Aplicación practica de la implantación de la Gestión

Integral de Riesgos (ERM) - COSO II- en una empresa y el

rol de Auditoría Interna.

XIII Jornadas de Auditoría Interna Ahciet

Ecuador 10 y 11 de Octubre 2006

Juan Ignacio Ruiz Zorrilla – CIA.

Secretario General IAI – España.

1
Índice:
 Gestión de Riesgos Corporativos (ERM). Concepto y necesidad
 Evolución e impacto de los modelos ERM – COSO II
 El Cubo de COSO II – ERM
 COSO I vs COSO II
 Responsabilidad del modelo ERM
 Beneficios COSO II – ERM
 Fases de elaboración de un Mapa de Riesgos
 Mapa de Riesgos
 Objetivos – Riesgo – Controles
 Auditoría Interna en el Control y la Gestión de Riesgos
 Rol de Auditoría Interna en la Gestión de Riesgos, posición the IIA

2
 Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (I)

“La Gestión de Riesgos Corporativos es un proceso efectuado por el

Consejo de Administración de una entidad, su Dirección y restante
personal, aplicable a la definición de estrategias en toda la empresa y
diseñado para identificar eventos potenciales que puedan afectar a la
organización, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos. “

* COSO (Committee of Sponsoring Organization of the Treadway Commission)

3
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (II)

La Gestión de Riesgos Corporativos (ERM) dentro una empresa o

Grupo de empresas permite:

 Identificar aquellos acontecimientos que puedan impactar en

la organización impidiéndole alcanzar sus objetivos.
 Realizar una valoración de los riesgos de la compañía y
gestionar su tratamiento en función del riesgo aceptado en la
misma.
 Integrar la gestión de riesgos en los procesos de planificación
estratégica de la compañía, en el control interno y en la
operativa diaria de la misma.
 Disponer del portafolio de riesgos a nivel global de la
compañía y para cada una de sus divisiones y/o funciones.

4
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (III)

¿Por qué surge la necesidad de disponer de una Gestión de estas características?

 Existe una gran diversidad de riesgos presentes y potenciales en la actividad de

los negocios, todo ello debido a la creciente complejidad del entorno
empresarial y los variados intereses involucrados en la empresa.

Entorno de la Empresa
Obligaciones / Compromisos Estrategia Legal y Regulatorio
Incertidumbre asociada a Fusiones y Mercado
Pasivos contratados Compliance
adquisiciones Cambios en variables macroeconómicas
Reclamaciones Optimización fiscal
Estrategia y Planes de negocio Cambios en volúmenes
Responsabilidad de producto
Valor para el accionista y Stakeholders Actividades de los competidores
Pasivos éticos
Obligaciones legales Reputación
Producto Marketing Cambios de marca / impacto en el mercado

Branding ENTIDAD Seguridad alimentaria

Cartera
Atractividad Clientes
Innovación Investigación
Fidelidad del cliente

Finanzas Recursos humanos

Gestión de ingresos Cambios en el equipo gestor
Cash flow Producción Recursos y perfiles
Sistemas de Información
Acceso a fondos/tipos de interés Logísitica Integridad y fiabilidad del personal
Confidencialidad
Procurement y pagos Trazabilidad Motivación
Integridad Corporate Governance
Cambio de divisas Planificación y programación Salud, seguridad e higiene
Disponibilidad Proyectos e Inversiones
Fiabilidad de la contabilidad Configuración Relaciones con los sindicatos
Value for money Plannig and budgeting
Control de crédito Inventarios y repuestos
Seguridad Estructura organizativa
E-Business Ciclo de vida
Comunicación
Reporting
5
Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (IV)

¿Por qué surge la necesidad de disponer de una Gestión de estas características?

 Existencia de nuevos marcos regulatorios como consecuencia de dichos escándalos

financieros. Todos ellos pivotan alrededor de un Modelo de Riesgos incorporado en
los procesos de gestión y dirección de la empresa.

The Sarbanes-Oxley
Act of 2002

Ley de Transparencia
26/2003

Orden Ministerial
3722/2003

6
Evolución e impacto de los Modelos ERM (I)
VISIÓN TRADICIONAL
 Función soporte.
 Concepto exclusivo de riesgo
como peligro.
 Comunicación del riesgo sólo a
través de una pérdida o una
noticia negativa para la
Compañía.
 Coste del riesgo no entendido
o capturado para su
consideración financiera.
VISIÓN ACTUAL
 Función dedicada a la gestión
activa y por anticipado de los
riesgos de negocio.
 Proceso proactivo que integra la
gestión de riesgos en la
estrategia de la empresa.
 Presión de los “stakeholders”
para entender el rango de riesgos
que está afrontando la empresa.
 El conocimiento de los riesgos
subyacentes permite gestionar
más adecuadamente la
asignación del capital,
permitiendo incrementar el valor
para los “stakeholders”.
7
Evolución e impacto de los Modelos ERM (II)

Impacto de los modelos ERM

Nivel de compromiso

ERM es una de mis

prioridades

ERM es una prioridad En estos momentos

del Consejo
ERM es uno de los
proyectos
ERM es una prioridad
de la Compañía
prioritarios de la Alta
Dirección de las
Tengo la información que Compañías...
necesito para gestionar
riesgos a nivel empresa

Terminología y estándares
comunes para gestionar
los riesgos

Totalmente Algo Fuente: 7ª Encuesta Global de CEOs

de acuerdo en desacuerdo de PWC
Algo Totalmente
de acuerdo en desacuerdo
8
Evolución e impacto de los Modelos ERM (III)

Impacto de los modelos ERM

¿Para cuándo?

Ya dispongo de ERM
eficiente y eficaz

Dentro de 1 año ...más del 85%

piensan tener en
Dentro de 2 años funcionamiento un
Modelo de Gestión
de Riesgos antes de
Dentro de 3 años
tres años...

Más de 3 años

No espero
implantar ERM

No sabe /
No contesta Fuente: 7ª Encuesta Global de CEOs
de PWC

9
Evolución e impacto de los Modelos ERM (IV)

Impacto de los modelos ERM

Impactos

Reputación

Reducción de costes
...que les ayudará a
Objetivos
mejorar, de una
estratégicos
forma significativa
Menor coste su reputación,
capital
rentabilidad y
Inversión I+D confianza de la
dirección ejecutiva...
Actividades F&A
Muy positivo

Rentabilidad
Positivo

Confianza de la Negativo
Dirección
Muy Negativo
Fuente: 7ª Encuesta Global de CEOs
de PWC

10
El Cubo ERM: Objetivos, componentes y niveles de la organización (I)
En el marco de Gestión Integral de Riesgos desarrollado por COSO II, existe una
relación directa entre los OBJETIVOS (aquellos que la organización trata de
alcanzar), los COMPONENTES de gestión del riesgo de la compañía
(representan las herramientas necesarias para el logro de dichos objetivos), así
como con cada uno de los NIVELES de la organización. La relación se
representa con el siguiente cubo:

OBJETIVOS

NIVELES DE LA
COMPONENTES
ORGANIZACIÓN

11
El Cubo ERM: Objetivos, componentes y niveles de la organización (II)

El presente Modelo de Gestión de Riesgos Corporativos está orientado a

alcanzar los OBJETIVOS de la Compañía, que se pueden clasificar en
cuatro categorías:

 ESTRATÉGICOS: referidos a metas de alto nivel, alineadas y dando

soporte a la misión / visión de la organización.
 OPERATIVOS: referidos a la eficiencia y eficacia de las actividades
de la organización, incluyendo los objetivos de rentabilidad y
desempeño.
 INFORMACIÓN: referidos a la fiabilidad de la información
suministrada por la organización, que incluye datos internos y
externos, así como información financiera y no financiera.
 CUMPLIMIENTO: referidos al cumplimiento de las leyes y normas y
leyes aplicables.

12
El Cubo ERM: Objetivos, componentes y niveles de la organización (III)
El modelo de Gestión de Riesgos Corporativos consta de ocho COMPONENTES
relacionados entre sí, que se derivan de la manera en que la dirección conduce la
empresa y cómo están integrados en el proceso de gestión.

Ambiente Interno
Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos

Establecimiento de objetivos
Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo

Identificación de acontecimientos
Acontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías de
Acontecimientos – Riesgos y oportunidades

Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos

13
El Cubo ERM: Objetivos, componentes y niveles de la organización (IV)

Respuesta a los riesgos

Evaluación de posibles respuestas – Selección de respuestas -
Perspectiva de cartera

Actividades de control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – Controles
Específicos de la entidad

Información y comunicación
Información - Comunicación

Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias

14
El Cubo ERM: Objetivos, componentes y niveles de la organización (V)

La Gestión de Riesgos Corporativos considera actividades a todos los NIVELES

DE LA ORGANIZACIÓN:

- NIVEL CORPORATIVO
- LÍNEA DE NEGOCIO / PAÍS
- EMPRESA
- UNIDAD

15
 COSO II
COSO I vs. COSO II (I)
OBJETIVOS (4)
ESTRATÉGICOS
OPERATIVOS
INFORMACIÓN
COMPONENTES
OBJETIVOS (3/4)
(3/4) CUMPLIMIENT O
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIÓN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)

COMPONENTES (8)
AMBIENTE INTERNO
EST ABLECIMIENTO DE OBJETIVOS
IDENTIFICACIÓN DE EVENT OS

EVALUACIÓN DE LOS RIESGOS

RESPUEST A A LOS RIESGOS
ACT IVIDADES DE CONT ROL

COSO I INFORMACIÓN Y COMUNICACIÓN

SUPERVISIÓN

COMPONENTES (5)
ENTORNO DE CONTROL

EVALUACIÓN DE RIESGOS

ACT IVIDADES DE CONT ROL

COMPONENTES
INFORMACIÓN Y COMUNICACIÓN
SUPERVISIÓN
16
 Responsabilidades del Modelo ERM
Todas las personas que integran una Compañía tienen alguna
responsabilidad en la Gestión de Riesgos Corporativos.

 PRESIDENTE / CONSEJERO DELEGADO: responsable último.

 OTROS DIRECTIVOS: apoyan la filosofía de gestión de riesgos de la entidad,
gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con
la tolerancia al riesgo.
 DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO: desempeñan
responsabilidades claves de apoyo y supervisión del Modelo de Gestión de
Riesgos.
 PERSONAL RESTANTE: responsable de ejecutar la gestión de riesgos
corporativos de acuerdo con las directrices establecidas.
 CONSEJO DE ADMINISTRACIÓN / COMISIÓN DE AUDITORÍA Y CONTROL:
desarrolla una importante supervisión de la gestión de riesgos corporativos, es
consciente del riesgo aceptado por la Sociedad y está de acuerdo con él.
 TERCEROS (clientes, proveedores, auditores externos, reguladores y analistas
financieros): proporcionan a menudo información útil para el desarrollo del ERM,
aunque no son responsables de su eficacia en la entidad.

17
Beneficios del ERM

 Permite a la Dirección de la empresa poseer una visión global del riesgo

y accionar los planes para su correcta gestión.
 Posibilita la priorización de los objetivos, riesgos clave del negocio, y de
los controles implantados, lo que permite su adecuada gestión. Toma de
decisiones más segura, facilitando la asignación del capital.
 Alinea los objetivos del Grupo con los objetivos de las diferentes
unidades de negocio, así como los riesgos asumidos y los controles
puestos en acción.
 Permite dar soporte a las actividades de planificación estratégica y
control interno.
 Permite cumplir con los nuevos marcos regulatorios y demanda de
nuevas prácticas de Gobierno Corporativo.
 Fomenta que la gestión de riesgos pase a formar parte de la cultura del
Grupo.

18
Fases de elaboración del Mapa de Riesgos.-

Experiencia practica en TPI

ENTENDIMIENTO
ELABORACIÓN ENTREVISTAS VALIDACIÓN DE LA FIJACIÓN CON EL CEO
DE LA SITUACIÓN MAPA DE RIESGOS
PERFIL DE RIESGOS COMITÉ DIRECCIÓN INFORMACIÓN TOLERANCIA AL RIESGO

Se analiza la
En base a Se les envía
Estrategia, la El CEO marca
Se identifican entrevistas, los datos
normativa Con toda la para cada uno
los se identifican obtenidos en
vigente, información de los 4
principales Riesgos y se la entrevista
órganos de se elabora el objetivos de
Riesgos y los Valoran en para que
control, Mapa de COSO el Nivel
Controles base a su validen datos
procesos que Riesgos aceptado de
existentes Impacto y de Riesgos y
controlan Riesgo
Probabilidad. Controles.
Riesgos

19
Mapa de Riesgos.- sin identificar apetito al riesgo

Ejemplo no real de Riesgos:

E – Competencia
O – Flexibilidad al cambio
R- Comunicación interna
C – Regulación.

20
Mapas de Riesgos.- con indicación de apetito al riesgo.

21
 Objetivos – Riesgos – Controles

C
O
N
T
R
O
L • RENTABILIDAD

• CREACIÓN DE
VALOR PARA EL
RIESGOS PRINCIPALES DE LAS EMPRESAS ACCIONISTA
DE TELECOMUNICACIONES
• CUOTA DE
•Satisfacción del cliente •Liderazgo
MERCADO
•Recursos Humanos •Eficiencia
•Desarrollo de productos • MEJORA DE LA
•Fijación de precios
CALIDAD DEL
•Competencia •Regulación
SERVICIO
•Planificación Estratégica •Infraestructuras
•Imagen •Obsolescencia • PRODUCTIVIDAD
•Facturación/Perdida Ingresos

22
Auditoría Interna en la gestión y control de riesgos

 Definición de Auditoría Interna:

La auditoría interna es una actividad independiente y objetiva de aseguramiento y

consulta, concebida para agregar valor y mejorar las operaciones de una organización.
Ayuda a una organización a cumplir sus objetivos, aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y gobierno.

 Normas Internacionales para el ejercicio profesional de la Auditoría

Interna:

 2120 – Control.- La actividad de auditoría interna debe ayudar a la organización en el

mantenimiento de controles efectivos, mediante la evaluación de la eficacia y
eficiencia de los mismos y promoviendo su mejora continua.

 2110 – Gestión de Riesgos.- La actividad de auditoría interna debe ayudar a la

organización mediante la identificación y evaluación de las exposiciones
significativas a los riesgos, y la contribución a la mejora de los sistemas de
gestión de riesgos y control.

23
Auditoría Interna en la gestión y control de riesgos

 2110. A1 – La actividad de auditoría interna debe supervisar y evaluar la eficacia

del sistema de gestión de riesgos de la organización.

 2110. A2 – La actividad de auditoría interna debe evaluar las exposiciones al

riesgo referidas a gobierno, operaciones y sistemas de información de la
organización, con relación a lo siguiente:

 Fiabilidad e integridad de la información financiera y operativa;

 Eficacia y eficiencia de las operaciones;
 Protección de activos, y
 Cumplimiento de leyes, regulaciones y contratos.

 2110. C1 – Durante los trabajos de consultoría, los auditores internos deben

considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a
la existencia de otros riesgos significativos.

 2110.C2 – Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultoría en el proceso de identificación y
evaluación de las exposiciones a riesgos significativos en la organización.

24
El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial

 El Institute of Internal Auditors (IIA), ha publicado un documento sobre su posición

sobre el Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial. El
documento sugiere formas para que los auditores internos mantengan la objetividad
e independencia requerida por las Normas cuando provean servicios de
aseguramiento y consulta.

 El rol fundamental de la auditoría interna respecto al ERM es proveer aseguramiento

objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una
organización, para ayudar a asegurar que los riesgos claves de negocio están
siendo gestionados apropiadamente y que el sistema de control interno esta siendo
operado efectivamente.

 El Instituto enfatiza que las organizaciones deben entender completamente que la

gerencia mantiene la responsabilidad de la gestión de riesgo. Los auditores internos
deben proveer consejo, y motivar las decisiones gerenciales sobre riesgos, en vez
de realizar decisiones sobre gestión de riesgo.

25
Rol de Auditoría Interna en la Gestión de Riesgos, posición the IIA

26