COSO II ERM y el Papel del Auditor Interno

Rafael Ruano Diez Socio - PricewaterhouseCoopers

TEMARIO DE LA SESIN

Introduccin a COSO II ERM Enterprise Risk Management

Premisas fundamentales Preguntas claves respecto a ERM Qu es Enterprise Risk Management? Beneficio de ERM Componentes claves de ERM ERM y otras prcticas de gestin y control de riesgos

Roles y responsabilidades El rol de Auditor Interno Conclusin

Introduccin a COSO II - ERM El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission. En 1992, public un informe denominado Internal Control Integrated Framework (IC-IF), conocido tambin como COSO I. Adoptado por el sector pblico y privado en USA, por el Banco Mundial y el BID, y se extiende rpidamente por todo Latino Amrica.

Introduccin a COSO II - ERM Debido al aumento de preocupacin por la administracin de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determin la necesidad de la existencia de un marco reconocido de administracin integral de riesgos. El proyecto se inici en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administracin de riesgo, reconociendo que muchas organizaciones estn comprometidas en algunos aspectos de la administracin de riesgos.

Introduccin a COSO II - ERM En septiembre de 2004, se publica el informe denominado Enterprise Risk Management Integrated Framework, el cual incluye el marco global para la administracin integral de riesgos. Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningn caso reemplaza a Internal Control - Integrated Framework.

Introduccin a COSO II - ERM Estructura del proyecto

COSO

COSO Grupo Asesor

Compaas y Otras Organizaciones Miembros de la organizacin COSO Compaas medianas Grandes Compaas Industrias Asociadas Entidades gubernamentales y entidades sin fines de lucro

PricewaterhouseCoopers Equipo de Proyecto

Otros Involucrados Importantes Academia Asociaciones Profesionales Profesionales de administracin de riesgos Abogados Reguladores Otros reguladores de industria

Introduccin a COSO II - ERM El estndar COSO II ERM, delinea los principios de administracin de riesgo
El marco conceptual proporciona: Una definicin de Enterprise Risk Management Los principios y componentes crticos de un efectivo proceso de Enterprise risk management Direccin para que las organizaciones lo utilicen en la determinacin de como mejorar su administracin de riesgo Criterio para determinar si su administracin de riesgo es efectiva, y si no, que necesita.

Introduccin a COSO II - ERM El estndar COSO II ERM, delinea los principios de administracin de riesgo
Tambin proporciona aplicaciones tcnicas: Ilustraciones de como los principios crticos pueden ser observados en una organizacin. Una perspectiva de un proceso de implementacin. Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamao, Estrategia, Industria y Complejidad

Introduccin a COSO II - ERM COSO II ERM, 4 categoras de objetivos, 8 componentes y de alcance corporativo.
Alineado con
Los objetivos pueden ser vistos en el contexto de cuatro categoras

Qu
Ocho componentes interrelacionados

Dnde
Considera las actividades de todos los niveles de la organizacin

Premisas fundamentales La premisa principal de la administracin corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para crear valor a sus grupos de inters. No obstante, todas las organizaciones encaran incertidumbre, el desafo para la administracin es determinar cuanta incertidumbre esta preparada para aceptar en la bsqueda de aumentar el valor de los grupos de inters.

Premisas fundamentales Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organizacin (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor. La administracin de riesgos corporativos permite a la administracin manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organizacin para construir valor.

Premisas fundamentales En una forma grfica

Stakeholders Factores externos Objetivos (creacin de valor) Riesgo Impacto negativo sobre objetivos

Negocio

Incertidumbre

Eventos Impacto positivo sobre objetivos Oportunidad

Factores internos

Preguntas claves respecto a ERM Cuales son los principales riesgos que afectan a nuestra organizacin? Existe una definicin formal de nuestro apetito y filosofa de administracin de riesgo?. Esta es comunicada y conocida? Tenemos una visin y lenguaje integrado de riesgos en todas las unidades de negocio de la organizacin?

Preguntas claves respecto a ERM Tenemos un proceso de gestin de riesgo, de acuerdo a nuestro apetito y filosofa de administracin de riesgo? Cmo identificamos, evaluamos, monitoreamos nuestros riesgos? comunicamos y

Nuestras personas entienden su rol como parte de la administracin de riesgos? Quin asegura que el proceso de gestin de riesgo se efecte correctamente?

Qu es Enterprise Risk Management? "La administracin de riesgos corporativos es un proceso efectuado por el directorio, administracin y las personas de la organizacin, es aplicado desde la definicin estratgica hasta las actividades del da a da, diseado para identificar eventos potenciales que pueden afectar a la organizacin y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organizacin".
Enterprise risk management Integrated Framework COSO II 29 de septiembre de 2004

Qu es Enterprise Risk Management?

Proceso continuo es un medio para un fin, no un fin en si mismo Efectuado por el personal en todos sus niveles (No slo polticas) Aplicado en la definicin de la estrategia Aplicado en toda la organizacin en cada nivel y unidad Diseado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo Provee seguridad razonablelogro de los objetivos estratgicos, operacionales, presentacin de reporte y cumplimiento.

Beneficios de ERM Alinear el apetito al riesgo con la estrategia. Relacionar crecimiento, riesgo y retorno. Mejorar las decisiones de respuesta al riesgo. Reducir sorpresas y prdidas operacionales. Identificar y gestionar la diversidad de riesgos por compaa y grupo agregado. Aprovechar las oportunidades. Mejorar la asignacin de capital.

Componentes claves de ERM

Entorno Interno

Definicin y comprensin de objetivos Identificacin de eventos

Actividades Primarias de la Gestin de Riesgos

Valoracin del riesgo

Direccin y Soporte

Respuesta al riesgo

Actividades de control

Informacin y comunicacin

Monitoreo

Componentes claves de ERM

Definicin y comprensin de objetivos Estratgico Operacionales Reporte Cumplimiento Entorno Interno Filosofa Administracin de riesgo Apetito al riesgo Supervisin de Directorio Integridad, valores ticos y competencia del personal Autoridad, roles y responsabilidades y estructura. Informacin y comunicacin Identificacin y capturacin de datos Datos internos y externos Datos histricos Esquemas de reporte

Identificacin de eventos

Fuente Externa Econmicos Negocio Tecnolgicos Polticos Sociales

Fuente Interna Proceso Personas Sistemas Infraestructura

Direccin y Soporte

Actividades Primarias de la Gestin de Riesgos

Valoracin del riesgo

Tcnicas cualitativas Tcnicas cuantitativas

Respuesta al riesgo

Evitar Reducir Compartir Aceptar Polticas y procedimientos Preventivos Detectivios Correctivos Manuales Automticos

Actividades de control

Monitoreo

Actividades continuas (KRI). Actividades espordicas

Componentes claves de ERM

Estrategia
Estrategia

Direccin

Poltica

Qu har la organizacin acerca de sus riesgos (polticas) y la responsabilidad de gestin de los mismos.

Identificar

Actividades Primarias de la Gestin de Riesgos

Reportar

Proceso de Analizar Administracin de Riesgos

Responder

Procesos
Cmo la organizacin gestionar riesgos, procedimientos, prcticas y herramientas

Monitorear

Arquitectura
Estructura Organizacional Medicin del desempeo Mecanismos de recursos humanos Educacin en Gestin Cultura Comunicaciones
Qu personas, comits, foros y tcnicas son necesarias para apoyar, promover y conducir la gestin del riesgo a travs de la organizacin

Aseguramiento

Cultura
Cmo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos

Soporte

10

ERM y otras prcticas de gestin ERM Relacin con Governance, Risk and Compliance

Definicin de objetivos y estrategia, polticas, apetito al riesgo y responsabilidades. Monitoreo del desempeo

Identificacin y evaluacin de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de respuesta al riesgo y actividades de control

Operacin de acuerdo con los objetivos y asegurando adherencia con las leyes y regulaciones, polticas internas, procedimientos y los compromisos de los stakeholders

ERM y otras prcticas de gestin COSO II ERM, Basilea II y Solvencia II

Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administracin del riesgo Crear un marco de supervisin que motive el desarrollo de mejores prcticas Requerir a los bancos la apertura de informacin en detalle de su estructura de capital y exposiciones de riesgo

11

ERM y otras prcticas de gestin COSO II ERM y Sarbanes - Oxley

La Ley Sarbanes Oxley estableci un nuevo paradigma de responsabilidad de las empresas. Defini claramente las responsabilidades del Comit de Auditora, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Cre un nuevo estndar para las compaas en relacin con la presentacin de informacin, de la eficacia de los controles internos y elimin los obstculos para el diseo, documentacin y operacin de controles internos.

Los buenos controles internos han dejado de ser nicamente una mejor prctica..... Son Ley!

Roles y responsabilidades
Todas las personas en una entidad tienen alguna responsabilidad en la administracin del riesgo. El CEO es responsable en general y debe asumir su funcin. El resto de los gerentes o altos ejecutivos deben soportar la filosofa de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administracin del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgos El personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo. La Junta Directiva provee un significativo seguimiento de la administracin del riesgo. Externos proveen informacin para la administracin del riesgo. Las partes externas no son responsables por la efectividad de la administracin del riesgo.

12

Roles y responsabilidades

Responsables

Otras partes involucradas

Comit Ejecutivo Comits Delegados Gerentes Auditores Internos Personal

Auditores Externos Reguladores Asociados con la valoracin del riesgo y el control interno

Outsourcing

Roles y responsabilidades
Junta Directiva Aprueba y aloca recursos Comit de Auditora

Riesgos Definiciones - Polticas - Reportes - Cuantificacin

Responsable

Coordinacin y Monitoreo

Aseguramiento

Unidades de Negocio Auto-evaluaciones Implementa cambios Reporta internamente y a riesgos

Riesgo Operacional Areas soporte Monitoreo de auto-evaluaciones Anlisis de indicadores Control planes Reportes

Auditora Interna Evala el proceso Revisa las auto-evaluaciones Pruebas de controles

13

Roles y responsabilidades
Conoce claramente el proceso de administracin del riesgo implementado y hasta qu punto el mismo es efectivo Identifica que el proceso est en lnea con el apetito al riesgo Compara el portafolio de riesgos con el apetito al mismo Es informado de los principales riesgos y sus respuestas y aprueba las mismas Delega funciones (las responsabilidades no se delegan) en diversos Comits (ALCO, Crditos, Riesgos, Auditora, Compensaciones, Riesgo Operacional, etc.)

Junta Directiva

Roles y responsabilidades
Responsable por todas las actividades de la organizacin En el caso del CEO, su mayor responsabilidad es establecer el ambiente interno Tambin provee liderazgo y direccin a los gerentes y as se crean los valores de la organizacin Definen los objetivos estratgicos y la estrategia Desarrollan el apetito al riesgo y su tolerancia Definen la estructura organizacional Analizan las respuestas al riesgo Monitorean a travs del CRO la eficacia del proceso de administracin del riesgo

Administracin

14

Roles y responsabilidades
Trabaja con los otros gerentes para establecer un proceso de administracin del riesgo La autoridad y reporte es al CEO, puede integrar subsidiarias Algunas empresas le asignan la funcin al CFO, Director de Auditora o Director de Cumplimiento. Desarrolla las polticas Define roles y responsabilidades Asignacin de resultados y capitales Asiste a toda la entidad y provee modelos de gestin de riesgo y cuantificacin Gua la integracin de los riesgos Establece un lenguaje comn Monitorea el grado de riesgo asumido por los diversos negocios Reporta Sugiere acciones correctivas

Risk Officer

Roles y responsabilidades

CFO

Sus actividades cruzan todas las reas de la organizacin Desarrollan presupuestos y planes y monitorean su desempeo (operaciones, reporte y monitoreo) Responsable por los estados financieros y sus procesos de control y reporte al exterior Su jerarqua no puede ser minimizada por los sectores de negocios (deber interpretar las reglas del juego y estrategias y decidir sobre la metodologa de contabilizacin y reporte)

15

Roles y responsabilidades

Auditora Interna

Evalan la efectividad y sugieren mejoras sobre el proceso de administracin del riesgo Los estndares establecidos por el Institute of Internal Auditors especifican que el alcance de sus tareas incluye la evaluacin del proceso de administracin del riesgo y del control interno Estas tareas incluyen, la evaluacin del repote, la revisin de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas No es su responsabilidad primaria establecer y mantener el proceso de administracin del riesgo (CEO) Debe asistir a la gerencia y al Comit de Auditora a monitorear, examinar y evaluar el proceso Sin embargo debe mantener su objetividad

Roles y responsabilidades
Auditora Interna

16

Roles y responsabilidades

Personal

La administracin del riesgo es parte de responsabilidades de todos los empleados Esto debe ser comunicado muy efectivamente.

las

Auditores Externos

Deben proveer a la gerencia y al Comit Ejecutivo una visin nica, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo El Auditor puede firmar un balance limpio y la administracin del riesgo y el control interno no ser adecuados Sus funciones se refieren a los estados financieros. Para emitir dicha opinin deber hacer los ajustes necesarios e invertir ms tiempo en sus revisiones Su valor se observa en los hallazgos de auditora y recomendaciones

Roles y responsabilidades

Reguladores

Requisitos de control interno y respuesta al riesgo Revisiones in-situ y extra-situ

Otras partes

Clientes Vendors Outsourcers Analistas financieros Agencias de Rating Medios de comunicacin

17

Conclusin
Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratgicos, operativos y/o financieros de la organizacin
Reducir las Amenazas

ERM, es un proceso formal diseado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organizacin.
PROCESO DE GESTION DE RIESGOS identificar reportar

Manejar la Incertidumbre
analizar

Valor para stakeholders

monitorear

Explotar la Oportunidad

responder

Conclusin - ERM
Tradicional (Gestin por silos)
Legal Seguridad IT

Transformacin
Coordinacin entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos. Permitir un rpido entendimiento de los riesgos de las iniciativas de negocios. Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones Procesos organizacionales consistentes Herramientas de gestin de riesgo de alto nivel. Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas.

ERM (Portfolio de riesgo)

Global RM

Seguridad IT

Auditora Interna

EHS Auditora Interna

EHS Legal

ERM

BCP

Seguridad Fsica Seguros

BCP

Legal

Seguridad Fisica

Riesgo Riesgo Riesgo Riesgo Riesgo Riesgo Riesgo

Estrategia de Riesgo Y Marco Riesgo 1 Riesgo 2 Riesgo 3 Riesgo 4 Riesgo 5 Riesgo 6 Medicin y reporte Proceso RM Evaluar riesgo Tratar riesgo Monitorear y Reportar Herramientas de Gestin de Riesgo Fuentes de Conocimiento RiskWeb

Ingresos Seguridad Costos

Proceso de Gestin de Riesgo

18

Rafael Ruano Diez

rafael.ruano@cl.pwc.com

19