Resumen Ejecutivo de Administración de Riesgos de Negocio (COSO II)

Transcripción

1 Resumen Ejecutivo de Administración de Riesgos de Negocio (COSO II)

2 Como inicio todo Al inicio de los 80s, se dió un creciente enfoque dirigido al ambiente de control y a los procesos de control interno. La Comisión Nacional de Informes Financieros Fraudulentos, conocida como Treadway Commission, fue creada en 1985, con el objeto de: Identificar los factores que causan informes financieros fraudulentos Hacer recomendaciones para reducir incidencias. La Treadway Commission emitió un Reporte sobre Informes Financieros Fraudulentos en el cual: Se enfatizó en el ambiente de control, en los códigos de conducta, y en el involucramiento de Comités de Auditoría competentes. Se realizó un llamando a diferentes organizaciones para integrar varios comités y desarrollar un punto de referencia común. El resultado fue el Committee of Sponsoring Organizations (COSO). COSO desarrolló y publicó en 1992 un criterio ampliamente aceptado para establecer evaluaciones efectivas sobre el control interno: Control Interno Marco Integrado (COSO I). Establecer el medio para monitorear, evaluar e informar el control interno. Resumen de los roles y responsabilidades de la gerencia.

3 Organización del Reporte COSO publicó en septiembre de 2004 Administración de Riesgos de Negocio Marco Integrado (COSO II), el cual consta de dos volúmenes: El primero contiene el Marco, así como el Resumen Ejecutivo. El Marco define la administración de riesgos de negocio y describe los principios y conceptos, dando directrices para todos los niveles de la administración de negocios y otras organizaciones. El Resumen Ejecutivo es una visión de alto nivel dirigida a directores, altos ejecutivos, miembros del Consejo y reguladores. El segundo volumen, Técnicas de Aplicación, provee ejemplos de técnicas útiles en la aplicación de los elementos del Marco.

4 Utilidad del Reporte Las acciones sugeridas dependen de la posición y rol de las partes involucradas: Consejo de Administración, debe comentar con la dirección general el estado de la administración de riesgos de negocio y debe asegurarse que ha sido informado de los riesgos mas significativos, así como las acciones que se están tomando. Dirección General, debe evaluar las capacidades de la organización para la administración de riesgos de negocio. En un primer acercamiento, el Director General juntar a sus responsables de unidades de negocio y su personal clave staff para realizar una primera evaluación de las capacidades y su efectividad. Otras personas de la empresa, como gerentes y otro personal deben considerar cómo están cumpliendo con sus responsabilidades a la luz del Marco y comentar ideas para fortalecer la administración de riesgos de negocio Reguladores, este Marco puede promover compartir puntos de vista, sobre que se puede hacer y sus limitaciones; así como pueden establecer sus expectativas, ya sea a través de reglas, directrices o realizando revisiones

5 Utilidad del Reporte Organizaciones profesionales, dando directrices sobre administración financiera, auditoría y temas relacionados, a la luz de este Marco. Educadores, este Marco puede estar sujeto al análisis e investigación académica, para identificar futuras mejoras; así como sus conceptos y términos pueden formar parte de la currícula de las universidades.

6 La Administración de Riesgos de Negocio La principal premisa de la administración de riesgos de negocio es que cada empresa existe para dar valor a sus accionistas o inversionistas. Todas las empresas enfrentan incertidumbre, y el reto para la alta Gerencia es determinar cuanta incertidumbre aceptar. La incertidumbre representa tanto riesgo como oportunidad, con el potencial de erosionar o incrementar el valor. La administración de riesgos de negocio permite a la alta Gerencia manejar de manera efectiva la incertidumbre y sus riesgos y oportunidades asociadas, mejorando la capacidad de crear valor.

7 La Administración de Riesgos de Negocio El valor se maximiza cuando la alta Gerencia establece la estrategia y los objetivos para lograr un optimo balance entre crecimiento y rendimiento y los riesgos relacionados, así como utiliza los recursos de manera eficiente y efectiva para el logro de los objetivos de la empresa. La administración de riesgos de negocio (ARN) comprende: Alineamiento del apetito de riesgo y la estrategia La alta Gerencia considera el apetito de riesgo de la empresa al evaluar las distintas estrategias, establecer sus objetivos y desarrollar mecanismos para gestionar los riesgos relacionados. Enriquecimiento de las decisiones como respuesta al riesgo La ARN provee el rigor para identificar y seleccionar entre distintas respuestas al riesgo, como: evitar, reducir, compartir y aceptar el riesgo. Reducción de pérdidas y sorpresas operativas Las empresas mejoran su capacidad para identificar eventos potenciales y establecer respuestas, reduciendo sorpresas y los costos y pérdidas asociadas.

8 La Administración de Riesgos de Negocio Identificación y gestión de múltiples riesgos en toda la empresa Cada empresa enfrenta una gran variedad de riesgos que afectan distintas partes de la organización, y la ARN facilita una respuesta efectiva a los impactos interrelacionados y respuestas integradas a múltiples riesgos. Aprovechamiento de oportunidades Considerando un amplio rango de eventos potenciales, la alta Gerencia está posicionada para identificar y proactivamente materializar las oportunidades. Mejora en la asignación de capital Contar con información de riesgo robusta permite a la alta Gerencia evaluar de manera efectiva las necesidades de capital y enriquecer su asignación.

9 Beneficios de la ARN La administración de riesgos de negocio ayuda a la alta Gerencia a: Lograr las metas de desempeño y rentabilidad de la empresa y evitar la pérdida de recursos Asegurar un reporte efectivo y el cumplimiento de leyes y regulaciones Evitar el daño a la reputación de la empresa y sus consecuencias asociadas En suma, la ARN ayuda a la empresa a llegar a donde quiere ir y a evitar peligros y sorpresas durante el camino.

10 Eventos Riesgos y Oportunidades Los eventos pueden tener un impacto negativo, un impacto positivo, o ambos. Los eventos con un impacto negativo representan riesgos, los cuales pueden evitar la creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representan oportunidades. Las oportunidades son la posibilidad de que un evento ocurra y afecte de manera positiva el logro de los objetivos, sustentando la preservación o creación de valor.

11 Definición de Administración de Riesgos de Negocio Es el proceso realizado por el Consejo de Administración de la empresa, alta Gerencia y otro personal, utilizado en la definición de la estrategia y en toda la empresa, diseñado para identificar eventos potenciales que puedan afectar la empresa y gestionar su apetito de riesgo, para dar una razonable certidumbre en el logro de los objetivos de la empresa

12 Definición de Administración de Riesgos de Negocio La definición refleja ciertos conceptos fundamentales. La administración de riesgos de negocio es: Un proceso permanente, que corre a través de la empresa Ejecutada por el personal a todos los niveles de la organización Aplicada en la definición de la estrategia Aplicada en la empresa en cada nivel y unidad, e incluye la toma de riesgo a nivel entidad y portafolio Diseñada para identificar eventos potenciales que, si ocurren, afectarán a la empresa y la gestión de su apetito de riesgo Capaz de dar una razonable certidumbre al Consejo de Administración y a la alta Gerencia Orientada al logro de los objetivos en una o mas categorías separadas pero relacionadas

13 Diferencia entre COSO I y COSO II

14 Relación entre Objetivos y Componentes Existe una relación directa entre los objetivos que la empresa desea lograr y los componentes de la ARN, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

15 Logro de Objetivos de la ARN Dentro del contexto de la misión o visión establecida en una empresa, la alta Gerencia establece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la empresa. El marco de ARN está orientado a alcanzar los objetivos de la empresa, que se pueden clasificar en cuatro categorías: Estrategia: Objetivos a alto nivel, alineados con la misión de la empresa Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos Información: Objetivos de confiabilidad de la información Cumplimiento: Objetivos relativos al cumplimiento de leyes y regulaciones

16 Componentes de la ARN La administración de riesgos de negocio consta de ocho componentes relacionados entre sí, que se derivan de la manera en que la alta Gerencia conduce la empresa y cómo están integrados en el proceso de gestión. Ambiente interno Abarca el entorno de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía para su gestión, el apetito de riesgo, la integridad y los valores éticos, y el entorno en que se actúa. Establecimiento de objetivos Los objetivos deben existir antes de que la alta Gerencia pueda identificar potenciales eventos que afecten a su consecución. La ARN asegura que la alta Gerencia ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la empresa y están en línea con ella, además de ser consecuentes con el apetito de riesgo.

17 Componentes de la ARN Identificación de eventos Los acontecimientos internos y externos que afectan a los objetivos de la empresa deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la alta Gerencia o a los procesos para fijar objetivos. Evaluación de riesgos Los riesgos se analizan considerando su probabilidad e impacto, como base para determinar cómo deben ser gestionados, y se evalúan desde una doble perspectiva, inherente y residual. Respuesta al riesgo La alta Gerencia selecciona las respuestas al riesgo -evitar, aceptar, reducir o compartirdesarrollando una serie de acciones para alinear los riesgos con el apetito y las tolerancias al riesgo de la empresa. Actividades de control Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo eficazmente.

18 Componentes de la ARN Información y comunicación La información relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la empresa. Monitoreo La totalidad de la ARN se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades permanentes de la alta Gerencia, evaluaciones independientes o ambas. La ARN no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro.

19 Roles y Responsabilidades Todos en la empresa tienen alguna responsabilidad en la administración de riesgos de negocio. El Director General es el principal responsable y debe asumir el liderazgo. Los otros gerentes apoyan la filosofía de administración de riesgos de la empresa, promueven el cumplimiento del apetito de riesgo, y gestionan los riesgos dentro del campo de su responsabilidad apegados a las tolerancias de riesgo. El oficial de riesgos, el director de finanzas, el auditor interno, y otros normalmente tiene responsabilidades clave de apoyo. Otras personas de la empresa son responsables de ejecutar la ARN de acuerdo con las directrices y protocolos establecidos. El Consejo de Administración provee una importante supervisión de la ARN, y está enterado y de acuerdo con el apetito de riesgo de la empresa. Una serie de contrapartes externas, como clientes, proveedores, socios de negocio, auditores externos, reguladores y analistas financieros, frecuentemente proveen de información útil que impacta la ARN.

20 Elementos Clave de la ARN AMBIENTE INTERNO Filosofía de Administración de Riesgo Apetito de Riesgo Consejo de Administración Valores de Integridad y Ética Compromiso con la Excelencia Estructura Organizacional Asignación de Autoridad y Responsabilidad Normas de Recursos Humanos. ESTABLECIMIENTO DE OBJETIVOS Objetivos Estratégicos - Objetivos Relacionados Objetivos Seleccionados Apetito de Riesgo Tolerancia de Riesgo IDENTIFICACIÓN DE EVENTOS Eventos Fctores que influyen- Técnicas de Identificación de Eventos Interdependencia de Eventos - Categorías de Eventos Identificación de Riesgos y Oportunidades. EVALUACIÓN DE RIESGOS Riesgo Inherente y Residual Establecer Probabilidad e Impacto Datos Fuente Técnicas de Evaluación- Eventos Relacionados

21 Elementos Clave de la ARN RESPUESTA AL RIESGO Evaluar Posibles Respuestas Seleccionar Respuestas Visión Integrada (portafolio view) ACTIVIDADES DE CONTROL Integración de Respuestas al Riesgo Tipos de Actividades de Control Políticas y Procedimientos - Controles sobre los Sistemas de Aplicación Controles específicos de la Empresa. INFORMACIÓN Y COMUNICACIÓN Información - Comunicación MONITOREO Evaluaciones Periódicas - Evaluaciones Independientes Reporte de Deficiencias

22 Proceso de Implementación de la ARN El tamaño de la organización, complejidad, industria, cultura, estilo de gerencia, y otros atributos afectarán como los conceptos y principios del Marco son más eficaz y eficientemente implementados. A continuación se menciona una breve descripción de los pasos más comunes dados por las altas Gerencias, en la implementación exitosa de la ARN: Preparación del equipo base Establecimiento de un equipo de trabajo con representantes de las unidades de negocio y funciones de soporte clave, incluyendo planeación estratégica. Este equipo debe familiarizarse con los componentes, conceptos y principios del Marco, para el entendimiento y lenguaje necesario para la implementación. Patrocinio Ejecutivo - Establecimiento y cumplimiento de los objetivos a nivel estratégico, táctico y operativo en todas las unidades de administración. La alta Gerencia tiene que capitalizar los beneficios de la ARN en la compañía y debe establecer una comunicación estrecha entre los departamentos. Desarrollo del Plan de Implementación - Creación de un plan inicial que defina las fases del proyecto, tareas y recursos a usar, delimitando responsabilidades, con el fin, de identificar los riesgos que la entidad está dispuesta a aceptar.

23 Proceso de Implementación de la ARN Evaluación de la situación actual - Probar cómo los componentes del ARN se han aplicado en la entidad y si se ha cumplido con la filosofía que este modelo exige. Esto usualmente ayuda a identificar las políticas informales, procesos, prácticas y técnicas actuales. Visión de la ARN - El equipo base desarrolla una visión de cómo la organización deberá enfocar y alinear la ARN a los riesgos identificados previamente. Desarrollo de la Capacidad Provee la visión del equipo que se necesita para trabajar, el tipo de tecnología y las nuevas metodologías que tendrán que desarrollarse para la implementación de los procesos. Implementación del Plan El Plan inicial es actualizado y mejorado, adicionando mas detalle de la evaluación, diseño e implementación. Se definen responsabilidades adicionales y el sistema de administración de proyectos. Desarrollo de administración de cambios Proporciona las acciones que deberán desarrollarse para implementar y sostener la visión y capacidades deseadas de ARN, como capacitación, reforzar mecanismos de monitoreo, etc. Monitoreo La alta Gerencia continuará revisando y reforzando las capacidades de administración de riesgos como parte de un proceso de implementación permanente.

24 Contacto Alfonso Gómez Ext

25