Está en la página 1de 51

Expectativas

 ¿Qué es COSO-ERM?
 ¿Cómo inició el concepto Administración de
Riesgos?
 ¿ Cómo pueden medir los auditores el impacto de
los riesgos?
 ¿Cómo podemos ayudar a los gerentes a entender
qué son riesgos y controles?
¿Qué es COSO?
• Committee of Sponsoring Organizations of the
Treadway Commission (COSO). Creado en 1985.

• Es una organización del sector privado, dedicada a


mejorar la calidad de los reportes financieros mediante
la ética de negocio, controles internos eficaces y
gobierno corporativo.

•Treadway Commission on Fraudulent Financial


Reporting 1987

•Marco Integrado de Control Interno publicado en 1992


¿Por qué es Importante COSO?

 COSO proporciona un marco integral del control


interno y herramientas de evaluación para
sistemas de control

 Proporciona una terminolología utilizada


comunmente y principios usados como guía para
desarrollar una arquitectura efectiva para la
administración de riesgos

 Proporciona una visión integral del sistema de


control institucional
¿Cómo se Inició ERM?

 ERM comenzó en las empresas de servicios financieros,


seguros, servicios públicos, petróleo, gas, e
industrias manufactureras químicas

 ¿Por qué ahí?


En estas industrias los riesgos están bien documentados y
medidos; comúnmente se utilizan sofisticados modelos
estadísticos; existe entendimiento y supervisión sobre
la sensibilidad del mercado y riesgos
¿Cómo se Inició ERM?
• Los Auditores Internos utilizan ERM porque
La metodología tradicional de muestreo usualmente no es suficiente
para obtener los resultados deseados
La metodología tradicional es a menudo ineficaz y costosa
El enfoque cambió de auditoría basada en control
Se enfoca en el riesgo para determinar qué es importante y
seleccionar la muestra de control
La auditoría “basada en riesgo” es ahora la norma del IIA
• Control Interno – Marco Integral
Efectividad y eficacia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con las leyes y reglamentos aplicables
• El nuevo marco COSO descansa en los primeros conceptos
de control interno y refleja lo valioso de ERM
Conceptos Clave sobre ERM

 Todas las entidades existen para darle valor


a sus accionistas

 Todas las entidades enfrentan la


incertidumbre, por lo tanto, ¿cuánta es
aceptable?

 La incertidumbre puede ser un riesgo o una


oportunidad

 ERM no se refiere a controles, se refiere a


desempeño
Valor
 El valor es creado, preservado o erosionado por las decisiones
de la Dirección.

 Diariamente la Dirección toma decisiones sobre estrategias y


operaciones.

 Las organizaciones agregan valor cuando se derivan beneficios


que satisface a:
- Accionistas
- Clientes o usuarios
- Gobierno

 Aplicación de recursos (gente, capital, tecnología, nombre


comercial) a modo que los beneficios sean mayores que los
recursos utilizados.
Valor

Ampliar y preservar la calidad, capacidad,


satisfacción del cliente.

 Equilibrio entre crecimiento, riesgo y


retorno basados en objetivos y estrategias

 Más que el valor financiero o económico.


Incertidumbre

 Globalización, tecnología, reglamentos,


reestructuración, fusiones, adquisiciones,
mercados cambiantes, competencia.

 No se puede determinar con precisión la


probabilidad de que ocurrirán eventos
potenciales y sus resultados.
¿Qué es Riesgo?
Riesgo - Oportunidad

 Riesgo es la posibilidad de ocurrencia de un evento


que pudiera afectar adversamente el logro de
objetivos.

 Ninguna entidad opera en un ambiente libre de


riesgos.

 Existe también el riesgo de que no se aproveche la


ventaja de una oportunidad.
Riesgo-Reglamentación
 Comercio doméstico e Internacional
 Financieras, tanto públicas como privadas
(incluyendo leyes sobre valores)
 Relaciones laborales, incluyendo contrataciones,
compensaciones y beneficios, sindicatos,
condiciones de trabajo, igualdad de
oportunidades y liquidación
 Medio ambiente (agua, aire y materiales
peligrosos)
 Impuestos (sobre: utilidades, propiedades,
activos, ventas, valor agregado, etc.)
 Bancarrotas
Riesgo-Cultura

Profundamente arraigada e influye en la


dinámica organizacional
 Ética de trabajo
 Perspectiva de relaciones jerárquicas
 Educación
 Perspectiva sobre ética incluyendo:
• Nepotismo
• Cohechos o mordidas
• Fraude
Definición de ERM

La Administración de Riesgo Empresarial es un


proceso, realizado por el consejo directivo de una
entidad, la administración y otro personal, aplicado
en el establecimiento de estrategias para toda la
empresa, diseñada para identificar eventos
potenciales que puedan afectar a la entidad, y
administrar los riesgos para mantenerse dentro de
su propensión al riesgo y proporcionar una
seguridad razonable referente al logro de objetivos.
Definiciones
Administración de
Control Interno Riesgos Empresariales

Control Interno es un proceso, ejecutado


La administración de riesgos
por el consejo directivo, la administración y
empresariales es un proceso, ejecutado
otro personal de una entidad, designado
por el consejo directivo, la
para proporcionar seguridad razonable
administración y otro personal de una
referente al logro de objetivos en las
entidad, aplicado en el
siguientes categorías:
establecimiento de estrategias en toda la
empresa, designado para identificar
• Efectividad y eficacia de las operaciones eventos potenciales que pudieran
• Confiabilidad en los reportes financieros afectar a la entidad, y administrar los
• Cumplimiento con las leyes y reglamentos riesgos para mantenerlos dentro de su
propensión al riesgo, proporcionar
aplicables seguridad razonable referente al logro
de objetivos .
Qué no es ERM

 Una herramienta para la toma de decisiones

 Una técnica de clasificación para dar


seguimiento a controles internos

 El único seguro al respecto

 El trabajo de unos cuantos


¿Qué ha Cambiado?

MARCO COSO MARCO COSO ERM


¿Qué ha Cambiado?

MARCO COSO MARCO COSO ERM

o
nt
ie

es
c
im
to

s
es

nc es

gi

on
pl

te
os

en
on

na rt

or
ci
ier

m
mi
Fi epo
ci

tra
Cu

ep
ra
ra

li

pe
mp

Es

R
pe

O
O

Cu

Ambiente Interno
Supervisión

Unidad de Negocio
Subsidiaria
Establecer Objetivos
Actividad 1

Información y
Proceso 1
Unidad B
Unidad A

Comunicación Identificación de Eventos

División
Nivel-Entidad
Evaluación del Riesgo
Actividades
de Control Respuesta al Riesgo

Evaluación Actividades de Control


del Riesgo
Información y Comunicación
Ambiente Supervisión
de Control
Ambiente Interno

AMBIENTE INTERNO
Filosofía Propensión Cultura Consejo Integridad y Compentencia
Admon.Riesgo al Riesgo Riesgo Admón. Valores Éticos Personal
•Valor •Independen- •Indepen- •Código Cond. •Conocimientos
•Valor
•Cuantitativo cia dencia. •Prerequisitos •Habilidades
•Comun.
•Cualitativo •Activa •Activa •Ejemplo Dir. •Trade Off
Palabra/Acc
•Vinculado a •Involucrada •Involucrada •Incentivos
estrategia
Filosofía . Admva. Estructura Asig. Autoridad Pol. y Proc Diferencia
Y Operacional Orgánica y Responsab. de R.H. en Ambiente
•Formal Vs Informal •Lineas Resporte •Facultamiento •Evaluación •Preferencias
•Conserv. Vs. Agres. •Centraliz./ Desc. •Rendición de •Entrenamiento •Juicios de Valor
•Alineada •Matriz/Funcional/ cuentas •Compensación •Estilos de
Geográfica •Incentivos y administración
disciplina
Ambiente Interno

 Fundamento para todos los demás componentes de ERM


 Influye en estrategia y objetivos.
 Influye en diseño de actividades de control, sistemas de
información y comunicación, y supervisión de actividades.
 Incluye valores éticos, competencia del personal, estilo de
operación, asignación de autoridad y responsabilidad, y
estructura organizacional.
 La Dirección se reconoce responsable de los riesgos y de
ella emana la filosofía y estilo gerencial e integra y
promueve el ERM
Ambiente Interno

 Evidencia de la cultura organizacional:


• Acuerdos con sus empleados
• Trato a clientes y a otros externos
• La incidencia de violaciones a leyes y reglamentos
• El tono desde lo alto
• Prudencia financiera
• La calidad de los productos y servicios ofrecidos
• Sus respuestas a las crisis
• Su imagen pública
Ambiente Interno

Las culturas organizacionales cambian en el transcurso


del tiempo
 Jóvenes en su entusiasmo vs compañías más
maduras

 Conforme maduran las empresas, sus estructuras de


control interno deben madurar también

 Las empresas con dificultades financieras, a menudo


minimizan costos en formas tales que reducen los
controles internos
Establecimiento de Objetivos

ESTABLECIMIENTO DE OBJETIVOS
Objetivos Objetivos Objetivos Propensión Tolerancia
Estratégicos Relacionados Seleccionados al Riesgo al Riesgo
•Metas •Operación •Alineación y •Crecimiento, •Variaciones
estratégicas •Información apoyo riesgo y entorno aceptables
•Misión/Visión •Cumplimiento •Decisiones •Asig. Recursos •Métrica de
•Elección de •Salvaguarda de la Admón. •Gente, Medición de
estrategia procesos e Objetivos.
Infraestructura
Establecimiento de Objetivos
 Deben existir objetivos antes de que la administración
pueda identificar eventos que potencialmente afecten
su logro.
 Alinear misión/visión con objetivos
 Tipos: Estratégicos: relacionados con metas de alto
nivel

 Reportes: confiabilidad en los mecanismos de reportes

 Cumplimiento: con leyes y reglamentos aplicables


Establecimiento de Objetivos
Aquellos involucrados en el pensamiento estratégico deberían
tener esta información:
- Tendencias económicas generales y en la industria específica
- Desarrollo de nuevos productos y procesos
- Tendencias tecnológicas
- Desarrollos en habilidades clave
- Marcos competitivos de desempeño
- Planes y metas estratégicas internas
- Resultados históricos de desempeño
- Oportunidades para incrementar el potencial de productos o mercados
- Disponibilidad de recursos
- Asuntos regulatorios
- Asuntos ambientales
- Efectos en empleados
Identificación de Eventos

IDENTIFICACIÓN DE EVENTOS
Factores Influy. Metodología Eventos Inter- Categorías Riegos y
Eventos Estrat. y Objs. y técnicas dependientes de Eventos Oportunidades
•Incidental •Internos •Durante •Eventos •Grupos •Imp. Neg: Riesgo
•Impacto •Externos •Periódico precursores de riesgo •Imp. Pos: Oport.
positivo y/o •Pasado y (reacciones en por •Disminución del
negativo Futuro cadena) proceso riesgo
•Interrelacionados y/o
función
Evaluación de Riesgos

EVALUACIÓN DE RIESGOS
Riesgo Inherente Probabilidad e Metodologías y
y Residual Impacto Técnicas Correlación

•Accs. Admvas. Previas •Esperadas •Cualitativas •Secuencia de


•Accs. Admvas. Post. •Horizonte de tiempo •Cuantitativas eventos
•Esperadas e Inesperadas •Métrica de medición •Categorías
•Datos observables •Escenarios
Evaluación de Riesgos

- Condiciones que pueden crear un riesgo adicional


- Diseño u operación inadecuada del control interno
- Metas y planeación fuera de la realidad
- Actividades no autorizadas
- Entendimiento insuficiente de nuevas inversiones,
productos, iniciativas y actividades de negocio
similares
- Acciones correctivas pobremente planeadas o
implementadas
Evaluación de Riesgos
- ¿Se asegura el Consejo o el Comité de Auditoría de que se reportan
los hallazgos relativos a los riesgos?

- ¿El Director Ejecutivo, el Director Financiero y el Director de AI


conocen de la efectividad de los controles internos?

- ¿El Director de Auditoría actúa con independencia y proporciona


reportes útiles y competentes?

- ¿Se reúne periódicamente el Comité de Auditoría con la gerencia


de primer nivel, el Director de Auditoría y los auditores externos?

- ¿Tiene el Consejo por lo menos un experto financiero?


Evaluación de Riesgos
- Considerar los riesgos a largo plazo.
- Riesgo inherente: riesgo para la entidad en ausencia de cualquier
acción realizada por la administración para alterar la
probabilidad o el impacto.
- Riesgo residual: riesgo remanente después de la acción realizada
por la administración para alterar su probabilidad o impacto.

Riesgo
Inherente

Respuesta al Riesgo
(control interno)

Riesgo
Residual
Evaluación de Riesgos
1. Tormenta de ideas sobre riesgos y oportunidades
2. Identificar de raíz las causas y las correlaciones
3. La mejor forma es tener sesiones de facilitación
4. Calcular el impacto del riesgo usando la misma medida de los
objetivos
5. Calcular los escenarios mínimo, máximo y probable
6. Preparar un programa de riesgo
7. Priorizar riesgos y oportunidades basados en su valor
ponderado
8. Identificar los riesgos clave que requieren atención estratégica

Tormenta de
Peso/Cálculo Priorizar
Ideas
Respuesta al Riesgo

RESPUESTA AL RIESGO
Identificación de Evaluación Posibles Elección de
Respuesta Visión Integral
Respuestas Respuestas
•Evadir •Impacto •Toma de •Nivel entidad
•Compartir •Probabilidad decisiones •Nivel Unidad de negocio
•Reducir •Costo Vs. Beneficio •Base Inherente y residual
•Aceptar •Respuestas Innovativas
Respuesta al Riesgo
- Opciones y su efecto en la probabilidad e impacto de un evento.

- Relación con: tolerancia al riesgo, costo vs. beneficio.

- Selección e implantación.

- Seleccionar respuestas que traerán la probabilidad e impacto de


un evento denro de la tolerancia al riesgo de la entidad.

- Cuatro Tipos de Respuesta al Riesgo


- Evasión - Reducción
- Compartir - Aceptación

- Redimensionar el riesgo sobre una base residual.

- Siempre existirán niveles de riesgo residual.


Actividades de Control

ACTIVIDADES DE CONTROL
Integradas a las Tipos de Controles de
Respuestas Control Controles Generales Aplicación Específicos
•Estrategias y
•Implícitas en los •Políticas •Admon. TI •Integridad objetivos
procesos del •Procedimientos •Infraestructura TI •Exactitud específicos
negocio •Preventivos •Admon. Seguridad •Autorización •Ambiente
•Detectivos •Desarrollo y •Validación Operacional
•Manuales Mantenimiento de
•Complejidad
•Automatizados software
de la entidad
Actividades de Control

 Las actividades de control también incluyen sistemas,


procesos, iniciativas, técnicas, programas, proyectos y
otras formas de lograr los objetivos

 Los controles internos que son efectivos bajo un conjunto


de circunstancias, pueden no ser efectivos cuando
cambian las condiciones
Información y Comunicación

INFORMACIÓN Y COMUNICACIÓN
Sistemas Estratégicos
Información Comunicación
e Integrados
•Interna
•Externa •Estratégica •Interna
•Manual •Operacional •Externa
•Computarizada •Pasada y presente •Nivel entidad
•Formal •Nivel detalle •Expectativas y responsabilidades
•Informal •Periodicidad •Formatos
•Arquitectura Sist. Inf. •Calidad •Medios de transmisión
Información y Comunicación
 De fuentes internas y externas
 Identifica, captura, analiza y comunica a quienes lo
necesitan
 Forma y tiempo
 Útil para llevar a cabo responsabilidades
 Fluye hacia abajo, hacia arriba y a lo largo de la
organización
 Intercambio con partes externas: clientes, proveedores,
legisladores, accionistas
 Útil para identificar, evaluar y responder a riesgos, mover
la entidad y lograr los objetivos
Información y Comunicación

 Información relevante

 Uso de datos históricos y actuales. Identifica correlaciones, tendencias,


utiliza el conocimiento para ayudar a pronosticar el desempeño futuro.
Prevención temprana.

 Estado actual para evaluar si se está dentro de las tolerancias


establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.

 Esencial al Consejo para realizar sus responsabilidades de vigilancia


sobre los riesgos y su administración.

 Riesgo de reportes sesgados

 Canales de comunicación Tradicionales vs No-tradicionales.


Supervisión

SEGUIMIENTO Y EVALUACIÓN

Durante las Operaciones Evaluaciones Reporte Deficiencias


Independientes
•Alcance •Durante las Operaciones
•Tiempo real •Frecuencia •Entidades externas
•Implícito •Autoevaluación (facilitación •Protocolos
•Operaciones día a día Auditores Internos) •Canales alternos
•Ampliamente documentada
Supervisión

 Verificar que los componentes están presentes y funcionando, y su


calidad en el curso del tiempo

 Dos caminos: Evaluaciones sobre la marcha o independientes.

 La documentación varía con el tamaño y complejidad de la


organización

 La falta de documentación no significa que los componentes no


existan o no puedan ser probados. La documentación hace que la
supervisión sea más efectiva. También es importante respaldar las
aseveraciones sobre la calidad de ERM.
Supervisión
 Reportar las deficiencias a quienes pueden tomar la
acción apropiada.

 La deficiencia se puede percibir, sea potencial o real.


También la oportunidad para fortalecer el proceso, para
aumentar la probabilidad del logro de objetivos.

 Mecanismo para reportar actos delicados, ilegales o


impropios

 Resultados de la información y de la evaluación

 Quién, qué, cuándo, dónde, cómo, por qué


Eficacia del ERM

 Un estado o condición en un momento dado

 Eficacia: todos los ocho componentes están presentes y funcionando

 Puede haber diferentes niveles de eficacia entre entidades, industrias


y combinaciones de componentes, debido también a diferentes culturas,
tamaños, filosofías administrativas.

 Conceptos aplicables a todas las entidades sin importar su tamaño y


niveles de formalidad.

 Deben considerarse las relaciones externas (inversión conjunta,


asociaciones) que no están bajo un control directo.
Limitaciones de ERM
 ERM no garantiza que la entidad será exitosa y logrará todos sus
Objetivos

 Limitaciones:
- Cambios en políticas o programas del Gobierno
- Competencia
- Condiciones económicas
- Malas decisiones
- Errores y equivocaciones
- Gerentes incompententes
- Omisión o debilitamiento de control interno, colusión, ignorar el
ERM

 ERM no refleja una adecuada relación costo-beneficio .


Papeles y Responsabilidades

- Consejo de Administración: Dirección, Estrategia, Tono en la


Cumbre, propensión/aversión al riesgo, Respuestas de ERM

- Administración: Responsables de ERM, tono en la cumbre,


liderazgo, delegación apropiada de responsabilidades, influencia a
lo largo de unidades organizacionales

- Director Ejecutivo de Riesgos (CRO): mantener la administración


efectiva del riesgo, supervisar avances, reportar información
relevante al Consejo de Administración y a la Gerencia.
Papeles y Responsabilidades

-Auditores Internos: Apoyar la evaluación y supervisión del ERM y


la calidad del desempeño. Asesorar a la Administración, al Consejo
y al Comité de Auditoría y haciendo recomendaciones que
agreguen valor a la gestión.

- Otro Personal: ERM es responsabilidad de cada uno. Todos los


empleados utilizan, producen o tienen información útil para el ERM.
Papeles y Responsabilidades
Proporcionan información útil para ERM, pero no son
responsables de ERM

Auditores Internos
Auditores Externos

 Auditores del Legislativo


Agencias reguladoras

 Clientes

 Analistas Financieros

Medios de comunicación
Consideraciones para el Éxito

1. Compromiso del Consejo de A. Directores Generales y


Directores Ejecutivos

2. Adoptar e implantar el sistema ERM desde la base


hacia arriba

3. Debe ser dirigido y respaldado desde arriba hacia abajo

4. Debe existir un lenguaje común

5. Proporcionar suficiente entrenamiento a fin de que


todos los empleados entiendan completamente cómo
participan en el ERM y como el control interno lo apoya
Mitos sobre ERM
• Es un “cúralo-todo” con el que se pueden tomar
decisiones basados en información 100% confiable y
basada en información sin margen de error.

• Sólo sirve para catalogar o tomar inventario de todos


los riesgos que afectan a una organización

• Con él, las auditorías serán infalibles

• ERM es sobre seguros

• Es un proceso independiente y aislado del resto de la


organización

• Cuesta demasiado implementarlo.


Beneficios de ERM

• Alinea la propensión al riesgo y la estrategia.


• Relaciona crecimiento, riesgo y retorno de la inversión
• Amplía las decisiones de respuesta al riesgo.
• Minimiza sorpresas y pérdidas operacionales.
• Identifica y administra riesgos a lo largo de toda la
organización.
• Proporciona respuestas integradas a los múltiples riesgos.
• Toma ventaja de las oportunidades.
• Mejora la asignación de capital.
Beneficios de ERM

 Se relaciona con la gobernabilidad corporativa


-Proporciona información al Consejo Directivo s/riesgos
-Se conecta con el desempeño de la Administración

 Ayuda a organizaciones a lograr objetivos y evitar pérdidas

 Ayuda a asegurar reportes efectivos

 Ayuda a asegurar el cumplimiento con leyes y reglamentos

 Ayuda a evitar daños en la reputación