empresas. Es recomendable analizar el contenido de cada una de las tres diapositivas siguientes y comparar con lo que se tiene, levantar los eventuales Gaps y establecer planes de acción. Estas diapositivas pueden considerarse un resumen; se han tomado tal cual y se ha hecho una traducción libre al español. 4 4

5 Fuente: ISO Traducción libre al español del señor Carlos Valdivieso Valenzuela 5 5

8 RIESGO Riesgo : algo que afecta positiva o negativamente al logro de los objetivos, con la potenciales eventos y consecuencias asociados a probabilidades de ocurrencia. Suele usarse riesgo sólo en sentido negativo; el mensaje es que cuando se afecta positivamente, debe revisarse si no hubieren existido riesgos en esos logros. La realidad tanto chilena como extranjera nos muestra empresas que a primera vista eran exitosas y con grandes logros comerciales y financieros y terminaron evidenciándose que las realidades eran muy diferentes. Lo contenido en la Guía 73, está simultáneamente en inglés y francés, los dos idiomas que usa ISO, en español, no por ahora. 8 8

9 CONCEPTO DE RIESGO Para ISO 31.00o riesgo es algo así como efecto de incertidumbre en el logro de objetivos, desviación que puede ser negativa o positiva Los objetivos pueden ser de distinto tipo; financieros, estratégicos, proyectos, productos, procesos etc. Dicha ISO se refiere a Administración de riesgos como la coordinación de actividades para dirigir y controlar a la entidad respecto a los riesgos. Comenta luego que hay que tener un framework ( estructura ) que provea a la empresa arreglos para diseñar, implementar, monitorear y revisar continuamente la administración de riesgos a través de la organización. Lo anterior incluye :políticas, objetivos y mandatos superiores, así como las relaciones, accountabilities ( dar cuenta ) recursos, procesos y actividades. Expresa que dicho framework debe estar integrado con la organización, la estrategia, las políticas y prácticas. 9 9

10 DIAPOSTIVA 5, PRINCIPIOS DE AR BREVE EXPLICACIÓN Creación de valor: La administración de riesgos ( AR ) contribuye a ello para el logro de los objetivos, eficiencia en las operaciones, gobierno y reputación. Parte integral del proceso de organización :AR es parte y no algo aislado, incluye las estrategias, procesos y es parte de la responsabilidad de la Administración. Parte del proceso de decisiones:ar ayuda en las evaluaciones y decisiones. Elección de decisiones entre alternativas inciertas.ar ayuda a administrar las decisiones inciertas. Sistemática, estructurada y operación en contexto de tiempo Contribuye a la eficiencia, consistencia y comparaciones de resultados

11 DIAPOSTIVA 5, PRINCIPIOS continuación Basada en la mejor información disponible. Contar con ella, saber sus limitaciones, usar el juicio, modelarla y considerar las divergencias entre expertos. Para empresa a la medida. Cada empresa debe formular y aplicar la ISO según su realidad, cultura etc.; aquí no hay un check list genérico. Considera aspectos humanos y culturales de la empresa. AR considera todos los aspectos internos y externos de cada empresa en particular. Transparente e inclusiva, debe incluir a la empresa y a los stakeholders y considerar sus visiones en los criterios de riesgo

12 DIAPOSTIVA 5, PRINCIPIOS continuación Dinámica, iterativa que responde a los cambios. El mundo es dinámico, deben monitorearse los cambios e ir ajustando AR. Facilita mejoras continuas y progresos en la organización. Tener estrategias para ir conociendo en la medida que AR va madurando, los ajustes de mejoras necesarios

13 DIAPOSTIVA 5, ESTRUCTURA Mandato y compromiso Requiere política explícita de AR. Asegura que la empresa esté alineada con los objetivos. Ayuda al cumplimiento legal y regulatorio. Determina indicadores de riesgo y los mide. Especifica las accountabilities en los distintos niveles. Asigna los recursos para cumplir con AR Comunica a los stakeholders los beneficios de cumplir con AR

14 DIAPOSTIVA 5. Diseño de estructura para Administración de riesgo Entender la organización y su contexto. Establecer la política de admnistración de riesgo. Tener un sistema de accountability. Integración de AR con los procesos de la empresa. Dotar a la organización de recursos para AR:personas capacitadas, recursos materiales y financieros, programas de capacitación, dotación de sistemas y documentación de procesos y procedimientos. Establecer comunicaciones y mecanismos de reportes

15 DIAPOSTIVA 5. Implementación de la administración de riesgos Implementando el framework Calendario y estrategia para implementarla. Aplicar la política y el proceso de AR al proceso de organización. Cumplir con los requerimientos legales y regulatorios. Asegurarse que las decisiones que se tomen y el establecimiento de los objetivos están alineados con el proceso de AR. Mantener información y capacitación. Mantener comunicaciones con los stakeholders para asegurarse que el framework es apropiado

16 DIAPOSTIVA 5.. Implementación de la administración de riesgos Implementando el proceso En todos los niveles. En todas las funciones. Como parte de las prácticas y procesos

17 DIAPOSTIVA 5. Monitoreando y revisando el framework Medir las performances contra indicadores que deben revisarse periódicamente. Analizar las desviaciones contra el plan. Revisar periódicamente si el framework sigue siendo apropiado. Informar si se está cumpliendo. Revisar la efectividad del framework 17 17

18 DIAPOSTIVA 5. Mejora continua del framework Basado en los monitoreos y revisiones, deben tomarse decisiones de cómo el framework, la política y el plan pueden ser mejorados. Estas decisiones deberían llevar a mejoras en la organización de AR y la cultura de AR

19 DIAPOSTIVA 5 Comunicación y consultas Debe tenerse con entes internos y con los stakeholders durante todo el proceso de AR. El plan de comunicaciones debe establecerse tempranamente. Ayuda a que todos los riesgos sean bien comprendidos. Se tiene distintas visiones lo que potencia AR. Ello puede hacer mejorar AR

20 DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto En lo general, considerar el alcance del proceso de AR. En el contexto externo, considerar entre otros : aspectos sociales, culturales, políticos, regulatorios, financieros, tecnológicos, entorno competitivo y otros. En el contexto interno, considerar entre otros :AR y su nexo con los objetivos de la empresa, las estrategias y los valores. Gobierno Corporativo, estructura organizacional, roles y accountabilities. Recursos humanos y tecnológicos. Especificar las decisiones que deben tomarse. Ver metas, objetivos. Establecer roles y funciones con detalle para AR

21 DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto Establecer el criterio para los riesgos significativos. Al establecer el criterio, debe considerarse entre otros puntos: a ) Causas y consecuencias de los riesgos.( impacto) b ) La probabilidad de ocurrencia y cómo será establecida. c ) Cómo se determina el nivel de riesgo. d ) La visión de los stakeholders. e ) El nivel de riesgo aceptable. f ) La combinación de riesgos

22 CONCEPTOS El detalle está en el documento original que conviene comprar Política de administración de riesgos. Apetito de riesgo. Plan de administración de riesgos. owner risk. Contexto interno. Contexto externo. Stakeholder. Medición de riesgos. Identificación de riesgos. Evento. Consecuencia. Probabilidad. Análisis de riesgos. Evaluación de riesgos. Control. Riesgo residual. Monitoreo. PRINCIPIOS 22 22

23 ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Riesgo Riesgo e incertidumbre. Se refiere a la incertidumbre en el logro de los objetivos. Los riesgos deben estar identificados y especificadas sus causas. Análisis de riesgos. Determinar las causas, sus consecuencias tanto positivas como negativas y la probabilidad que dichas consecuencias puedan ocurrir y la existencia y operación de los controles para mitigar los riesgos. Evaluación de riesgos. Debe compararse el riesgo existente con el planificado y tomar las decisiones que ameriten. Tratamiento de riesgos. Seleccionar una o más opciones para modificar los riesgos y de ser necesario, los controles

24 ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Administración de riesgos. Coordinación de actividades para dirigir y controlar una organización en lo referente a riesgo. Estructura ( framework ) para administración de riesgo. Fundamentos con los que se diseña, implementa, monitorea y revisa continuamente AR, incluyendo políticas, planes y relaciones con las estrategias

25 ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR Es un proceso sistemático con políticas y procedimientos para establecer, monitorear y revisar los riesgos. Debe haber un proceso de comunicaciones y consultas. Debe establecerse el contexto tanto interno como externo. En la medición de riesgos, debe haber: identificación de riesgos, análisis de ellos y su evaluación. La identificación debe incluir su definición, causas, impactos y consecuencias. Debe establecerse los dueños de los riesgos ( risk owner ). Se trabaja con impacto ( cuantitativo o cualitativo y probabilidad. Debe tenerse una matriz de riesgos. El nivel de riesgos resulta de calcular impacto y probabilidad

26 ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR Debe determinarse el apetito y tolerancia al riesgo. Debe haber sistemas de monitoreo. Debe definirse cuales riesgos no se aceptarán. El riesgo residual es aquel después de administrarlos. Debe existir un sistema de monitoreo continuo de AR. Debe también haber registros en el sistema de AR. Como parte de AR deben haber informes a los stakeholders Finalmente, deben existir auditorías independientes y documentadas para determinar el funcionamiento de AR y si una o más partes de la estructura son adecuadas y efectivas

27 ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR Debe haber registros y trazabilidad. La organización necesita un aprendizaje continuo. Usar la información en beneficio de la administración de la empresa. Los métodos de acceso a la información deben ser fáciles y también los registros y almacenamiento de la información. Determinar el período en el que debe mantenerse la información. Contar con criterios de cuál es información sensible