Enfoque de Riesgos en el Control Interno. COSO Luis Castellani Information Risk Based Services IRBS KPMG Chile 17 Noviembre 2005 The KPMG logo and name are trademarks of KPMG International. 1 Definición de Riesgo La posibilidad que algo suceda y que tenga impacto en el logro de los objetivos (Australian/New Zealand Standard - 1999) La posibilidad que uno o m ás individuos u organismos experimenten consecuencias adversas provenientes de tomar opciones. Oportunidad es el espejo de un riesgo. (Canadian Institute Board Co. - 1995) Riesgo es la posibilidad que algún evento ocurra y afecte adversamente el logro de los objetivos (COSO ERM - 2004) 2 1
Definición de Gestión de Riesgo (ERM) Gestión de Riesgos es un proceso efectuado por el directorio, la administración superior y otros miembros de la organización, basado en la estrategia y a lo largo de la empresa, diseñado para identificar potenciales eventos que puedan afectar a la entidad y administrar el riesgo dentro de los rangos de aversión al riesgo aceptado por la entidad, para proveer una razonable seguridad en el logro de sus objetivos. (COSO Enterprise Risk Management - Integrated Framework, 2004. COSO) 3 Definiciones ACCIONISTAS GOBIERNOS CORPORATIVOS DIRECTORIOS GESTIÓN DE RIESGO ENTORNO ADMINISTRACIÓN SUPERIOR Gobiernos Corporativos Es el conjunto de relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de Accionistas, su Directorio y su Administración Superior para acrecentar el valor para sus accionistas y responder a los objetivos de todos sus stakeholder. 4 2
Tratamiento de los conceptos de Riesgo Evitar el Riesgo Decidir no iniciar nuevas iniciativas que conlleven riesgos Eliminar líneas de negocios, clientes, productos Reducir el Riesgo Diversificación de productos Establecer límites operacionales Reducir exposición de ciertos activos 5 Tratamiento de los conceptos de Riesgo (continuación) Compartir el Riesgo Contratación de Seguros Convenir joint ventures Externalizar Procesos de Negocios Aceptar el Riesgo Autoseguro contra ciertas pérdidas (provisiones) Precisar la Tolerancia al Riesgo 6 3
Evolución de la Gestión de Riesgo Riesgo Riesgo como situación del hazard Foco en todos los riesgos Mitigación del Riesgo Límites de Riesgos Riesgos sin Propietarios Cuantificación difusa del Riesgo Riesgo NO es mi Responsabilidad Gestión de Riesgo Riesgo en el contexto de Estrategia de Negocios Concepto de Portfolio de Riesgo Foco en Riesgos Críticos Optimización del Riesgo Estrategia de Riesgos Responsables de Riesgos Monitoreo y Medición del Riesgo Riesgo Responsabilidad de todos y cada uno 7 Por qué es importante la Gestión de Riesgo Necesidad de cumplir con un número creciente de disposiciones regulatorias. Necesidad de incrementar la transparencia de los riesgos para un mejor acceso a recursos. Necesidad de responder rápida y efectivamente a los cambios y riesgos del entorno de los negocios. Necesidad de dar atribuciones (empower) a los empleados para asumir los riesgos del día a día. Necesidad de asegurar la sustentabilidad de los negocios en el tiempo. 8 4
Preguntas que nos debemos hacer Está la entidad clara respecto de las responsabilidades de la Gestión del Riesgo? Dónde se lleva el registro (accountability) de los riesgos? Está internalizada a lo largo de la organización la gestión de riesgo? Cuán adecuada es la calidad de la información de los riesgos que recibe el directorio? Cómo usa cada uno la información de gestión de riesgos en el proceso diario de toma de decisiones? Recibe habitualmente un valor real de las actividades de gestión de riesgos? 9 Enfoque de COSO Es un marco reconocido para la gestión del riesgo. Las organizaciones pueden beneficiarse de un enfoque reconocido para identificar y analizar los riesgos La Gestión de Riesgo considera componentes que están presentes en todas las actividades de una organización El marco de COSO contribuye a la identificación y coordinación de todos los aspectos que deben estar presentes para una efectiva gestión del riesgo 10 5
Elementos de COSO II alineamiento ESTRATEGIA OPERACIONES INFORMACI ÓN CUMPLIMIENTO que Ambiente Interno Establecimientos de Objetivos Identificación de Eventos Evaluaci ón de Riesgos Respuesta a los Riesgos F I L I A L UNIDAD DE NEGOCIO DIVISIÓN ENTIDAD donde Actividades de Control Informaci ón y Comunicación Supervisi ón 11 Elementos de COSO II (continuación) Relaciones entre COSO I y COSO II COSO I Ambiente de Control COSO II Ambiente Interno Establecimiento de Objetivos Identificación de Riesgos Evaluación de Riesgos Evaluación de Riesgos Respuestaa los Riesgos Actividades de Control Información y Comunicación Monitoreo Actividades de Control Información y Comunicación Monitoreo 12 6
Objetivos de la Entidad Estratégicos. Operacionales. Financieros. Cumplimiento. Alineados con la Misión de la Entidad y dándole su apoyo Vinculados al uso Eficaz y Eficiente de los Recursos Fiabilidad de la Información Interna y Externa Relacionados con el Cumplimiento de Leyes y Normas Aplicables 13 Ambiente de Control Cómo la organización y el personal percibe y trata los riesgos Filosofía de Gestión de la Alta Administración Cómo la Entidad considera el Riesgo. Apetito al Riesgo Integridad y Valores Éticos Estructura de la Organización, Asignación de Responsabilidades Conflictos de Interés Transparencia Responsabilidad Social 14 7
Establecimiento de Objetivos Asegurar que la alta dirección ha establecido un proceso para fijar los objetivos de la entidad, que éstos apoyan y están alineados con la misión definida Determinación de los objetivos estratégicos y objetivos específicos relacionados (efecto cascada). Aversión y Tolerancia al Riesgo 15 Identificación de Riesgos Acontecimientos internos y externos que pueden afectar a los objetivos de la entidad. Identificar y separar Riesgos de las Oportunidades Impacto Negativo: Riesgos. Evaluarlos y administrarlos Impacto Positivo: Oportunidades. Recanalizarlos a estrategias y objetivos Identificar Riesgos Internos y Externos Información Histórica Indicadores de Comportamiento de Excepción Tendencias de Mercados y Tecnológicas Análisis de los Flujos de Procesos 16 8
Evaluación de Riesgos Evaluar los riesgos considerando su probabilidad e impacto en el logro de los objetivos de la entidad y determinar cómo gestionarlos Riesgo inherente Riesgo residual Evaluación cuantitativa y cualitativa del riesgo 17 Respuesta a los Riesgos Selección de Respuestas Posibles Marco de Aversión y Tolerancia al Riesgo Aceptar Compartir Reducir Evitar Portafolio de Riesgos Interrelación de Riesgos Individuales Impacto de un Conjunto de Riesgos de Baja Ponderación 18 9
Actividades de Control Políticas y procedimientos establecidos para asegurar que las respuestas a los riesgos se llevan eficazmente Tipos de Actividades Preventivas Detectivas Manuales Computacionales Controles Gerenciales Se realizan a lo largo de toda la organización 19 Información y Comunicación Identificación, captura y comunicación en forma y plazo adecuado para permitir al personal a afrontar sus responsabilidades. Fuentes Internas y Externas Fluir dentro de la Organización Difusión Interna y Externa 20 10
Monitoreo Supervisión de la gestión de riesgos en todos los niveles, realizando las modificaciones que se necesiten. Monitoreo Continuo Desarrollado en el curso normal de las Operaciones Evaluaciones Puntuales por Entes Internos o Externos Alcance y Frecuencia acorde con la Magnitud del Riesgo 21 Beneficios del Enfoque de COSO Incrementa la capacidad para asumir en forma apropiada los riesgos necesarios para crear valor. Facilita la comprensión de los riesgos en la toma de decisiones. Mejora el seguimiento del desempeño. Facilita la incorporación de procedimientos consistentes y alineados con los objetivos estratégicos. Mitiga la volatilidad de las ganancias y del valor de los accionistas. 22 11
Alcances y Limitaciones El juicio humano puede ser erróneo en el proceso de toma de decisiones. Las decisiones sobre la respuesta al riesgo deben tener en cuenta la relación costo beneficio. Pueden darse fallas por error humano. Las personas pueden concertarse para eludir los controles. La dirección superior puede hacer caso omiso a las decisiones relacionadas con la gestión de riesgos corporativos. 23 www.kpmg.cl Datos de contacto: Luis Castellani lcastellani@kpmgchile.cl The KPMG logo and name are trademarks of KPMG International. 24 12