COSO II ERM y el Papel del Auditor Interno

Rafael Ruano Diez

Socio - PricewaterhouseCoopers

TEMARIO DE LA SESIN

Introduccin a COSO II ERM

Enterprise Risk Management
Premisas fundamentales
Preguntas claves respecto a ERM
Qu es Enterprise Risk Management?
Beneficio de ERM
Componentes claves de ERM
ERM y otras prcticas de gestin y control de riesgos

Roles y responsabilidades El rol de Auditor Interno

Conclusin
3

&

Introduccin a COSO II - ERM

El nombre de COSO proviene del Committee of
Sponsoring Organizations of the Treadway Commission.
En 1992, public un informe denominado Internal
Control Integrated Framework (IC-IF), conocido
tambin como COSO I.
Adoptado por el sector pblico y privado en USA, por el
Banco Mundial y el BID, y se extiende rpidamente por
todo Latino Amrica.

Introduccin a COSO II - ERM

Debido al aumento de preocupacin por la
administracin de riesgos, The Committee of Sponsoring
Organisations of the Treadway Commission determin la
necesidad de la existencia de un marco reconocido de
administracin integral de riesgos.
El proyecto se inici en enero de 2001 con el objeto de
desarrollar un marco global para evaluar y mejorar el
proceso de administracin de riesgo, reconociendo que
muchas organizaciones estn comprometidas en
algunos aspectos de la administracin de riesgos.

Introduccin a COSO II - ERM

En septiembre de 2004, se publica el informe
denominado Enterprise Risk Management Integrated
Framework, el cual incluye el marco global para la
administracin integral de riesgos.
Enterprise Risk Management - Integrated Framework
incluye el control interno, por lo que en ningn caso
reemplaza a Internal Control - Integrated Framework.

Introduccin a COSO II - ERM

Estructura del proyecto
COSO

COSO Grupo Asesor

Compaas y Otras
Organizaciones
Miembros de la organizacin
COSO
Compaas medianas
Grandes Compaas
Industrias Asociadas
Entidades gubernamentales y
entidades sin fines de lucro

PricewaterhouseCoopers
Equipo de Proyecto

Otros Involucrados
Importantes
Academia
Asociaciones Profesionales
Profesionales de
administracin de riesgos
Abogados
Reguladores
Otros reguladores de industria

Introduccin a COSO II - ERM

El estndar COSO II ERM, delinea los principios de
administracin de riesgo
El marco conceptual proporciona:
Una definicin de Enterprise Risk
Management
Los principios y componentes crticos
de un efectivo proceso de Enterprise
risk management
Direccin para que las organizaciones
lo utilicen en la determinacin de como
mejorar su administracin de riesgo
Criterio para determinar si su
administracin de riesgo es efectiva, y
si no, que necesita.

Introduccin a COSO II - ERM

El estndar COSO II ERM, delinea los principios de
administracin de riesgo
Tambin proporciona aplicaciones tcnicas:
Ilustraciones de como los principios
crticos pueden ser observados en una
organizacin.
Una perspectiva de un proceso de
implementacin.
Ilustraciones que consideran una
variedad de organizaciones, en cuanto
a tamao, Estrategia, Industria y
Complejidad

Introduccin a COSO II - ERM

COSO II ERM, 4 categoras de objetivos, 8 componentes
y de alcance corporativo.
Alineado con

Los objetivos pueden ser vistos en el

contexto de cuatro categoras

Qu
Ocho componentes
interrelacionados

Dnde
Considera las actividades de
todos los niveles de la
organizacin

Premisas fundamentales
La premisa principal de la administracin corporativa de
riesgos es que cada entidad, con o sin fines de lucro,
existe para crear valor a sus grupos de inters.
No obstante, todas las organizaciones encaran
incertidumbre, el desafo para la administracin es
determinar cuanta incertidumbre esta preparada para
aceptar en la bsqueda de aumentar el valor de los
grupos de inters.

Premisas fundamentales
Las incertidumbre proviene tanto del entorno como de
las decisiones dentro de la organizacin (fuentes
internas y externas) y esta se puede presentar como
riesgo y oportunidad, con el potencial de destruir o
generar valor.
La administracin de riesgos corporativos permite a la
administracin manejar esa incertidumbre, su riesgo y
oportunidad asociado y, por lo tanto, incrementar la
capacidad de la organizacin para construir valor.

Premisas fundamentales
En una forma grfica

Stakeholders
Riesgo

Factores
externos
Objetivos
(creacin
de valor)

Negocio

Factores
internos

Impacto negativo
sobre objetivos

Incertidumbre

Eventos
Impacto positivo
sobre objetivos
Oportunidad

Preguntas claves respecto a ERM

Cuales son los principales riesgos que afectan a
nuestra organizacin?
Existe una definicin formal de nuestro apetito y
filosofa de administracin de riesgo?. Esta es
comunicada y conocida?
Tenemos una visin y lenguaje integrado de riesgos en
todas las unidades de negocio de la organizacin?

Preguntas claves respecto a ERM

Tenemos un proceso de gestin de riesgo, de acuerdo
a nuestro apetito y filosofa de administracin de riesgo?
Cmo identificamos, evaluamos,
monitoreamos nuestros riesgos?

comunicamos

Nuestras personas entienden su rol como parte de la

administracin de riesgos?
Quin asegura que el proceso de gestin de riesgo se
efecte correctamente?

Qu es Enterprise Risk Management?

"La administracin de riesgos corporativos es un proceso
efectuado por el directorio, administracin y las personas
de la organizacin, es aplicado desde la definicin
estratgica hasta las actividades del da a da, diseado
para identificar eventos potenciales que pueden afectar a
la organizacin y administrar los riesgos dentro de su
apetito, a objeto de proveer una seguridad razonable
respecto del logro de los objetivos de la organizacin".
Enterprise risk management Integrated Framework
COSO II
29 de septiembre de 2004

Qu es Enterprise Risk Management?

Proceso continuo es un medio para un fin, no un fin en si
mismo

Efectuado por el personal en todos sus niveles (No slo

polticas)

Aplicado en la definicin de la estrategia

Aplicado en toda la organizacin en cada nivel y unidad

Diseado para identificar eventos potenciales y gestionar

riesgos dentro del apetito al riesgo

Provee seguridad razonablelogro de los objetivos

estratgicos, operacionales, presentacin de reporte y
cumplimiento.

Beneficios de ERM
Alinear el apetito al riesgo con la estrategia.

Relacionar crecimiento, riesgo y retorno.

Mejorar las decisiones de respuesta al riesgo.

Reducir sorpresas y prdidas operacionales.

Identificar y gestionar la diversidad de riesgos por

compaa y grupo agregado.

Aprovechar las oportunidades.

Mejorar la asignacin de capital.

Componentes claves de ERM

Entorno Interno

Definicin y
comprensin de
objetivos
Identificacin de
eventos

Actividades
Primarias de la
Gestin de Riesgos

Valoracin del riesgo

Direccin
y Soporte

Respuesta al riesgo

Actividades de control

Informacin y
comunicacin

Monitoreo

Componentes claves de ERM

Definicin y
comprensin de
objetivos

Estratgico
Operacionales
Reporte
Cumplimiento

Fuente Externa
Econmicos
Negocio
Tecnolgicos
Polticos
Sociales

Identificacin de
eventos

Actividades
Primarias de la
Gestin de
Riesgos

Entorno Interno

Fuente Interna
Proceso
Personas
Sistemas
Infraestructura

Tcnicas cualitativas
Tcnicas cuantitativas

Valoracin del riesgo

Actividades de control

Direccin
y Soporte

Informacin y
comunicacin
Identificacin y
capturacin de datos
Datos internos y externos
Datos histricos
Esquemas de reporte

Evitar
Reducir
Compartir
Aceptar

Respuesta al riesgo

Filosofa Administracin
de riesgo
Apetito al riesgo
Supervisin de Directorio
Integridad, valores ticos
y competencia del
personal
Autoridad, roles y
responsabilidades y
estructura.

Polticas y procedimientos
Preventivos
Detectivios
Correctivos
Manuales
Automticos

Monitoreo

Actividades continuas
(KRI).
Actividades espordicas

Componentes claves de ERM

Estrategia
Estrategia

Direccin

Poltica

Qu har la organizacin
acerca de sus riesgos
(polticas) y la
responsabilidad de
gestin de los mismos.

Identificar

Actividades
Primarias de la
Gestin de
Riesgos

Reportar

Procesos

Proceso de Analizar
Administracin
de Riesgos

Monitorear

Cmo la organizacin
gestionar riesgos,
procedimientos, prcticas
y herramientas

Responder

Arquitectura
Estructura
Organizacional
Medicin del
desempeo

Mecanismos
de recursos
humanos
Educacin en
Gestin

Comunicaciones

Aseguramiento

Qu personas, comits,
foros y tcnicas son
necesarias para apoyar,
promover y conducir la
gestin del riesgo a
travs de la organizacin

Cultura
Cultura

Soporte

Cmo la cultura de las

organizaciones apoya una
conducta apropiada de toma
de riesgos

10

ERM y otras prcticas de gestin

ERM Relacin con Governance, Risk and Compliance

Definicin de objetivos y estrategia, polticas,

apetito al riesgo y responsabilidades.
Monitoreo del desempeo

Identificacin y evaluacin de riesgos que

pueden afectar la capacidad de lograr los
objetivos y determinar las estrategias de
respuesta al riesgo y actividades de control

Operacin de acuerdo con los objetivos y

asegurando adherencia con las leyes y
regulaciones, polticas internas, procedimientos y
los compromisos de los stakeholders

ERM y otras prcticas de gestin

COSO II ERM, Basilea II y Solvencia II

Estipular cargos de capital que motiven a los

bancos hacia el desarrollo de modelos
cualitativos y cuantitativos de administracin
del riesgo
Crear un marco de supervisin que motive el
desarrollo de mejores prcticas
Requerir a los bancos la apertura de
informacin en detalle de su estructura de
capital y exposiciones de riesgo

11

ERM y otras prcticas de gestin

COSO II ERM y Sarbanes - Oxley
La Ley Sarbanes Oxley estableci un nuevo paradigma de
responsabilidad de las empresas. Defini claramente las
responsabilidades del Comit de Auditora, del Director
General (CEO) y del Director Financiero (CFO) en niveles
superiores a los del pasado. Cre un nuevo estndar para
las compaas en relacin con la presentacin de
informacin, de la eficacia de los controles internos y elimin
los obstculos para el diseo, documentacin y operacin de
controles internos.

Los buenos controles internos han dejado de ser nicamente una mejor
prctica..... Son Ley!

Roles y responsabilidades
y Todas las personas en una entidad tienen alguna responsabilidad en la
administracin del riesgo.
y El CEO es responsable en general y debe asumir su funcin.
y El resto de los gerentes o altos ejecutivos deben soportar la filosofa de
riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el
efectivo funcionamiento de los componentes de la administracin del riesgo
dentro de su esfera de responsabilidad consistentemente con la cultura de
riesgos
y El personal es responsable por ejecutar sus actividades de acuerdo con las
directivas y protocolos previstos de riesgo.
y La Junta Directiva provee un significativo seguimiento de la administracin del
riesgo.
y Externos proveen informacin para la administracin del riesgo.
y Las partes externas no son responsables por la efectividad de la
administracin del riesgo.

12

Roles y responsabilidades

Otras partes
involucradas

Responsables

Comit Ejecutivo
Comits Delegados
Gerentes
Auditores Internos
Personal

Auditores Externos
Reguladores
Asociados con la valoracin del
riesgo y el control interno

Outsourcing

Roles y responsabilidades
Junta Directiva

Comit de
Auditora

Aprueba y aloca recursos

Riesgos
Definiciones - Polticas - Reportes - Cuantificacin

Responsable

Unidades de Negocio
Auto-evaluaciones
Implementa cambios
Reporta internamente
y a riesgos

Coordinacin y
Monitoreo

Riesgo Operacional
Areas soporte
Monitoreo de auto-evaluaciones
Anlisis de indicadores
Control planes
Reportes

Aseguramiento

Auditora Interna
Evala el proceso
Revisa las
auto-evaluaciones
Pruebas de controles

13

Roles y responsabilidades

Junta
Directiva

y Conoce claramente el proceso de administracin del

riesgo implementado y hasta qu punto el mismo es
efectivo
y Identifica que el proceso est en lnea con el apetito al
riesgo
y Compara el portafolio de riesgos con el apetito al
mismo
y Es informado de los principales riesgos y sus
respuestas y aprueba las mismas
y Delega funciones (las responsabilidades no se
delegan) en diversos Comits (ALCO, Crditos,
Riesgos, Auditora, Compensaciones, Riesgo
Operacional, etc.)

Roles y responsabilidades

Administracin

y Responsable por todas las actividades de la

organizacin
y En el caso del CEO, su mayor responsabilidad es
establecer el ambiente interno
y Tambin provee liderazgo y direccin a los gerentes y
as se crean los valores de la organizacin
y Definen los objetivos estratgicos y la estrategia
y Desarrollan el apetito al riesgo y su tolerancia
y Definen la estructura organizacional
y Analizan las respuestas al riesgo
y Monitorean a travs del CRO la eficacia del proceso
de administracin del riesgo

14

Roles y responsabilidades

Risk
Officer

y Trabaja con los otros gerentes para establecer un

proceso de administracin del riesgo
y La autoridad y reporte es al CEO, puede integrar
subsidiarias
y Algunas empresas le asignan la funcin al CFO,
Director de Auditora o Director de Cumplimiento.
y Desarrolla las polticas
y Define roles y responsabilidades
y Asignacin de resultados y capitales
y Asiste a toda la entidad y provee modelos de gestin
de riesgo y cuantificacin
y Gua la integracin de los riesgos
y Establece un lenguaje comn
y Monitorea el grado de riesgo asumido por los diversos
negocios
y Reporta
y Sugiere acciones correctivas

Roles y responsabilidades

CFO

Sus actividades cruzan todas las reas de la

organizacin
Desarrollan presupuestos y planes y monitorean su
desempeo (operaciones, reporte y monitoreo)
Responsable por los estados financieros y sus
procesos de control y reporte al exterior
Su jerarqua no puede ser minimizada por los sectores
de negocios (deber interpretar las reglas del juego y
estrategias y decidir sobre la metodologa de
contabilizacin y reporte)

15

Roles y responsabilidades

Auditora Interna

Evalan la efectividad y sugieren mejoras sobre el

proceso de administracin del riesgo
Los estndares establecidos por el Institute of Internal
Auditors especifican que el alcance de sus tareas
incluye la evaluacin del proceso de administracin
del riesgo y del control interno
Estas tareas incluyen, la evaluacin del repote, la
revisin de la efectividad y eficiencia de las
operaciones, salvaguarda de activos y cumplimiento
de normativas
No es su responsabilidad primaria establecer y
mantener el proceso de administracin del riesgo
(CEO)
Debe asistir a la gerencia y al Comit de Auditora a
monitorear, examinar y evaluar el proceso
Sin embargo debe mantener su objetividad

Roles y responsabilidades
Auditora
Interna

16

Roles y responsabilidades

Personal

Auditores
Externos

La administracin del riesgo es parte de

responsabilidades de todos los empleados
Esto debe ser comunicado muy efectivamente.

las

Deben proveer a la gerencia y al Comit Ejecutivo una

visin nica, independiente y objetiva que contribuya
al logro de los objetivos de reporte financiero externo
El Auditor puede firmar un balance limpio y la
administracin del riesgo y el control interno no ser
adecuados
Sus funciones se refieren a los estados financieros.
Para emitir dicha opinin deber hacer los ajustes
necesarios e invertir ms tiempo en sus revisiones
Su valor se observa en los hallazgos de auditora y
recomendaciones

Roles y responsabilidades

Reguladores

Requisitos de control interno y respuesta al riesgo

Revisiones in-situ y extra-situ

Otras partes

Clientes
Vendors
Outsourcers
Analistas financieros
Agencias de Rating
Medios de comunicacin

17

Conclusin
Riesgo es la posibilidad de que un
evento futuro incierto ocurra y
afecte el logro de los objetivos
estratgicos,
operativos
y/o
financieros de la organizacin

ERM, es un proceso formal

diseado para identificar, evaluar,
responder,
comunicar
y
monitorear los riesgos a lo largo
de toda la organizacin.
PROCESO DE
GESTION DE RIESGOS

Reducir las
Amenazas

identificar

reportar

Valor para
stakeholders

Manejar
la
Incertidumbre
analizar

Explotar
la
Oportunidad

monitorear

responder

Conclusin - ERM
Tradicional
(Gestin por silos)
Legal
Seguridad
IT

EHS
Auditora
Interna

Seguridad
Fsica
Seguros

BCP

Riesgo

Coordinacin entre las funciones de

riesgo para aumentar la cobertura de
riesgos y disminuir los costos.
Permitir un rpido entendimiento de los
riesgos de las iniciativas de negocios.
Alineamiento con las estrategias de
negocios, objetivos y proceso de toma
de decisiones
Procesos organizacionales
consistentes
Herramientas de gestin de riesgo de
alto nivel.
Enfoque en los riesgos que tienen
mayor probabilidad de impactar en el
valor de los accionistas.

Riesgo
Riesgo

Riesgo

ERM
(Portfolio de riesgo)

Transformacin

Ingresos

Riesgo

Riesgo Riesgo

Seguridad
Costos

Global
RM

Seguridad
IT

Auditora
Interna

ERM

EHS
Legal

Legal

BCP

Seguridad
Fisica

Estrategia de Riesgo
Y Marco
Riesgo 1

Proceso RM

Riesgo 2

Evaluar riesgo

Herramientas
de Gestin
de Riesgo

Tratar riesgo

Fuentes de
Conocimiento

Monitorear y
Reportar

RiskWeb

Riesgo 3
Riesgo 4
Riesgo 5
Riesgo 6

Proceso de Gestin de Riesgo

Medicin y reporte

18

Rafael Ruano Diez

rafael.ruano@cl.pwc.com

19