Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEMINARIO
MODELO COSO-ERM
¿Qué es COSO?
Definición de ERM
• Es un proceso dinámico
• Realizado por personas
• Aplicado como parte de un establecimiento de estrategias
• Aplicado a través de toda la empresa
• Diseñado y enfocado a identificar eventos, no solamente riesgos
• Diseñado para mantener acciones y administrar riesgo dentro del apetito de
riesgo
• Proporciona seguridad razonable a la Dirección y Junta Directiva
• Enfoque: El logro de objetivos
Components
Entity
Units
COSO COSO ERM
Marco Integral del Control Interno (MICI) 2004
1992
- ¿Todos lo entienden?
- ¿Todos lo observan?
Establecimiento de Objetivos
Los objetivos generales del control interno son:
- Eficiencia y efectividad de las operaciones de la organización
- Confiabilidad de la información financiera y operativa producida
- Protección de los activos de la organización
- Cumplimiento de las disposiciones legales, reglamentarias y contractuales
Establecimiento de Objetivos
• Deben existir objetivos antes que la administración pueda identificar eventos
que potencialmente afecten su logro.
• Alinear misión/visión con objetivos que son consistentes con apetito de riesgo
• Tipos:
- Estratégicos: relacionados con metas de alto nivel. Respaldan la misión.
- Operacionales: relacionados con el uso efectivo y eficaz de recursos
- Reportes: confiabilidad en el mecanismo de reportes
- Cumplimiento: relacionado con leyes y reglamentos aplicables
• Algunas compañías también utilizan la Salvaguarda de Activos. Un objetivo
puede coincidir con más de un tipo/categoría
Establecimiento de Objetivos
• Los objetivos deben ser:
- Alcanzables
- Medibles
- Orientados a Resultados
- Realizables en un Tiempo Dado
- Específicos
Identificacion de Eventos
• Considerar los factores internos y externos que afectan los eventos
- Externos: económicos, medioambientales, políticos, sociales, tecnológicos
- Internos: infraestructura, personal, procesos y tecnología.
• Mirar al pasado y al futuro
- Pasado: historia de fallas en pagos, cambios en los precios al consumidor,
accidentes de pérdida de tiempo
- Futuro: cambios demográficos, nuevos mercados, acciones del competidor
Identificacion de Eventos
Los eventos pueden tener efectos positivos, negativos, o ambos
- Negativo (riesgo): evaluar y formular respuesta
- Lo importante es identificar los riesgos potenciales que pueden alejar a la empresa de la
consecución de los objetivos estratégicos y operacionales
- Positivo (oportunidad): canalizarlo mediante estrategia administrativa y
establecimiento de objetivos
Riesgos Controles
Oportunidades Recursos
Evaluación de Riesgos
• Cómo afectan los riesgos el logro de objetivos?
- Probabilidad: Posibilidad de que ocurrirá un evento
- Impacto: efecto si éste ocurre
• Equilibrio entre técnicas cuantitativas y cualitativas
• Utilizar la misma unidad de medida para objetivos y el impacto potencial de
un riesgo
• Evaluar cómo se correlacionan los eventos, su secuencia, combinaciones,
interacciones para determinar probabilidades o impactos.
• Recordar el considerar los riesgos a largo plazo.
Tipos de Riesgos
Evaluación de Riesgos
Evaluación de Riesgos
Tormenta de
Peso/Cálculo Priorizar
Ideas
© 2006 Control Solutions International. 22
COSO ERM
Evaluación de Riesgos
Impacto Probabilidad
1 Mínimo 1 Baja
2 Bajo 2 Menor
3 Moderado 3 Media
4 Severo 4 Mayor
5 Catastrófico 5 Alta
Evaluación de Riesgos
Riesgos Area Territorial Impacto Probabilidad Score
Nomina Capital 4 3 12
Nomina Norte 5 2 10
Nomina Sur 2 3 6
Nomina Este 3 2 6
Compras Capital 5 3 15
Compras Norte 5 2 10
Compras Sur 2 3 6
Compras Este 2 2 4
Capacitacion Capital 1 3 3
Capacitacion Norte 1 2 2
Capacitacion Sur 3 3 9
Capacitacion Este 5 2 10
Total
Score
Sur 21
Este 20
© 2006 Control Solutions International. 24
COSO ERM
Evaluación de Riesgos
Area
Riesgos Territorial Impacto Probabilidad Score
Compras Capital 2 3 6
Inventario Capital 4 3 12
Nomina Capital 1 1 1
IT - Seguridad Capital 5 2 10
Capacitacion Capital 2 2 4
Ventas Capital 2 2 4
Manufactura Capital 5 2 10
Total Score
Manufactura 10
Mapa de Riesgos
Riesgos Críticos
5
Impacto
9 7
2 8
3 1
4
6
Riesgos Menores
Probabilidad
Evaluación de Riesgos
Impacto Estratégico
Operacional
Azar/
Siniestros Financiero
Respuesta al Riesgo
• Opciones y su efecto en la probabilidad e impacto de un evento
• Relación con: tolerancia al riesgo, costo versus beneficios
• Seleccionar respuestas que traerán la probabilidad e impacto de un evento
dentro de la tolerancia al riesgo de la entidad
• Identificar y asignar responsabilidad para responder al riesgo
• Cuatro Tipos de Respuesta al Riesgo
- Elusión - Reducción
- Compartir - Aceptación
• Redimensionar el riesgo sobre una base residual y desde una perspectiva de
portafolio
• Algunos niveles de riesgo residual siempre existirán
Actividades de Control
• Las políticas y procedimientos que ayudan a asegurar las respuestas al
riesgo se llevan a cabo adecuadamente
- Política: qué debe hacerse
- Procedimiento: cómo debe hacerse
• Parte del proceso de lograr los objetivos del negocio
• Importancia de los sistemas de información
- Controles generales: aseguran que los sistemas trabajan
apropiadamente, infraestructura, seguridad, compras de software,
licencias, desarrollo y mantenimiento, reportes de actividades
- Controles de aplicaciones: aseguran la integridad, exactitud,
autorización, validez de la captura de datos y proceso de transacciones,
interfases de datos.
Actividades de Control
Información y Comunicación
• De fuentes internas y externas
• Identifica, captura, analiza y comunica a quienes lo necesitan
• Forma y tiempo
• Útil para llevar a cabo responsabilidades
• Fluye hacia abajo, hacia arriba y a lo largo de la organización
• Intercambio con partes externas: clientes, proveedores, legisladores,
accionistas
• Útil para identificar, evaluar y responder a riesgos, mover la entidad y lograr
los objetivos
Información y Comunicación
Supervisión
• Verificar que los componentes están presentes y funcionando
• Verificar su calidad en el curso del tiempo
• Dos caminos: Evaluaciones sobre la marcha o separadas
• La documentación varía: tamaño y complejidad de la organización
• La falta de documentación no significa que los componentes no existan o no
puedan ser probados. La documentación hace que la supervisión sea más
efectiva y eficaz
• Reportar las deficiencias a quienes pueden tomar la acción apropiada
Supervisión
• La deficiencia se puede percibir, sea potencial o real. También la
oportunidad para fortalecer el proceso, para aumentar la probabilidad del
logro de objetivos.
• Mecanismo para reportar actos delicados, ilegales o impropios
• Resultados de la información y de la evaluación: Quién, qué, cuando,
dónde, cómo, por qué.
Metodología
Documentos Utiles
• Organigrama de la empresa
• Informe anual y estados financieros de los últimos 5 años
• Informes de auditoría externa e interna
• Plan de Auditoria anterior
• Mapa de riesgos anterior
• Mapas de procesos
• Manuales de procedimientos
• Políticas internas y normas de funcionamiento
• Regulación externa
• Información de riesgos ya gestionados por otras áreas de la organización
• Procedimientos de tratamiento y archivo de documentación
© 2006 Control Solutions International. 37
COSO ERM
Herramientas
Risk Assessment Model
y Dashboard
Axis Max: 5
List Items X Y Z
High
Resource allocation 1.86 1.43 1.43
performance gap 2.43 3.86 1.80
change readiness 3.43 3.43 4.20
capabilities 2.57 2.14 3.43
materials and resources 2.14 2.29 3.71
Resource Allocation
Significance
1.8
Performance
Measurement
4.2
Resource allocation
Likelihood
performance gap
2.5 change readiness
3.71
3.43 capabilities
materials and resources
1.43
0
0 2.5 5
Significance
Herramientas
ERM Dashboard
Herramientas
Limitaciones de ERM
• ERM no garantiza que la entidad será exitosa y logrará todos sus objetivos
• Limitaciones:
- Cambios en políticas o programas del Gobierno
- Competencia
- Condiciones económicas
- Malas decisiones
- Errores y equivocaciones
- Malos gerentes
- Demérito en controles, colusión, saltarse controles, ignorar ERM
• ERM debe reflejar las limitaciones de recursos y el costo-beneficio de las
acciones
Papeles y Responsabilidades
Matriz de Responsabilidades
A NIVEL COMPAÑÍA UNIDADES OPERATIVAS
Director
Director Director Director Otros Director Otros
Elemento de Control Interno Contralor Financiero
Ejecutivo Operativo Financiero Gerentes de Unidad Gerentes
de Unidad
Pensamiento Estratégico
Planeación Interna
Establecimiento de Metas
Marco de Competencia
Mantener el Alma de las Habilidades
Soluciones con Innovaciones
Aceptación de Riesgo
Procesos y Metodologías
Incentivos
Mejora Continua
Desarrollo de las Personas
Valor para el Accionista
Información y Análisis
Orientación de Resultados
Planeación Exitosa
Papeles y Responsabilidades
Grupo Responsabilidades
Consejo de Dirección, Estrategia, Tono en la Cumbre, Riesgo,
Directores: Apetito, Respuestas de ERM y del Riesgo
Dueños de ERM, tono en la cumbre, liderazgo, delegar
Administración responsabilidades apropiadamente, influencia a lo
largo de unidades múltiples
Funcionario del Mantener una administración eficaz del riesgo,
Riesgo supervisar avances, reportar información relevante
Supervisar ERM y la calidad del desempeño. Asesorar
a la administración, al consejo y al Comité de
Auditores Internos Auditoría, supervisando, revisando, evaluando,
reportando y recomendando mejoras
Resumen
• COSO ERM es una herramienta valiosa para administrar la organización, para
mejorar el desempeño y proteger los activos de la misma.
• COSO ERM es apropiado para organizaciones grandes y pequeñas, públicas y
privadas.
• Se puede y debe adaptar a las necesidades de cada organización.
• Los auditores internos lo pueden usar para agregarle valor a la organización
mediante el alineamiento de sus actividades con los objetivos de la
organización