Gesti

Gesti

n de
n de
Riesgos
Riesgos
Corporativos
Corporativos
(COSO ERM)
(COSO ERM)
Dr. Jos Dr. Jos LAGO RODR LAGO RODR GUEZ, CIA, CPN, MBA GUEZ, CIA, CPN, MBA
Ex Presidente de FLAI Ex Presidente de FLAI
Director Director At At Large Large IIA IIA Board Board of of Directors Directors
Tiene su organizacin un proceso formal de
Gestin de Riesgo u otro mtodo para
identificar riesgos?
Despus de Enron: Encuesta a los Directores
Corporativos
Corporate Governance: Definicin
Sistemas y Procesos que una
Empresa pone en funcionamiento
para proteger los derechos de sus
gupos de inters (stakeholders).
Accionistas Clientes
Inversores Proveedores
Empleados Acreedores
Comunidad Estado
Qu implica el Buen C. G. ?
No basta con cumplir las normas y
regulaciones (Compliance).
Requiere:
Cultura de Etica y Buenas Practicas
en los Negocios (BP&E).
Informacin Transparente y
Adecuadamente Expuesta (D&T).
Clara e Integral Comprensin de
Cmo Manejar Riesgos.
Procesos adecuados para Manejar y
Monitorear Riesgos (ERM).
Gobierno
Eficaz
COSO ERM
Objetivo del Proyecto: Mejorar la
Identificacin de Riesgos y los Procedimientos
de Anlisis de Riesgos.
Principios Subyacentes:
Toda Organizacin, con sin fines de lucro,
existe para Agregar Valor a sus grupos de
inters (stakeholders).
El Valor es creado, preservado erosionado
por decisiones del Management en todas las
actividades, desde la Definicin de
Estrategias hasta operar el da a da de la
empresa.
COSO ERM
Ayuda a la creacin de Valor, permitiendo al
Management:
Manejarse eficazmente con eventos futuros
potenciales que crean incertidumbre.
Responder con comportamientos que
reduzcan la probabilidad de resultados
desventajosos e incrementen los beneficios.
ERM
Provee mayores capacidades para:
Alinear el apetito por el riesgo y la estrategia.
Conectar crecimiento, riesgo y retorno.
Mejorar las decisiones en respuesta a los
riesgos.
Minimizar sorpresas y prdidas operacionales.
Identificar y gestionar riesgos cruzados.
Proveer respuestas integrales a riesgos
mltiples.
Dimensionar Oportunidades.
Racionalizar el Capital.
ERM
Es un Proceso que incluye:
Identificar Potenciales Eventos que pueden
Impactar en los Objetivos.
Evaluar los Riesgos y darle Respuesta.
Considerar los Riesgos en la Formulacin de
la Estrategia.
Aplicar el ERM a travs de toda la Empresa.
Gestionar los Riesgos considerando el nivel
de apetito adversin al riesgo de la Org.
Lograr una visin del Portfolio de Riesgos a
nivel de la Compaa.
Monitorear el Comportamiento del ERM.
COSO ERM F
Categoras de Objetivos:
Estrat Estrat gicos gicos
Operacionales
de Informacin
de Cumplimiento
Considerar las Actividades en todos los Niveles Considerar las Actividades en todos los Niveles
dentro de la Organizaci dentro de la Organizaci n: n:
Empresa
Divisin
Unidad de Negocio
Subsidiaria.
Ambiente de Control Ambiente de Control
Compliance Compliance
Informaci Informaci n n
confiable confiable
Efectividad y Eficiencia
en las operaciones
Evaluaci Evaluaci n de Riesgos n de Riesgos
Actividades de Control Actividades de Control
Informaci Informaci n y Comunicaci n y Comunicaci n n
Monitoreo y Supervisi Monitoreo y Supervisi n n
Enfoque COSO IC Enfoque COSO IC- -IF IF
Evaluaci Evaluaci n de los Riesgos n de los Riesgos
Actividades de Actividades de
Control Control
Monitoreo Monitoreo
Informaci Informaci n n
y Comunicaci y Comunicaci n n
Informaci Informaci n n
y Comunicaci y Comunicaci n n
Componentes del Control Interno: COSOs
Internal Control Integrated Framework (IC-IF)
Ambiente de Control
COSO ERM F
Componentes Interrelacionados:
Ambiente de Control
Establecimiento de Objetivos Establecimiento de Objetivos
Identificaci Identificaci n de Eventos n de Eventos
Evaluaci Evaluaci n de Riesgos n de Riesgos
Respuesta a los Riesgos Respuesta a los Riesgos
Actividades de Control
Informacin y Comunicacin
Monitoreo
COSO ERM F
Ambiente de Control:
Establece una Filosofa respecto de la Gestin
de Riesgos. Reconocer que tanto eventos
esperados como no esperados pueden ocurrir.
Establece una Cultura del Riesgo en la Org.
Considera todos los otros aspectos sobre cmo
las acciones de la Org. Afectan esta Cultura
del Riesgo (apetito, tolerancia, adversin al
riesgo).
COSO ERM F
Establecimiento de Objetivos:
Se aplica cuando el Management considera la
estrategia de riesgos en la Formulacin de los
Objetivos.
Formaliza el apetito al riesgo a nivel de
entidad. Es una visin a alto nivel de cuanto
riesgo estn dispuestos a aceptar la Alta
Direccin y el Board.
Tolerancia al Riesgo es el nivel aceptable de
variacin respecto de los objetivos, y est
alineado al apetito al riesgo. (Cuantificarlo).
COSO ERM F
Identificacin de Eventos/Sucesos:
Distinguir Riesgos y Oportunidades:
Riesgos: Sucesos que pueden tener un
impacto negativo.
Oportunidades: Eventos que pueden tener
un impacto positivo.
Identificar esos incidentes (int. ext.) que
pueden afectar la estrategia y el logro de los
objetivos.
Determinar cmo los factores internos y
externos se combinan e interactan para
influenciar su perfil de riesgos.
COSO ERM F
Evaluacin de Riesgos:
Tener en cuenta su importancia y comprender
el alcance sobre cmo los eventos potenciales
pueden impactar en los Objetivos.
Evaluar los riesgos desde 2 perspectivas:
Probabilidad e Impacto.
Unidad de Medicin: Normalmente es la
misma que usamos para medir los objetivos
relacionados.
COSO ERM F
Evaluacin de Riesgos (cont.):
Emplear una combinacin de las 2
metodologas de evalucin de riesgos:
Cuantitativa y Cualitativa.
Los horizontes de tiempos estn relacioandos
con los horizontes de tiempo de los Objetivos.
Evaluar Riesgos sobre las 2 bases, de Riesgo
Inherente y Riesgo Residual.
COSO ERM F
Respuesta al Riesgo:
Identificar y Evaluar las posibles respuestas al
Riesgo: Transferir, Compartir, Reducir,
Aceptar.
Evaluar opciones en relacin con:
El apetito de riesgo de la Org.,
La Relacin Costo/Beneficio de c/potencial
respuesta y,
El Grado en que una respuesta reducir el
Impacto y/o la Probabilidad de ocurrencia.
COSO ERM F
Respuesta al Riesgo:
Evaluar si la respuesta al riesgo impacta en el
marco integral de los componentes del ERM y
cul respuesta especfica es seleccionada si no
es as.
Seleccionar y ejecutar esa respuesta basados
en la evaluacin del portafolio de riesgos y de
respuestas.
La Respuesta no forma parte del ERM
COSO ERM F
Actividades de Control:
Son las polticas y procedimientos que ayudan
a asegurar que la respuesta al riesgo, as como
otras directivas de la entidad, son aplicadas.
Existen a travs de toda la Org., a todos los
niveles y en todas las funciones.
Incluyen controles en los aplicativos y
controles generales en IT.
Para que exista un ERM eficaz debe existir
un Control Interno efectivo.
COSO ERM F
Informacin y Comunicacin:
La Informacin es necesaria en todos los
niveles de una entidad para identificar,
evaluar y responder al riesgo.
El Management identifica, captura y
comunica la informacin pertinente en un
tiempo y una forma que permitan a la gente
cumplir con sus responsabilidades.
La Comunicacin ocurre en un sentido
amplio, fluyendo hacia abajo, hacia arriba y a
travs de la Organizacin.
COSO ERM F
Monitoreo:
Monitorear la efectividad en curso de los otros
componentes del ERM, a travs de:
Actividades de Monitoreo durante el
proceso.
Evaluaciones por separado.
Una combinacin de ambas.
COSO ERM F
Roles y Responsabilidades:
Board de Directores: Asegurarse que los riesgos son
gestionados.
Management: Las Gerencias son las propietarias del
ERM: Identifica y maneja los riesgos.
Oficiales de Riesgo / Comit de Riesgos.
Auditor Interno: Facilitador y Monitoreo:
Aseguramiento y Consulta.
Otros miembros de la Organizacin.
COSO ERM F
Relacin con COSOs Internal Control
Integrated Framework (COSO IC-IF)
ERM se expande y elabora sobre los
elementos de C.I. ya expuestos en el COSO.
ERM incluye la Formulacin de los Objetivos
como un componente separado. COSO IC-IF
expone a los Objetivos como un Prerrequisito
para el Control Interno.
En el Marco sobre ERM, la categora del
Objetivo sobre Informacin es mayor que en
el COSO, que slo hablaba de Informacin
Financiera.
COSO ERM F
Relacin con Control Interno:
Un Control Interno efectivo es necesario para
un ERM efectivo.
El Marco de Trabajo del ERM ampla el
componente de Evaluacin de Riesgos del
COSO IC-IF separndolo en Componentes.
El Marco de Trabajo del ERM se explaya en
detalle sobre cmo otros componentes del IC
IF estn relacionados con el ERM
Definicin de Auditora Interna
Cdigo de tica
Normas sobre Atributos,
Desempeo e Implementacin
Marco para la Prctica Profesional:
3 Categoras de Guas
Normas
y tica
Consejos
p/la Prctica
PPF: Folletos Prctica
Profesional
Ayudas p/ Prctica
y Desarrollo
Libros
Inf. Investigacin
Seminarios
Conferencias
Nuevos:
tica - El Rol de A.I.
Servicios de Consultora
Seguridad Informtica
Informacin fuera de la Organizacin
Gestin del Riesgo
Desarrollo de los
Consejos para la Prctica
Un Marco Completo y
Multidimensional...
Consejos para
la Prctica
(interpretar)
Normas y
tica
Ayudas p/la Prctica
y el Desarrollo
(implementar)
Agregar
Valor
Definicin de Auditora Interna
Actividad independiente y
objetiva de aseguramiento y
consulta, concebida para agregar
valor y mejorar las operaciones
de una organizacin.
Qu
somos?
Qu
hacemos?
Ayuda a una organizacin a cumplir
sus objetivos aportando un enfoque
sistemtico y disciplinado para
evaluar y mejorar los procesos de
gestin de riesgos, control y
gobierno.
Definicin de Control Interno
s/MPP
Proceso efectuado por el Directorio, la
Gerencia y los otros miembros de la Org.,
diseado para proporcionar un grado de
seguridad razonable en cuanto al logro de
objetivos en las siguientes categoras:
efectividad y eficiencia de las operaciones,
confiabilidad e integridad de la informacin
financiera y operativa,
proteccin de activos, y
cumplimiento de leyes, regulaciones y
contratos.
Definiciones
Riesgo: Incertidumbre de que ocurra un
acontecimiento que pudiera afectar el
logro de los objetivos. Se mide en
trminos de consecuencias y
probabilidad.
Administracin de la
Actividad de A.I.
El principal ejecutivo de auditora
(DEA) debe gestionar gestionar efectivamente efectivamente la
actividad de auditora interna para
asegurar asegurar que que agregue agregue valor valor a la
organizacin.
El Rol del AI en ERM (Sp 04)
Sugiere formas para que los AI
mantengan su OBJETIVIDAD e
INDEPENDENCIA requeridas por
las Normas del IIA cuando provean
servicios de aseguramiento y
consulta.
Objetividad
Actitud mental independiente:
Llevar a cabo el trabajo con honesta
confianza en el producto de su labor
y sin comprometer de manera
significativa su calidad.
No subordinar su juicio al de otros
sobre temas de AI.
El Rol del AI en ERM (Sp 04)
ERM:
Proceso estructurado, consistente y
continuo implementado a travs de toda la
organizacin para
IDENTIFICAR
EVALUAR
MEDIR y
REPORTAR
amenazas y oportunidades que afectan el
poder alcanzar el logro de sus objetivos.
El Rol del AI en ERM (Sp 04)
Rol fundamental:
Proveer Aseguramiento Objetivo a la
Direccin y a la Junta sobre la
EFECTIVIDAD de la Gestin de Riesgos:
1) ASEGURAR que los riesgos claves del
negocio estn siendo GESTIONADOS
apropiadamente y,
2) ASEGURAR que el Sistema de Control
Interno est siendo OPERADO efectivamente.
El Rol del AI en ERM (Sp 04)
Rol fundamental:
Proveer Consejo.
Motivar y Soportar las Decisiones
Gerenciales sobre Riesgos.
No Decidir sobre Riesgos.
Documentar responsabilidades de AI en
Estatutos de AI aprobados por Comit de
Auditora.
El Rol del AI en ERM (Sp 04)
Gerencia de Riesgos:
Es el Responsible de Establecer y Operar el
ERM con la Aprobacin de la Junta
Roles Fundamentales
de AI en ERM
ASEGURAMIENTO:
Procesos de Gestin de Riesgos (Diseo y
Operacin).
Riesgos Correctamente Evaluados.
Evaluacin Procesos de Gestin de Riesgos.
Evaluacin de Reporte de Riesgos Claves.
Revisin Gestin de Riesgos Claves (incluye
Efectividad de Controles y Otras Respuestas a
stos).
Gerente del Proyecto ERM ???
Roles Legtimos de AI en ERM
CONSULTORA:
Apoyar a Gerencia en su trabajo: Facilitacin,
Identificacin y Evaluacin de Riesgos.
Herramientas y Tcnicas usadas por AI para analisis
de Riesgos y Controles.
Defender el establecimiento del ERM, aportando su
experiencia en Gestin de Riesgos y en la Org.
Entrenamiento a la Gcia. sobre Riesgos y Controles y
Respuesta a Riesgos
Roles Legtimos de AI en ERM
CONSULTORA (cont.):
Coordinacin, Monitoreo y Reporte sobre Riesgos.
Mantenimiento y Desarrollo del Marco de ERM.
Desarrollo de Estrategias de Gestin de Riesgo para
Aprobacin de la Junta
Asumir Responsabilidad Gerencial de Gestin de
Riesgos.???: Transferencia de Responsabilidades a la
Gcia.
Roles Legtimos de AI en ERM
SALVAGUARDAS:
Asegurar que Actividad no amenaza Independencia
y Objetividad de AI: Gerencia mantiene
responsabilidad de Gestin de Riesgo.
Confirmar que actividad podra mejorar los procesos
de Gestin de Riesgos, Control y Gobierno de la
Organizacin: Aplicar Normas de Consultora.
Tener Destrezas (Ej. Manejo de Proyectos, Analticas
y de Facilitacin), Cuerpo de Conocimientos
(Requerim. de GC) y Valores (Balance saludable de
Riesgo): Pericia.
Rol de AI en ERM
Roles Que AI NO Debe Realizar
Establecer el Apetito de Riesgo.
Imponer Procesos de Gestin de Riesgo.
Manejar el Aseguramiento sobre los
Riesgos de los que es responsable.
Tomar Desiciones de Riesgo en Respuesta
a los Riesgos.
Implementar Respuestas a Riesgos a
Favor de la Administracin.
Tener Responsabilidad en la Gestin de
Riesgos.
Normas para el Ejercicio
Profesional
Atributos: Qu Somos y qu
debemos tener.
Desempeo: Qu Hacemos y qu
acciones debemos tomar.
Implementacin: Cmo aplicarlas
en un caso particular.
Normas sobre Atributos
Describen Caractersticas bsicas de
las Organizaciones y las personas
que prestan servicios de A.I.
Normas sobre Desempeo
Describen la Naturaleza de las
actividades de Auditora Interna.
Proporcionan criterios de calidad
con los cuales puede medirse el
desempeo de estos servicios
Pericia y Debido Cuidado Profesional
Debido Cuidado Profesional: Cuidado y pericia
esperados de un A.I. razonablemente prudente y
competente. Ejercerlo al considerar:
Adecuacin y efectividad de los procesos de
Gestin de Riesgos, Control y Gobierno.
Relacin Costo de Aseguramiento/Potencial B
Pericia: Conocimientos, Aptitudes y otras
competencias necesarias p/cumplir con sus
responsabilidades individuales.
Pericia y Debido Cuidado Profesional
Debido Cuidado Profesional:
El A.I. debe estar alerta a los RIESGOS
MATERIALES que pudieran afectar los
objetivos, operaciones los recursos.
Los procedimientos de aseguramiento, por s
solos, no garantizan que todos los riesgos
materiales sean identificados (infalibilidad).
Administracin Efectiva
Actividad A.I.
Plan de Trabajo basado en Evaluacin de Riesgos (Anual)
Considerar comentarios Alta Direccin y Consejo
Planes basados en riesgos, p/determinar
prioridades. Plan consistente c/metas Org.
Agregar
Valor
Consultora: Aceptar slo si mejora gestin de riesgos,
aade valor y mejora las operaciones de la Org.
Administracin Efectiva
Actividad A.I.
Informar peridicamente al Directorio y la D.S.
Sobre la Activ. en lo referido a Propsito,
Autoridad, Responsabil. y Desempeo del Plan.
Inclur Exposiciones de Riesgo Relevantes y
Cuestiones de Control, Gobierno Corporativo y otras
necesarias o requeridas por Consejo y la Alta
Direccin.
Administracin Efectiva
Actividad A.I.
A.I. debe evaluar si vuelve a informar al
Consejo sobre Obs. y Recomendaciones
significativas en las que la Alta Direccin y
el Consejo asumieron el riesgo de no
corregir la situacin informada:
Puede ser necesario cuando ha habido
cambios en la Org, el Consejo, la AD otros
cambios.
Naturaleza del Trabajo
Gestin de Riesgos: Asistir a la Org.:
Identificando y Evaluando Exposiciones
significativas a los riesgos y
Contribuyendo a la Mejora de los Sistemas de
Gestin de Riesgos y Control.
Activ. AI: Evala y contribuye a mejora sistemas
de Gestin de Riesgos, Control y Gobierno.
Supervisin y Evaluacin Eficacia del Sistema de
Gestin de Riesgos de la Org.
Naturaleza del Trabajo
El Proceso debe ser:
Adecuado: Los Objetivos y Metas sern
alcanzados eficiente y econmicamente.
Eficiente: Consigue Objetivos de forma
precisa, oportuna y econmica.
Econmico: Mnimo Uso de Recursos en
consonancia con la Exposicin al Riesgo.
Naturaleza del Trabajo
El Proceso debe ser:
Eficaz: Obtener una Seguridad Razonable
de que los Objetivos y Metas de la Org. sern
alcanzados.
Seguridad Razonable: Si se toman las
acciones ms eficaces con respecto al costo
en las etapas de diseo e implantacin, que
permitan reducir riesgos y limitar las
desviaciones a un nivel aceptable.
Naturaleza del Trabajo
Evaluar las Exposiciones al Riesgo referidas al
Proeceso de Gestin Global a cargo de la Direccin,
en especial en lo que se refiere a Gobierno,
Operaciones y Sistemas de Informacin de la Org.:
Confiabilidad e Integridad Informacin
(Financiera y Operativa),
Eficacia y Eficiencia de las Operaciones,
Proteccin de Activos,
Cumplimiento de leyes, regulaciones y contratos.
Identificacin de las exposiciones al riesgo y el
uso de estrategias eficaces para controlarlas.
Naturaleza del Trabajo
Consultora:
Considerar riesgo compatible con Objetivos
del Trabajo y estar alerta a la existencia de
otros riesgos significativos.
Incorporar los conocimientos del riesgo
obtenidos de los trabajos de Consultora en el
Proceso de Identificacin y Evaluacin de las
Exposiciones de Riesgo significativas en la Org.
Naturaleza del Trabajo
Tipos de Control
Preventivo: Evitar hechos no deseados.
Detectivo: Detectar y Corregir hechos no
deseados que han ocurrido.
Directivo: Provocar Promover que sucedan
hechos deseados.
Planificacin: Temas a Considerar:
Objetivos de la Actividad Revisada y
Medios con los que Controla su
Desempeo.
Riesgos Significativos de la Actividad, sus
Objetivos, Recursos y Operaciones, y
Medios con los cuales el Impacto
Potencial del Riesgo se Mantiene en
Niveles Aceptables.
Planificacin: Temas a Considerar:
Adecuacin y Eficacia de los Sistemas de
Gestin de Riesgos y Control de la
Actividad, comparados con un Modelo
de Control.
Oportunidades de Introducir Mejoras
Significativas en los Sistemas de
Gestin de Riesgos y Control de la
Actividad.
Planificacin: Objetivos del
Trabajo
Identificar y evaluar los riesgos
relevantes de la Actividad bajo
revisin.
Los Objetivos del Trabajo deben
reflejar los Resultados de la
Evaluacin de Riesgos.
Criterios para la Comunicacin
Las Observaciones deben Inclur:
Lo que debe ser (Criterio Norma).
Lo que es: Evidencia
Causa: Porqu existe la diferencia.
Efecto Impacto de la Diferencia:
Riesgo Exposicin en que se
encuentra la Org. terceros y su
impacto sobre las operaciones y
los estados financieros de la Org
Supervisin del Proyecto
Establecer un Proceso de Seguimiento para
Supervisar y Asegurar que las Acciones de la
Direccin han sido efectivamente implementadas
que la Direccin Superior acepta el Riesgo de No
Tomar Accin.
Establecer y Mantener un Sistema para
Supervisar la Disposicin de los Resultados
comunicados a la Gerencia.
Aceptacin de Riesgos por la Direccin
La Alta Direccin puede decidir asumir el
riesgo de no corregir la situacin informada,
por razones de costo otras consideraciones.
El Consejo debe ser informado de tales
decisiones tomadas por la Alta Direccin con
respecto a todas las observaciones y
recomendaciones del trabajo significativas.
Aceptacin de Riesgos por la Direccin
Si Auditora Interna considera que la Alta
Direccin acept un Nivel de Riesgo Residual
que es inaceptable para la Organizacin:
Discutir esto con la Alta Direccin.
Si la decisin referida al Riesgo Residual no se
resuelve, Auditora y la Alta Direccin deben
informar esta situacin al Consejo, para su
resolucin.
Para los hombres
de coraje
se han hecho
las empresas
Carta del Gral. San Martn
al Sr. Godoy Cruz (Mendoza 1816)
Muchas
Muchas
Gracias
Gracias
por
por
su
su
atenci
atenci

n
n
Los esperamos en
Los esperamos en
La Conferencia Internacional
La Conferencia Internacional
de Auditor
de Auditor

a Interna del IIA,

a Interna del IIA,
en Chicago, EEUU,
en Chicago, EEUU,
Del 11 al 13 de Julio del
Del 11 al 13 de Julio del
2.005.
2.005.
Y en la X CLAI
en La Habana, Cuba
Del 3 al 6 de Octubre 2.005,
Preguntas?: Ahora y Despus
Dr. Jos LAGO RODRIGUEZ, CIA
Ex Presidente de FLAI
Director At Large IIA Board of Directors
jlago@bna.com.ar