Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com
Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO ERM y sus ocho componentes. El rol de la Auditoría Interna en la gestión de riesgo empresarial.
Objetivos de la charla
COSO ERM (Enterprise Risk Management) Objetivos de la charla: 1. Proporcionar una visión clara que facilite a los profesionales en Auditoría Interna, la comprensión de su rol en la gestión de riesgo empresarial para su desempeño objetivo e independiente. 2. Repasar los alcances generales de COSO ERM como guía estructurada para el mantenimiento de la gestión de riesgo empresarial. 3. Mencionar las funciones de aseguramiento y consultoría que el profesional en Auditoría Interna debe desarrollar, así como las actividades que no debe realizar. 4. Orientar al profesional en Auditoría Interna sobre sus funciones cuando no existe un proceso formal de gestión de riesgos.
Motivación de la charla
REFLEXION Las ventajas competitivas basadas en la inteligencia humana están reemplazando las ventajas proporcionadas por la naturaleza, haciendo que la educación y las habilidades del personal sean las principales armas competitivas (Ramírez Padilla 2008)
Motivación de la charla Llamado fundamental del IIA desde la misma definición de Auditoría Interna: La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
Motivación de la charla Aporte de Auditoría Interna al Gobierno Corporativo: Gobernabilidad Corporativa es el sistema por el cual las sociedades del sector público y el sector privado son dirigidas y controladas. La estructura del gobierno corporativo especifica la distribución de los derechos y de las responsabilidades entre los diversos actores de la empresa, como por ejemplo, la Junta o Consejo de Administradores, Presidente y Directores, accionistas y otros terceros aportantes de recursos. Fuente: Organización Económica Para la Cooperación y el Desarrollo (OECD) Evaluación objetiva de la gestión Consejo y orientación Potenciar principios éticos Apoyo a la Auditoría Externa Asesoría Recomen daciones Evaluación políticas, procedimientos y prácticas
Motivación de la charla Llamado fundamental del IIA desde el Código de Ética: Es necesario y apropiado contar con un código de ética para la profesión de auditoría interna, ya que ésta se basa en la confianza que se imparte a su aseguramiento objetivo sobre la gestión de riesgos, control y dirección. INTEGRIDAD OBJETIVIDAD CONFIDENCIA LIDAD COMPETENCIA Los Auditores Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.
Repaso COSO ERM y sus ocho componentes
COSO ERM (Enterprise Risk Management) Factores relevantes: Surge ante la necesidad de contar con un marco de gestión de riesgos uniforme y de aceptación general. Se publica en 2004 por parte de la Treadway Commission of Sponsoring Organizations con la asistencia de PCW. COSO ERM no reemplaza el marco de control COSO I. www.coso.org
COSO ERM (Enterprise Risk Management) Organizaciones patrocinadoras actualmente
COSO ERM (Enterprise Risk Management) La gestión de Riesgo empresarial (ERM) es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos..
COSO ERM (Enterprise Risk Management) Interpretando lo indicado por The IIA, los beneficios del ERM radican principalmente en: Impulso al alcance de objetivos Motiva una conciencia formal respecto al riesgo Mejora la información y reportes en cuanto al riesgo Asignación más adecuada de prioridades Mayor preparación para factores habituales y no habituales Capacidad para tomar riesgos más calculados
Unidad A Unidad B Actividad 1 Actividad 2 COSO ERM (Enterprise Risk Management) COSO ERM Operaciones COSO I Reporte Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgos Ambiente de Control Cumplimiento
Objetivos de entidad COSO ERM (Enterprise Risk Management) Estratégicos Operacionales Reportes Cumplimiento Hacia las actividades de la entidad
COSO ERM (Enterprise Risk Management) Ambiente de Control: Definición de la filosofía empresarial en relación a la administración del riesgo. Valores y compromisos éticos. Medios de denuncia. Estrategias para el establecimiento de una cultura proactiva hacia el riesgo (roles, responsabilidades, competencias del personal). Visión ante eventos habituales y no habituales. Apetito de riesgo (preliminar).
COSO ERM (Enterprise Risk Management) Establecimiento de Objetivos (nuevo): Relación de riesgos y objetivos de la entidad. Apetito de riesgo (riesgos en niveles aceptables). Tolerancia al riesgo (en función del apetito de riesgo). Acople de la toma de decisiones al nivel de riesgo aceptable. Categorías: Estratégicos Operacionales Reporte o presentación de resultados Cumplimiento
Probabilidad COSO ERM (Enterprise Risk Management) Aceptación de Riesgos: Probabilidad vrs Impacto Riesgo inherente. Riesgo residual. Factores: Internos y Externos Inaceptable Inaceptable Inaceptable Moderado Moderado Inaceptable Aceptable Moderado Inaceptable Impacto
COSO ERM (Enterprise Risk Management) Procesos Economía Capacidad Instalada Política Personal Factores Internos y Externos Competidores
COSO ERM (Enterprise Risk Management) Identificación de Eventos (nuevo): Eventos a todo nivel de la entidad, que tienen o pueden tener impacto negativo sobre los objetivos. Origen de naturaleza interna (procesos, personal, capacidad instalada) y externa (político, económico, ambiente). Identificación de oportunidades tras los riesgos. Reconocimiento de la existencia de incertidumbre. Eventos de baja probabilidad pueden tener alto impacto.
COSO ERM (Enterprise Risk Management) Evaluación de Riesgo: Relación de frecuencia e impacto (mapas de calor). Revisión de riesgos puede conllevar al ajuste de objetivos. Herramientas cualitativas ($) y cuantitativas (métodos estadísticos). Análisis de riesgos inherentes y residuales con base en situaciones reales o elaboradas (laboratorio). Gestión de Autoevaluación de las unidades funcionales. Identificación de puntos de control vulnerables.
COSO ERM (Enterprise Risk Management) Respuesta al Riesgo (nuevo): Determina la acciones preventivas y correctivas para responder al riesgo. Hace relaciones de costo y beneficio en función de la tolerancia al riesgo. Desarrolla procedimientos para la ejecución de las respuestas. Se gestiona el riesgo: evita, comparte, acepta, mitiga. Consideración de una escala de riesgos (adicionales en función de las situaciones cambiantes).
COSO ERM (Enterprise Risk Management) Actividades de Control: Establecimiento y publicación del sistema de control interno en todos los niveles de la entidad. Emisión de políticas y procedimientos de control. Documentación de las actividades de control. Incluye los controles sobre la estructura informática (sistemas y equipos). Las actividades deben ser efectivas: + preventivas correctivas. Definición de niveles de realización, supervisión, y autorización (segregación de funciones).
COSO ERM (Enterprise Risk Management) Información y Comunicación: Flujo de información hacia abajo, hacia arriba y a través de la organización. Permite obtener el resultado del sistema de control, el cual debe apegarse a los objetivos de la entidad. Se obtiene apoyo de los sistemas de información (info interna y externa). Evidencia del aporte de los involucrados en el control. Información oportuna, confiable, disponible y pertinente. Habilitación de medios de comunicación idóneos.
COSO ERM (Enterprise Risk Management) Monitoreo: Seguimiento y evaluación continua y separada. Determinación de prioridades conforme recursos y variables críticas. Examen a los demás componentes del ERM. Identificación de desviaciones que requieren corrección o prever desviaciones. Debe responder a un plan de trabajo y al seguimiento recurrente en cada actividad del sistema de control. Auditoría Interna participa de manera independiente y objetiva.
El rol de la Auditoría Interna en la Gestión de Riesgo Empresarial
Función de Auditoría Interna en el ERM The Institute of Internal Auditors en coordinación con The IIA de UK e Irlanda, emitieron el documento o declaración de posición: El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial orientado a los servicios de aseguramiento y consulta. (Fuente para esta presentación) Orientación para mantener la objetividad e independencia.
Función de Auditoría Interna en el ERM Roles fundamentales (Aseguramiento) Roles legítimos con salvaguarda (Consultoría) Roles que AI NO debe realizar La naturaleza de las responsabilidades de auditoría interna debe estar documentada en los estatutos de auditoría y ser aprobada por el comité de auditoría.
Función de Auditoría Interna en el ERM Un rol fundamental proveer aseguramiento objetivo a la junta sobre la efectividad de las actividades de ERM en una organización, para ayudar a asegurar que los riesgos claves de negocio están siendo gestionados apropiadamente y que el sistema de control interno esta siendo operado efectivamente. Libre de amenazas a la objetividad e independencia
Función de Auditoría Interna en el ERM Rol de Aseguramiento según IIA Un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización.
Función de Auditoría Interna en el ERM Roles principales De Aseguramiento Brindar aseguramiento sobre procesos de gestión de riesgo. Brindar aseguramiento de que los riesgos son correctamente evaluados. Evaluación de los procesos de gestión de riesgo. Evaluación de reporte de riesgos claves. Revisión del manejo de los riesgos claves.
Función de Auditoría Interna en el ERM Aseguramiento Objetivo en 3 direcciones: Procesos de gestión de riesgos, tanto en su diseño y como qué tan bien están trabajando. Gestión de aquellos riesgos clasificados como claves, incluyendo efectividad de los controles y otras respuestas a éstos. Confiabilidad y evaluaciones apropiadas de riesgos y reportes de riesgo y estatus de controles.
Función de Auditoría Interna en el ERM Mejora de los procesos de gobierno NORMA 2100 Consejo para la práctica 2100-3 Gestión de riesgos Control de la organización Definido por: Dirección Ejecutiva y Comité de Auditoría
Función de Auditoría Interna en el ERM NORMA 2100 Promoción de la ética y los valores Gestión organizacional eficaz Coordinar comunicación con auditores (i/e) y la entidad.
Función de Auditoría Interna en el ERM NORMA 2100 Objetivos Alineados Misión Controles Aceptación de Riesgos Respuesta al Riesgo
Función de Auditoría Interna en el ERM Rol de Consultoría según IIA Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y control de una organización, sin que el auditor interno asuma responsabilidades de gestión.
Función de Auditoría Interna en el ERM Roles legítimos con salvaguarda De Consultoría Facilitación, identificación y evaluación de riesgos. Entrenamiento a la gerencia sobre respuesta a riesgos. Coordinación de actividades de ERM. Consolidación de reportes sobre riesgos. Mantenimiento y desarrollo del marco de ERM. Defender el establecimiento del ERM. Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.
COSO ERM (Enterprise Risk Management) Interpretando lo indicado por The IIA, las funciones de Consultoría de riesgos se orientan a: Compartir herramientas con la Administración. Defender el ERM. Proporcionar orientación y capacitación que refuerce la cultura del ERM. Facilitar la coordinación y seguimiento del modelo. Identificar vías para mitigación de riesgos. Fundamental contar con evidencia de que la Administración Superior está apoyando activamente el ERM
Función de Auditoría Interna en el ERM En las funciones de Consultoría La Administración Superior mantiene la responsabilidad sobre el ERM. La responsabilidad de A.I. debe quedar documentada. A.I. no gestiona riesgos. A.I. puede colaborar en la orientación del proceso. No se puede dar aseguramiento en una parte del marco que A.I. es responsable.
Función de Auditoría Interna en el ERM Roles que AI NO debe realizar Establecer el apetito de riesgo. Imponer procesos de gestión de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos a favor de administración. Tener responsabilidad de la gestión de riesgo.
Función de Auditoría Interna en el ERM Riesgo 2 Riesgo 1 Gestión de Riesgos Riesgo 3 Responsabilidad de la Administración
Función de Auditoría Interna en el ERM y si no hay proceso de gestión de riesgos? El consejo para la práctica 2100-4 indica: 4. Si una organización no ha establecido un proceso de gestión de riesgos, el auditor interno debe presentar este hecho ante la dirección junto con sugerencias para establecer tal proceso. El auditor interno debe buscar directivas de parte de la dirección y del Consejo de Administración en cuanto al rol de la actividad de auditoría en el proceso de gestión de riesgos. Los Estatutos de la actividad de auditoría y del comité de auditoría deben documentar el rol de cada uno de ellos en el proceso de auditoría interna.
Función de Auditoría Interna en el ERM y si no hay proceso de gestión de riesgos? El consejo para la práctica 2100-4 indica: 5. Si se lo solicitan, los auditores internos pueden cumplir un rol proactivo colaborando con el establecimiento inicial de un proceso de gestión de riesgos para la organización. Un rol más proactivo es el que suplementa las actividades tradicionales de aseguramiento con un enfoque de consultor para mejorar los procesos fundamentales. Si tal enfoque excede las actividades normales de aseguramiento y consultoría realizadas por los auditores internos, puede verse comprometida la independencia Rol proactivo Ser propietario de los riesgos
Función de Auditoría Interna en el ERM Reflexionando El consejo para la práctica 2100-3 indica: Evaluar los procesos de riesgos de la dirección es distinto del requerimiento de que los auditores utilicen análisis de riesgos para planificar sus auditorías. Sin embargo, la información originada en un proceso de gestión de riesgos integral, incluyendo la identificación de las inquietudes de la dirección y el Consejo de Administración, puede ayudar al auditor interno en la planificación de las actividades de auditoría.
Función de Auditoría Interna en el ERM Orientación específica en otros aspectos relacionados pueden encontrarla en: PA 1130.A1-2 Responsabilidad del Auditor Interno en Funciones Distintas de Auditoría. PA 2110-1 Evaluación de la Adecuación de los Procesos de Gestión de Riesgos. PA 2010-2 Enlace del Plan de Auditoría con los Riesgos y Exposiciones Glosario de las Normas para el ejercicio de la profesión.
Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com