IV Congreso Nacional de Auditoría Interna CONAI 2016

Transcripción

1 IV Congreso Nacional de Auditoría Interna CONAI 2016 Noviembre 29, 2016 El Valor Continuo de la Auditoría Interna

2 Nueva Norma ISO 31000:2017; su impacto en las Tres Líneas de Defensa Daniella Caldana Fulss Abogado, Magíster en Contabilidad y Auditoría de Gestión Certified Internal Auditor CIA Certified Government Auditing Professional CGAP Certification in Control Self-Assessment CCSA Certification in Risk Management Assurance CRMA Certified Fraud Examiner CFE Auditora General de Gobierno Consejo de Auditoría Interna General de Gobierno (CAIGG)

3 Sobre la conferencista Daniella Caldana Fulss CIA, CGAP, CCSA, CRMA, CFE Auditora General de Gobierno Consejo de Auditoría Interna General de Gobierno (CAIGG) Representante Titular en el Comité Espejo ISO/ TC 262 Gestión del Riesgo. Instancia del INN que trabaja en la actualización de la norma internacional ISO 31000, para el año Experta Titular de Chile para el Mecanismo de Seguimiento de la Implementación de la Convención Interamericana contra la Corrupción (MESICIC). Cuenta con una vasta experiencia en la dirección de unidades de auditoría interna y en la implementación de modelos de gestión de riesgos en organizaciones públicas. Anteriormente fue consultora del Banco Interamericano del Desarrollo BID, en materias de auditoría interna gubernamental. Ha participado como docente en las universidades de Chile, de Santiago de Chile, Diego Portales y Alberto Hurtado, en temas de su especialidad. Autora y coautora de artículos sobre temas de auditoría interna, tecnologías emergentes, gobierno electrónico, auditoría interna y gestión de riesgos. A nivel internacional ha sido conferencista en diversos congresos y seminarios.

4 Agenda Introducción Conceptos sobre Riesgos en las Organizaciones Aspectos generales sobre ISO 31000:2017 Principales Cambios incluidos en la ISO 31000:2017 Impactos de la Norma ISO 31000:2017 en el Modelo Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control Conclusiones Reflexiones Finales

5 Introducción El Consejo de Auditoría Interna General de Gobierno (CAIGG), es parte del Comité Espejo ISO/TC 262 Gestión del Riesgo. Instancia del Instituto Nacional de Normalización (INN), que trabaja con The International Organization for Standardization (ISO), en la actualización de la norma internacional ISO 31000, para el año Esta presentación está dirigida principalmente a auditores internos y auditores externos del sector privado y público, encargados de riesgos, miembros de comités de auditoría y comités de riesgos, así como a directivos y ejecutivos de áreas operacionales. Entre los beneficios que obtendrá la audiencia de la presentación, se encuentra conocer los principales aspectos de la Norma ISO 31000:2017 y cómo sus componentes fundamentales, pueden contribuir con Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control.

6 Riesgos en las Organizaciones Conceptos Relacionados Gobierno Corporativo Vale Más Una Imagen Que Mil Palabras Riesgo Inherente y Residual Incumplimiento de Objetivos Probabilidad e Impacto Controles Claves Evento Exposición Apetito y Tolerancia al Riesgo Retornos y Recompensas.... Fuente imagen: Risk Appetite and Risk Tolerance The Institute of Risk Management

7 Gestión de Riesgos Corporativos Algunas Definiciones R I E S G O Acciones coordinadas para dirigir y controlar una organización en lo relativo al riesgo (1) Un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización (2) Un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos (3) (1) ISO 73:2009, (2) IPPF THEIIA, (3) COSO ERM

8 Marcos Conceptuales Para la Gestión de Riesgos Un Marco (Framework) constituye un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular, que sirve como referencia para enfrentar y resolver nuevos problemas de índole similar. Algunas organizaciones que para la gestión de riesgos: han emitido marcos The International Organization for Standardization (ISO) Committee of Sponsoring Organizations of the Treadway Commission (COSO) The Information Systems Audit and Control Association (ISACA) The Risk Management Society (RIMS) Federation of European Risk Management Associations (FERMA) Open Compliance and Ethics Group (OCGE)

9 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Fuente imagen: International Organization of Standardization

10 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Actualiza la versión Se espera que esté publicada durante el segundo semestre del año La norma no exige certificación. Proporciona directrices sobre cómo establecer y mantener un marco de gestión de riesgos que puede ser adoptado por cualquier tipo de organización, gama de actividades, estrategias, procesos, funciones, proyectos, productos, servicios, etc. Proporciona un enfoque común en favor de otras normativas que tratan sobre riesgos específicos y/o sectores, y no las sustituye. Normas ISO relacionadas: ISO 31010, ISO 73 e ISO Normas que actualmente están en revisión y serán actualizadas en el 2017.

11 Comunicación y Consulta ISO 31000:2009 (NCh ISO 31000:2012). Gestión de Riesgos - Principios y Directrices Principios de la Gestión de Riesgos Marco de Trabajo para la Gestión de Riesgos Proceso de Gestión de Riesgos 1.- Crea valor y lo protege 2.- Parte integral delos Procesos de la Organización 3.- Parte de la toma de decisiones Mandato y Compromiso Establecer el Contexto Evaluación de Riesgos 4.- Trata explícitamente la incertidumbre 5.- Sistemática, estructurada y adecuada 6.- Se basa en la mejor información disponible 7.- Se adapta 8.- Integra los factores humanos y culturales Mejora Continua del Marco Diseño del Marco de Gestión de Riesgos Implementación de la Gestión del Riesgo Identificar Riesgos Analizar Riesgos Evaluar Riesgos Monitoreo y Revisión 9- Transparente y participativa 10.- Dinámica, iterativa y responde a los cambios Monitoreo y Revisión del Marco 11.- Facilita la mejora continua y el desarrollo permanente de la organización Tratar los Riesgos Cláusula 3 Cláusula 4 Cláusula 5

12 Comunicación y Consulta ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Principios de la Gestión de Riesgos Marco de Trabajo para la Gestión de Riesgos Proceso de Gestión de Riesgos 1.- Crea valor y lo protege 2.- Integración Diseño Establecer el Contexto 3.- Enfoque Estructurado Evaluación de Riesgos 4.- Adaptable 5.- Inclusiva 6.- Dinámica y responde a los cambios 7.- Se basa en la mejor información disponible Mejoramiento Liderazgo y Compromiso Implementación Identificar Riesgos Analizar Riesgos Evaluar Riesgos Monitoreo y Revisión 8.- Factores humanos y culturales 9.- Facilita la mejora continua Evaluación Tratar los Riesgos Cláusula 4 Cláusula 5 Cláusula 6

13 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Principios de Gestión del Riesgo Proveen las bases de la gestión de riesgos, comunican el valor y explican la intención y propósito de la gestión de riesgos en la organización. 1.- Crea valor y lo protege Relacionados con Gobierno 1, 2, 3, 7 y 8 Relacionados con Implementación 4, 5, 6 y Integración 3.- Enfoque Estructurado 4.- Adaptable 5.- Inclusiva 6.- Dinámica y responde a los cambios 7.- Se basa en la mejor información disponible 8.- Factores humanos y culturales 9.- Facilita la mejora continua Relacionados con Organización y Gestión 2, 8 y 9

14 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Marco de Trabajo para la Gestión del Riesgo Comprende los acuerdos para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión de riesgos en la organización. El liderazgo y compromiso de la dirección establece la intención de la organización para gestionar el riesgos Adaptación y Mejora continua de la idoneidad, adecuación y eficacia del marco en la organización Asegurar que la gestión de riesgos es efectiva en la organización Mejoramiento Diseño Liderazgo y Compromiso Evaluación Implementación Comprensión de la organización y su contexto Establecimiento de la política de gestión de riesgos Asignación de roles y responsabilidades Integración de la gestión de riesgos Establecimiento de la comunicación interna y externa, y mecanismos de información Desarrollar estrategias para Implementar: El marco de gestión de riesgos El proceso de gestión de riesgos

15 Comunicación y Consulta FHC FHC FHC FHC ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Proceso de Gestión de Riesgos Provee un enfoque consistente y sistemático para evaluar y tratar los riesgos. Debe estar integrado en todas las actividades de la organización. Comunicación y consulta con las partes externas e internas en todas las fases del proceso Comprender cómo se desarrolla el riesgo. Medir consecuencias y probabilidades Determinar si los riesgos son aceptables o no para la organización. Compara con criterios de riesgos Elegir entre diferentes opciones para responder a los riesgos e implementarlas FHC: Factores humanos y culturales Establecer el Contexto Evaluación de Riesgos Identificar Riesgos Analizar Riesgos Evaluar Riesgos Tratar los Riesgos Monitoreo y Revisión Establecer propósito, alcance, criterios de riesgos y el entorno interno y externo de la organización para la gestión de riesgos Identificar las fuentes de riesgo, áreas de impactos, eventos; sus causas y sus posibles consecuencias Monitoreo y revisión de las actividades en forma continua, periódica e independiente en todas las fases del proceso Registro y Reporte FHC FHC FHC

16 Principales Cambios incluidos en la ISO 31000:2017 Gestión de Riesgos - Marco y Proceso - Directrices Fuente imagen: International Organization of Standardization

17 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Principales Cambios en relación a la versión 2009 La nueva ISO cambiará de nombre, desde ISO 31000:2009. Principios y Orientaciones, a ISO Marco y Proceso Directrices. En el contenido de la nueva norma se hace referencia explícita a la ISO Guía 73:2009 Vocabulario. En la versión del 2009 no ocurría lo anterior. En el componente Principios los 11 principios se han agrupado en la nueva versión en solo 9. El principio Factores humanos y culturales adquiere gran relevancia en la nueva norma, destacándose que estos factores influyen significativamente en cada nivel y etapa de la gestión de riesgos.

18 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Principales Cambios en relación a la versión 2009 Existen cambios en la estructura general de la norma ISO 31000, tal es el caso de los 29 términos y definiciones, contenidos en la versión 2009, de los cuales en la nueva versión quedarían solo 18 de ellos. El esquema que representa el Marco de Trabajo cambió producto de la importancia que adquiere el elemento Mandato (liderazgo) y Compromiso. Este se convierte en el centro del Marco y todos los elementos que lo componen deben relacionarse con él, en todo momento. El componente Proceso de Gestión de Riesgos se mantiene sin mayores cambios en la nueva versión de la norma.

19 ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices Anexo A Evaluando Progresos Este anexo contiene una guía de cómo usar los elementos de la norma, como una base de revisión de su nivel de implementación y demostrar la efectividad de la gestión de riesgos. Entre los métodos incluidos para realizar tal tarea se encuentran: Evaluación usando los Principios de la Norma ISO Evaluación utilizando Elementos Claves de la Norma ISO Evaluación mediante la selección y uso de un Modelo de Madurez para la Gestión de Riesgos. Sin perjuicio del método de evaluación del progreso que se utilice, la Norma ISO releva que el efecto de los factores humanos y culturales siempre debe ser considerado.

20 Método de Evaluación: Principios Este enfoque se basa en que para ser plenamente eficaz, cualquier proceso de gestión del riesgo debe tener y cumplir con un conjunto mínimo de principios o requerimientos fundamentales. Una evaluación sobre la base de estos principios, buscará evidencia para determinar en qué medida estos se cumplen en el proceso de gestión de riesgos en una organización. 1.- Crea valor y lo protege 2.- Integración 3.- Enfoque Estructurado 4.- Adaptable 5.- Inclusiva 6.- Dinámica y responde a los cambios 7.- Se basa en la mejor información disponible 8.- Factores humanos y culturales 9.- Facilita la mejora continua

21 Método de Evaluación: Principios Para usar este método se debería considerar lo siguiente: Buscar evidencia a través de la organización de cómo el principio es aplicado a las actividades de gestión de riesgos, productos y resultados. Describir cómo el principio apoya los objetivos y prioridades. Los resultados pueden ser valuados usando una escala de mediciòn apropiada o usar dicha escala para identificar brechas. Los resultados y brechas identificadas pueden ser usados para desarrollar planes de mejora.

22 Método de Evaluación: Elementos Claves Este método comprueba si cada elemento clave de la norma ISO existe y es adecuada. Es esencial para validar las declaraciones de intención de la dirección a través de evidencia de auditoría suficiente para justificar que el elemento está siendo cumplido en la práctica.

23 Método de Evaluación: Elementos Claves Para cada elemento clave de ISO se debería hacer las siguientes preguntas (extracto): Pregunta a. En qué medida se ha formalizado la gestión de riesgos?; por ejemplo; políticas, roles, diccionario, indicadores de desempeño y estratégicos, etc. a. En qué medida están incorporados los principios en la gestión de riesgos en la organización? b. Cómo la alta dirección demuestra compromiso para apoyar la gestión de riesgos? Relación con elementos claves de la ISO Cláusula Liderazgo y Compromiso (5.2) Liderazgo y Compromiso (5.2)...

24 Método de Evaluación: Modelo de Madurez Este enfoque se basa en seleccionar y utilizar un modelo de madurez, que permita evaluar si la calidad y eficacia del proceso de gestión del riesgo de la organización, mejora con el tiempo. Los sistemas de gestión del riesgo inmaduros producen muy poco rendimiento para la inversión que se ha hecho y, a menudo funcionan como una sobrecarga de cumplimiento o una imposición, más preocupados de la información sobre los riesgos que de su tratamiento y gestión efectiva.

25 Método de Evaluación: Modelo de Madurez Para seleccionar un Modelo de Madurez se debería hacer las siguientes preguntas: Pregunta Existe regulación o expectativas respecto de usar un modelo en particular? Las organizaciones similares usan este modelo en particular?, Cuenta la industria con comparaciones disponibles? El modelo toma en cuenta la personalización y la escala para el tipo y tamaño de las operaciones? El modelo reconoce la importancia de por qué su organización gestiona riesgos y hace preguntas buscando evidencia de ello? Los elementos claves de revisar se alinean con elementos diseñados de la ISO 31000? Sí: Usar el modelo. Opción de Respuesta No: Compare opciones de modelos. Sí: Considerar usar este modelo. No: Buscar opciones adicionales de modelos. Sí: Adaptar el modelo al tamaño de sus operaciones. No: Considerar otras opciones. Sí: Considerar usar este modelo. No: Puede ser adaptado o modificado. Si no, considerar otras opciones. Sí: Considerar usar este modelo. No: Puede ser adaptado o modificado. Si no, considerar otras opciones.

26 Método de Evaluación: Modelo de Madurez Ejemplo: Se pueden definir estados de madurez para el sistema de riesgos, por ejemplo, las categorías del Modelo de Madurez de Capacidades (CMM) - Carnegie Mellon University. Ninguno Muy Poco Regular Bueno Completo Muy poco o ningún cumplimiento con el requisito en cualquier forma. Sólo limitado al cumplimiento con el requisito. La dirección apoya la intención pero el cumplimiento en la práctica es pobre. Escaso cumplimiento con los elementos declarados. Ciertamente de acuerdo con la intención pero hay un limitado cumplimiento en la práctica. La dirección suscribe completamente la intención, pero el cumplimiento es parcial en la práctica. Cumplimiento absoluto con el elemento declarado - en la intención y en la práctica - en todo momento y en todo lugar. (*) Fuente: Adaptado de Source HB158. Delivering Assurance Based On ISO 31000:2009 Risk Management - Principles and Guidelines.

27 Método de Evaluación: Combinación de Métodos En la práctica siempre será posible e incluso conveniente, usar más de un método a la vez, para evaluar el progreso y eficacia de la gestión de riesgos en la organización. El objetivo general de esta combinación de métodos es evaluar en forma individual y conjunta; los principios que sustentan la gestión de riesgos, los elementos claves y el modelo de madurez utilizado. Sin perjuicio del método utilizado, siempre deberá evaluarse el efecto de los factores humanos y culturales en la gestión de riesgos; ya sea a nivel de cada persona, organizacional, sectorial o social.

28 Impactos de la Norma ISO 31000:2017 en el Modelo Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control Fuente imagen: International Organization of Standardization

29 Modelo: Tres Línea de Defensa para una Efectiva Gestión de Riesgos y Control Instituto de Auditores Internos Global - IIA Organismo de Gobierno/Consejo/Comité de Auditoría Alta Dirección Línea de Defensa Línea de Defensa Línea de Defensa Controles de Gerencia Medidas de Control Interno Controles Financieros Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento Auditoría Interna Auditoría Externa Organismos de Control Fuente: IIA Declaración de Posición: Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control

30 Organismos de Gobierno Corporativo y Alta Dirección(*) Organismo de Gobierno/Consejo/Comité de Auditoría Alta Dirección Línea de Defensa Controles de Gerencia Línea de Defensa Controles Financieros Seguridad Gestión de Riesgos Calidad Línea de Defensa Auditoría Interna Auditoría Externa Organismos de Control Medidas de Control Interno Inspección Cumplimiento (*) Pese a que los organismos de gobierno y alta dirección no son parte de las tres líneas, de todas forma se analiza.

31 Organismos de Gobierno Corporativo y Alta Dirección Organismo de Gobierno/Consejo/ Comité de Auditoría Alta Dirección Rol: Responsables del Proceso de Gestión de Riesgos y de establecer y aprobar estructuras y procesos para gestionar los riesgos de acuerdo a los objetivos de la organización. Motiva su participación, apoyo y compromiso al proceso de gestión de riesgos (Marco Liderazgo y Compromiso). Fomenta la aprobación de políticas, roles y funciones en todo el proceso de gestión de riesgos (Marco Diseño). Contribuye a establecer una estructura de comunicación y reportes desde las áreas operativas, de cumplimiento y auditoría interna (Proceso).

32 Línea de Defensa: Gestión Operativa Organismo de Gobierno/Consejo/Comité de Auditoría Alta Dirección Línea de Defensa Línea de Defensa Línea de Defensa Controles de Gerencia Medidas de Control Interno Controles Financieros Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento Auditoría Interna Auditoría Externa Organismos de Control

33 Línea de Defensa: Gestión Operativa Rol: Propietarios de los riesgos y su gestión. Controles de Gerencia Medidas de Control Interno Entrega un enfoque cohesionado y coordinado para diseñar, estructurar e implementar la gestión de riesgos en las áreas operativas (Principios, Marco y Proceso). Contribuye en la definición de roles y tareas específicas en el proceso y cómo estas podrían ser asignadas y coordinadas en las áreas operativas (Marco y Proceso). Contribuye a la implementación de acciones correctivas del proceso y de los controles (Marco y Proceso).

34 Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento Organismo de Gobierno/Consejo/Comité de Auditoría Alta Dirección Línea de Defensa Línea de Defensa Línea de Defensa Controles de Gerencia Medidas de Control Interno Controles Financieros Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento Auditoría Interna Auditoría Externa Organismos de Control

35 Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento Rol: Supervisión o monitoreo de los riesgos. Controles Financieros Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento Aporta un enfoque cohesionado y coordinado, así como métodos que ayudan a monitorear el cumplimiento de la gestión de riesgos en la organización (Principios, Marco y Proceso) (Anexo A). Ayuda a retroalimentar y mejorar la efectividad de los sistemas de gestión de riesgos en la organización (Principios, Marco y Proceso) (Anexo A). Contribuye a evitar brechas en la cobertura y duplicaciones de trabajo con otras funciones de control (Marco y Proceso).

36 Línea de Defensa: Auditoría Interna - Aseguramiento Organismo de Gobierno/Consejo/Comité de Auditoría Alta Dirección Línea de Defensa Controles de Gerencia Línea de Defensa Controles Financieros Seguridad Gestión de Riesgos Calidad Línea de Defensa Auditoría Interna Auditoría Externa Organismos de Control Medidas de Control Interno Inspección Cumplimiento

37 Línea de Defensa: Auditoría Interna - Aseguramiento Rol: Aseguramiento Independiente de la Gestión de Riesgos. Incluye estructuras que pueden ser utilizados como criterios para realizar el aseguramiento, e informar de su resultado a los organismos de gobierno y alta dirección (Principios, Marco y Proceso) (Anexo A). Auditoría Interna Aporta una serie de métodos de evaluación que pueden ser adoptados (adaptados) en el trabajo de campo de aseguramiento a la gestión de riesgos (Anexo A). Los métodos de evaluación son consistentes con directrices del IIA. Publicación: Delivering assurance based on ISO 31000:2009 Risk management Principles and guidelines y GP: Assessing the Adequacy of Risk Management Using ISO (Anexo A). Contribuye a evitar brechas en la cobertura y duplicaciones del trabajo de los auditores internos con las funciones de control y monitoreo (Marco y Proceso).

38 Conclusiones I S O

39 La nueva ISO 31000:2017 presentará cambios interesantes, destacándose los factores humanos y culturales y la inclusión de métodos para evaluar el progreso de la implementación de la gestión de riesgos en la organización. Cada una de Las Tres Líneas de Defensa se verá fortalecida con la implementación de los componentes fundamentales de la norma ISO 31000:2017 (Principios, Marco y Proceso). Los métodos de evaluación del progreso incluidos en la ISO 31000:2017 están en línea con las directrices sobre aseguramiento a la gestión de riesgos ha entregado el IIA. Por lo que deberían ser aspectos prioritarios para los auditores internos. El desafío es determinar cuál es el enfoque a adoptar (adaptar), que agregue más valor al trabajo de aseguramiento a la gestión de riesgos: Método por; Principios, Elementos Claves, Nivel de Madurez, o Combinado.

40 Bueno, ahora ya sabe que libros llevar en sus vacaciones.

41 Gracias