Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com
OBJETIVOS DEL MÓDULO Inducir sobre el participante una cultura de administración del riesgo no solo estratégico y operativo, sino sobre la naturaleza lógica del mismo y sus implicaciones sobre la práctica de la Auditoria Interna. Unificar criterios sobre el concepto de Administración del Riesgo (AR). Conocer las Normas Internacionales relacionadas con la AR. Interrelacionar el concepto de la Cadena de Valor con la gestión de Auditoría Interna. Repasar la visión del ciclo de evaluación de riesgos.
Temática del Módulo Qué entendemos como Administración del Riesgo? Las Normas Internacionales sobre la Administración del Riesgo Pilares en la Administración del Riesgo: Ética y Calidad Importancia de la Administración de Riesgos Cadena de valores en el proceso de Auditoría Administración de la Cadena de Valores Ciclo de evaluación de los riesgos
Administración del Riesgo Construyendo el concepto: Representa la posibilidad de que se concreten total o parcialmente, eventos adversos a los intereses organizacionales, que afecten el logro adecuado de los objetivos. Riesgos Objetivos
Administración del Riesgo, continuación Qué menciona COSO ERM?: Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente.
Administración del Riesgo, continuación y sobre las oportunidades?: Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación.
Administración del Riesgo, continuación Concepto: La gestión de riesgo empresarial (ERM) es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.
Administración del Riesgo, continuación Rol del Auditor Interno: proveer aseguramiento objetivo a la junta sobre la efectividad de las actividades de ERM en una organización, para ayudar a asegurar que los riesgos claves de negocio están siendo gestionados apropiadamente y que el sistema de control interno esta siendo operado efectivamente.
Actividad de Grupo ESTAMOS APORTANDO AL ERM? MAS AUN HOY EN UN PERIODO DE DESACELERACIÓN ECONÓMICA? Qué estamos haciendo? Ha tenido efectos favorables?
Administración del Riesgo, continuación En una idea simple proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización.
Profundizando en ERM La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. COSO ERM Integrated Framework
Importancia y Beneficios de la Administración de Riesgos Brinda un marco integral y orientador basado en mejores prácticas. Facilita la ruta de la generación de valor y la estabilidad como negocio en marcha. Depura el proceso de toma de decisiones. Genera un entorno de mayor prevención y menor corrección. Identifica economías y maximiza la posibilidad de detectar fraudes.
Todos para uno. Involucra a la organización de forma íntegra GERENCIAS Y JEFATURAS JUNTA DIRECTIVA PERSONAL DE TODO NIVEL
Administración del Riesgo Se sintoniza con la estrategia empresarial para la Generación de Valor
Cadena de Valor Se desagregan las actividades de la empresa para optimizar su estudio y ajuste Infraestructura Recursos Humanos Tecnología Abastecimiento Margen Logística de Entrada Operaciones Logística de Salida Marketing y Ventas Servicio Fuente: Modelo de Michael Porter
Cadena de Valor, continuación Desempeño de cada área. Análisis de la actividad empresarial. Relación de costos y generación de beneficios. Identificación de ventajas competitiva.
Cadena de Valor, continuación OBJETIVOS? ESTRATEGIA TENDENCIA DE UTILIDADES (BENCHMARKING) FORTALEZA FINANCIERA (FLUJO DE CAJA Y ACCESO A CRÉDITO) MÁS IGUAL MENOS NEGOCIO EN MARCHA PARTICIPA- CION DE MERCADO
Cadena de Valor, continuación FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS Recurso humano Alianzas Tecnología Apertura comercial Tecnología Nuevos productos Estructura de costos La competencia Activos valiosos Nuevos servicios No políticas Incumplimientos legales Capacidades Apertura comercial No procedimientos Acceso a financiamiento Alianzas Acceso a incentivos Canales comunicación Posición geográfica Cultura de control (-) Distribución FODA es muy útil Crisis financiera
Cadena de Valor, continuación GESTION DE RIEGOS RIESGOS REPUTACION RECURSOS NEGOCIO EN MARCHA TENDENCIA DE UTILIDADES (BENCHMARKI NG) FORTALEZA FINANCIERA (FLUJO DE CAJA Y ACCESO A CRÉDITO) PARTICIPA- CION DE MERCADO COMPETITIVIDAD VALOR AGREGADO
Cadena de Valor, continuación Aporte de AI en tiempos de crisis: Evaluación a los generadores de flujo de caja para la continuidad del negocio: Crédito y Cobro / Efectos por Pagar Flujo de Caja / Tesorería Inventarios / Disponibilidad, salvaguarda Estructura de precios, gastos y costos Contratos / Obligaciones y derechos Generadores de ahorros / Eficiencia y eficacia operativa, negociación con proveedores
GENERAR VALOR Rentabilidad Riesgos Objetivos Equilibrio para la Generación de Valor Recursos
Administración del Riesgo, continuación Cultura del Riesgo Unifica las premisas y criterios respecto al concepto de riesgo como base para el establecimiento de la cultura de riesgo.
Administración del Riesgo, continuación Orienta todo un Proceso Define el riesgo aceptado Genera seguridad razonable a la entidad Apoya el logro de los objetivos
Objetivos a Examen Orientación de los objetivos a gestionar: Estrategia Operaciones Información Cumplimiento
Objetivos a Examen, continuación Objetivos Estratégicos: Asociados a garantizar la continuidad del negocio y la generación de valor. Misión/ Visión FODA Políticas Objetivos
Objetivos a Examen, continuación Objetivos Estratégicos: Integración primaria de las diversas unidades de negocio Cultura de Gestión de Riesgos
Objetivos a Examen, continuación Objetivos Operativos: Necesidad de Recursos Recursos disponibles Identifica los tipos Realiza presupuesto Asignación de prioridades Acceso alternativo Uso eficaz Uso eficiente Resultados Optimiza los medios
Objetivos a Examen, continuación Objetivos Operativos: Diseño y Evaluación del Universo de Procesos y Subprocesos: Compras, Inventarios, Proveedores, Logística Tesorería, Activo Fijo, Gastos, Ingresos Nómina, Manufactura, Contabilidad
Objetivos a Examen, continuación Objetivos de Información: Veracidad Oportunidad Confiabilidad Disponibilidad
Objetivos a Examen, continuación Objetivos de Información: Adecuado flujo de información. Comunicación asertiva y precisa. Accesibilidad a todos. Proceso participativo. Fortalecimiento activo de la cultura de riesgo.
Objetivos a Examen, continuación Objetivos de Cumplimiento: Leyes, Fisco Externo Cumplimiento Ambiental Interno Políticas y Procedimientos MARCO ETICO
Objetivos a Examen, continuación Objetivos de Cumplimiento: Obligatoriedad regulatoria. Impuestos, aduanas, mercantil, laboral. Régimen municipal. Ambiental. Propiedad intelectual. Migratorio.
Desagregando ERM Componentes de la gestión de riesgos: www.coso.org
Desagregando ERM Ambiente de Control Filosofía hacia la gestión de riesgos. Cultura, cultura, cultura. Marco de valores y compromisos éticos. Reconocimiento de riesgo aceptado. Involucramiento del personal.
Desagregando ERM Establecimiento de Objetivos Fijación formal de objetivos al más alto nivel en sintonía con la misión. Apetito de riesgo. Acople con el riesgo aceptado.
Desagregando ERM Identificación de Eventos Eventos que pueden afectar el logro de los objetivos. Riesgos vs. Oportunidades. Ajustes a la planeación estratégica.
Desagregando ERM Evaluación de Riesgos Probabilidad vs. Impacto Riesgo inherente. Riesgo residual.
Desagregando ERM Evaluación de Riesgos Compromiso crítico a la ECI. Requieren corrección inmediata. Debilidades de control moderadas. Requieren corrección en corto plazo. Pueden atenderse en mayor plazo por que comprometen poco la ECI.
Desagregando ERM Ciclo de Evaluación del Riesgos Respuesta al Riesgo: Evitar Se suprime la actividad Se elimina el proceso Aceptar Se monitorea Se recopilan datos para su estudio
Desagregando ERM Ciclo de Evaluación del Riesgos Respuesta al Riesgo: Reducir Se aplican actividades de control Se lleva al riesgo aceptado Compartir Se traslada a terceros. Relación indirecta con el core business
Desagregando ERM Ciclo de Evaluación del Riesgos
Desagregando ERM Actividades de Control Procedimientos Políticas Mejores Prácticas Estructura de Control
Desagregando ERM Actividades de Control Estructura formal o informal Documentación de controles (flujogramas y narrativas) Controles con propósito Prácticas operativas en todo nivel Norma cero excepciones
Desagregando ERM Información y Comunicación Comunicación Cultura Influencia Ágil Efectiva Fortalecer Responsabilidades Estratégica Operativa
Desagregando ERM Información y Comunicación Idoneidad de canales y medios Verifique (no suponga) Integralidad (acceso para todos) Convencimiento más que obligatoriedad Recopilación y análisis de datos para la toma de decisiones
Desagregando ERM Supervisión Gestión de Riesgos Supervisión Evaluación y Autoevaluación Modificación oportuna
Desagregando ERM Supervisión Evaluaciones independientes son recomendables Instauración de procesos de autoevaluación Captura de datos para ajustes al sistema Indicadores de desempeño
Actividad Administración del Riesgo PRÁCTICA A continuación se presentan los casos 1 y 2 que detallan los objetivos estratégicos de Mc Donald s y 3M Corporation. Para cada caso, debe definir las actividades principales a realizar para alcanzar esos objetivos e identificar 3 riesgos que puedan amenazar a dichas actividades.
CASO Nº 1 Administración del Riesgo OBJETIVO ESTRATÉGICO Mc Donald s Lograr el 100% de la satisfacción total del cliente todos los días en cada restaurante y para cada cliente ACTIVIDAD PRINCIPAL? ACTIVIDAD PRINCIPAL? ACTIVIDAD PRINCIPAL? RIESGO 1? RIESGO 2? RIESGO 3? RIESGO 1? RIESGO 2? RIESGO 3? RIESGO 1? RIESGO 2? RIESGO 3? Fuente de objetivo: Thompson Strickland
CASO Nº 2 Administración del Riesgo OBJETIVO ESTRATÉGICO 3 M Corporation El 30% de las ventas anuales debe provenir de productos con menos de cuatro años de antigüedad ACTIVIDAD PRINCIPAL? ACTIVIDAD PRINCIPAL? ACTIVIDAD PRINCIPAL? RIESGO 1? RIESGO 2? RIESGO 3? RIESGO 1? RIESGO 2? RIESGO 3? RIESGO 1? RIESGO 2? RIESGO 3? Fuente de objetivo: Thompson Strickland
Normas NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA ASOCIADAS A LA EVALUACIÓN DE LA GESTIÓN DE RIESGOS
Normas y la Gestión de Riesgo De Atributos: Relacionadas con los profesionales y las organizaciones en las cuales se desarrolla la actividad de Auditoría Interna. Serie 1000
Normas y la Gestión de Riesgo De Desempeño: Naturaleza y criterios de calidad para la medición de los servicios de Auditoría Interna Serie 2000
Normas y la Gestión de Riesgo 1200 Aptitud y cuidado profesional: 1210.A2: Deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización.
Normas y la Gestión de Riesgo 1220 Cuidado profesional: La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control. 1220.A3: Debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones y los recursos RIESGO DE DETECCIÓN
Normas y la Gestión de Riesgo 2000 Administración de la actividad de AI: Gestión Efectiva = Valor Agregado 2010 Planificación: El DEA debe establecer planes basados en los riesgos. Planes Prioridades Metas de entidad
Normas y la Gestión de Riesgo 2010.A1: La evaluación del riesgo debe estar documentada. 2010.C1 Para funciones de consultoría el DEA acepta trabajos según el potencial para mejorar la gestión de riesgos.
Normas y la Gestión de Riesgo 2060 Informe a la Alta Dirección y al Consejo: Relacionado con la ejecución del Plan de AI. Informar exposiciones al riesgo y cuestiones significativas de gobierno y control.
Normas y la Gestión de Riesgo 2100 Naturaleza del trabajo: Contribución a la mejora de los procesos de gobierno, gestión de riesgos y control. 2110 Gobierno: Recomendaciones adecuadas respecto a la gestión de riesgos. Evaluaciones externas y Autoevaluaciones
Normas y la Gestión de Riesgo 2120 Gestión de Riesgos: Evaluación de eficacia y aporte para la mejora basada en: Objetivos alineados con la misión. Riesgos significativos identificados y evaluados. Adecuadas respuestas al riesgo en función del riesgo aceptado. Captación y comunicación de datos sobre los riesgos.
Normas y la Gestión de Riesgo 2120.A1 Evaluar riesgos de gobierno, operaciones y sistemas de información: Fiabilidad e integridad de la información. Eficacia y eficiencia de las operaciones. Salvaguarda de los activos. Cumplimiento regulatorio interno y externo.
Normas y la Gestión de Riesgo 2120.C1 En trabajos de Consultoría se considera la asociación del riesgo con los objetivos del trabajo y la alerta para detectar nuevos riesgos. 2120.C2 Incorporación del conocimiento sobre el riesgo, derivado de trabajos anteriores de consultoría. 2120.C3 No asumir responsabilidad de la Administración.
Normas y la Gestión de Riesgo 2130 Control Evaluación de la ECI para su mejora continua. 2130.A1 Controles asociados a gobierno, operaciones y sistemas de información (ver 2120.A1).
Normas y la Gestión de Riesgo 2201 Consideraciones sobre planificación Se deben tomar en cuenta los riesgos significativos en relación con los objetivos, recursos y operaciones, así como los medios para mantener el riesgo en condición de aceptabilidad. Dimensión del Riesgo ADECUACION EFICACIA
Normas y la Gestión de Riesgo 2210 Objetivos del Trabajo Cada trabajo con sus propios objetivos. 2210.A1: Evaluación preliminar de riesgos significativos. 2210.A2: Considerar exposición a errores, fraude, incumplimientos u otras.
Normas y la Gestión de Riesgo 2210.C1 En trabajos de consultoría, el alcance de los objetivos de trabajo, se extienden según lo acordado con el cliente. 2220 Alcance del trabajo: Debe satisfacer los objetivos del trabajo.
Normas y la Gestión de Riesgo 2440 Difusión de Resultados DEA revisa y aprueba el informe final y razona sobre su adecuada distribución. 2440.A2 Debe entregarlo, debe asegurarse de haber evaluado el riesgo potencial.
Normas y la Gestión de Riesgo 2440.C2 Obligación de comunicar los hallazgos sobre debilidades de gobierno, gestión de riesgos y control. 2500 Seguimiento del proceso La Administración asume el riesgo de la no acción respecto a las exposiciones identificadas.
Variables Éticas Ética: Recto, conforme a la moral. Conjunto de normas morales que rigen la conducta humana. Real Academia Española. DIMENSIÓN PERSONAL Y PROFESIONAL
Variables Éticas, continuación Principios y valores adecuados para una correcta práctica profesional. Guía de la conducta ética que se espera practique el auditor. Desempeño diligente y profesional. Necesidad de actualización continua.
Variables Éticas, continuación INTEGRIDAD OBJETIVIDAD CONFIDENCIALIDAD COMPETENCIA
Variables de Calidad Marco de Normas. Evaluación constante del cumplimiento de la propia definición de Auditoría Interna. Apego sin excepciones al Código de Ética. Identificación de oportunidades de mejora para la eficacia y eficiencia del proceso. Evaluaciones internas (continuas) y externas (5 años).
Variables de Calidad, continuación Utilización de: Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna Declaración de incumplimiento a la alta gerencia y al Consejo.
Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com