Title: Aplicaci
1Aplicación practica de la implantación de la
Gestión Integral de Riesgos (ERM) - COSO II- en
una empresa y el rol de Auditoría Interna.
XIII Jornadas de Auditoría Interna Ahciet Ecuador
10 y 11 de Octubre 2006
- Juan Ignacio Ruiz Zorrilla CIA.
- Secretario General IAI España.
2Índice
- Gestión de Riesgos Corporativos (ERM). Concepto y
necesidad - Evolución e impacto de los modelos ERM COSO II
- El Cubo de COSO II ERM
- COSO I vs COSO II
- Responsabilidad del modelo ERM
- Beneficios COSO II ERM
- Fases de elaboración de un Mapa de Riesgos
- Mapa de Riesgos
- Objetivos Riesgo Controles
- Auditoría Interna en el Control y la Gestión de
Riesgos
3Gestión de Riesgos Corporativos (ERM). Concepto y
necesidad (I)
- La Gestión de Riesgos Corporativos es un proceso
efectuado por el Consejo de Administración de una
entidad, su Dirección y restante personal,
aplicable a la definición de estrategias en toda
la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado
y proporcionar una seguridad razonable sobre el
logro de los objetivos.
COSO (Committee of Sponsoring Organization of
the Treadway Commission)
4Gestión de Riesgos Corporativos (ERM). Concepto y
necesidad (II)
- La Gestión de Riesgos Corporativos (ERM) dentro
una empresa o Grupo de empresas permite
- Identificar aquellos acontecimientos que puedan
impactar en la organización impidiéndole
alcanzar sus objetivos. - Realizar una valoración de los riesgos de la
compañía y gestionar su tratamiento en función
del riesgo aceptado en la misma. - Integrar la gestión de riesgos en los procesos de
planificación estratégica de la compañía, en el
control interno y en la operativa diaria de la
misma. - Disponer del portafolio de riesgos a nivel global
de la compañía y para cada una de sus divisiones
y/o funciones.
5Gestión de Riesgos Corporativos (ERM). Concepto y
necesidad (III)
Por qué surge la necesidad de disponer de una
Gestión de estas características?
- Existe una gran diversidad de riesgos presentes y
potenciales en la actividad de los negocios, todo
ello debido a la creciente complejidad del
entorno empresarial y los variados intereses
involucrados en la empresa.
6Gestión de Riesgos Corporativos (ERM). Concepto y
necesidad (IV)
Por qué surge la necesidad de disponer de una
Gestión de estas características?
- Existencia de nuevos marcos regulatorios como
consecuencia de dichos escándalos financieros.
Todos ellos pivotan alrededor de un Modelo de
Riesgos incorporado en los procesos de gestión y
dirección de la empresa.
7Evolución e impacto de los Modelos ERM (I)
VISIÓN TRADICIONAL
VISIÓN ACTUAL
- Función soporte.
- Concepto exclusivo de riesgo como peligro.
- Comunicación del riesgo sólo a través de una
pérdida o una noticia negativa para la Compañía. - Coste del riesgo no entendido o capturado para su
consideración financiera.
- Función dedicada a la gestión activa y por
anticipado de los riesgos de negocio. - Proceso proactivo que integra la gestión de
riesgos en la estrategia de la empresa. - Presión de los stakeholders para entender el
rango de riesgos que está afrontando la empresa. - El conocimiento de los riesgos subyacentes
permite gestionar más adecuadamente la asignación
del capital, permitiendo incrementar el valor
para los stakeholders.
8Evolución e impacto de los Modelos ERM (II)
Impacto de los modelos ERM
Nivel de compromiso
ERM es una de mis prioridades
En estos momentos ERM es uno de los proyectos
prioritarios de la Alta Dirección de las
Compañías...
ERM es una prioridad del Consejo
ERM es una prioridad de la Compañía
Tengo la información que necesito para
gestionar riesgos a nivel empresa
Terminología y estándares comunes para
gestionar los riesgos
Totalmente de acuerdo
Algo en desacuerdo
Fuente 7ª Encuesta Global de CEOs de PWC
Algo de acuerdo
Totalmente en desacuerdo
9Evolución e impacto de los Modelos ERM (III)
Impacto de los modelos ERM
Para cuándo?
...más del 85 piensan tener en funcionamiento un
Modelo de Gestión de Riesgos antes de tres años...
Fuente 7ª Encuesta Global de CEOs de PWC
10Evolución e impacto de los Modelos ERM (IV)
Impacto de los modelos ERM
Impactos
...que les ayudará a mejorar, de una forma
significativa su reputación, rentabilidad y
confianza de la dirección ejecutiva...
Fuente 7ª Encuesta Global de CEOs de PWC
11El Cubo ERM Objetivos, componentes y niveles de
la organización (I)
En el marco de Gestión Integral de Riesgos
desarrollado por COSO II, existe una relación
directa entre los OBJETIVOS (aquellos que la
organización trata de alcanzar), los COMPONENTES
de gestión del riesgo de la compañía (representan
las herramientas necesarias para el logro de
dichos objetivos), así como con cada uno de los
NIVELES de la organización. La relación se
representa con el siguiente cubo
12El Cubo ERM Objetivos, componentes y niveles de
la organización (II)
El presente Modelo de Gestión de Riesgos
Corporativos está orientado a alcanzar los
OBJETIVOS de la Compañía, que se pueden
clasificar en cuatro categorías
- ESTRATÉGICOS referidos a metas de alto nivel,
alineadas y dando soporte a la misión / visión de
la organización. - OPERATIVOS referidos a la eficiencia y eficacia
de las actividades de la organización, incluyendo
los objetivos de rentabilidad y desempeño. - INFORMACIÓN referidos a la fiabilidad de la
información suministrada por la organización, que
incluye datos internos y externos, así como
información financiera y no financiera. - CUMPLIMIENTO referidos al cumplimiento de las
leyes y normas y leyes aplicables.
13El Cubo ERM Objetivos, componentes y niveles de
la organización (III)
El modelo de Gestión de Riesgos Corporativos
consta de ocho COMPONENTES relacionados entre sí,
que se derivan de la manera en que la dirección
conduce la empresa y cómo están integrados en el
proceso de gestión.
14El Cubo ERM Objetivos, componentes y niveles de
la organización (IV)
15El Cubo ERM Objetivos, componentes y niveles de
la organización (V)
La Gestión de Riesgos Corporativos considera
actividades a todos los NIVELES DE LA
ORGANIZACIÓN
- NIVEL CORPORATIVO
- LÍNEA DE NEGOCIO / PAÍS
- EMPRESA
- UNIDAD
16COSO I vs. COSO II (I)
COMPONENTES
17Responsabilidades del Modelo ERM
- Todas las personas que integran una Compañía
tienen alguna responsabilidad en la Gestión de
Riesgos Corporativos.
- PRESIDENTE / CONSEJERO DELEGADO responsable
último. - OTROS DIRECTIVOS apoyan la filosofía de gestión
de riesgos de la entidad, gestionan los riesgos
dentro de sus áreas de responsabilidad en
conformidad con la tolerancia al riesgo. - DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO
desempeñan responsabilidades claves de apoyo y
supervisión del Modelo de Gestión de Riesgos. - PERSONAL RESTANTE responsable de ejecutar la
gestión de riesgos corporativos de acuerdo con
las directrices establecidas. - CONSEJO DE ADMINISTRACIÓN / COMISIÓN DE AUDITORÍA
Y CONTROL desarrolla una importante supervisión
de la gestión de riesgos corporativos, es
consciente del riesgo aceptado por la Sociedad y
está de acuerdo con él. - TERCEROS (clientes, proveedores, auditores
externos, reguladores y analistas financieros)
proporcionan a menudo información útil para el
desarrollo del ERM, aunque no son responsables de
su eficacia en la entidad.
18Beneficios del ERM
- Permite a la Dirección de la empresa poseer una
visión global del riesgo y accionar los planes
para su correcta gestión. - Posibilita la priorización de los objetivos,
riesgos clave del negocio, y de los controles
implantados, lo que permite su adecuada gestión.
Toma de decisiones más segura, facilitando la
asignación del capital. - Alinea los objetivos del Grupo con los objetivos
de las diferentes unidades de negocio, así como
los riesgos asumidos y los controles puestos en
acción. - Permite dar soporte a las actividades de
planificación estratégica y control interno. - Permite cumplir con los nuevos marcos
regulatorios y demanda de nuevas prácticas de
Gobierno Corporativo. - Fomenta que la gestión de riesgos pase a formar
parte de la cultura del Grupo.
19Fases de elaboración del Mapa de Riesgos.-
Experiencia practica en TPI
ENTENDIMIENTO DE LA SITUACIÓN
ELABORACIÓN PERFIL DE RIESGOS
ENTREVISTAS COMITÉ DIRECCIÓN
VALIDACIÓN DE LA INFORMACIÓN
MAPA DE RIESGOS
FIJACIÓN CON EL CEO TOLERANCIA AL RIESGO
Se les envía los datos obtenidos en la entrevista
para que validen datos de Riesgos y Controles.
Se identifican los principales Riesgos y los
Controles existentes
Se analiza la Estrategia, la normativa vigente,
órganos de control, procesos que controlan Riesgos
Con toda la información se elabora el Mapa de
Riesgos
En base a entrevistas, se identifican Riesgos y
se Valoran en base a su Impacto y Probabilidad.
El CEO marca para cada uno de los 4 objetivos de
COSO el Nivel aceptado de Riesgo
20Mapa de Riesgos.- sin identificar apetito al
riesgo
Ejemplo no real de Riesgos E Competencia O
Flexibilidad al cambio R- Comunicación interna C
Regulación.
21Mapas de Riesgos.- con indicación de apetito al
riesgo.
22Objetivos Riesgos Controles
META
CONTROL
- RENTABILIDAD
- CREACIÓN DE VALOR PARA EL
ACCIONISTA - CUOTA DE MERCADO
- MEJORA DE LA CALIDAD DEL SERVICIO
- PRODUCTIVIDAD
RIESGOS PRINCIPALES DE LAS EMPRESAS DE
TELECOMUNICACIONES
- Satisfacción del cliente
- Recursos Humanos
- Desarrollo de productos
- Competencia
- Planificación Estratégica
- Imagen
- Facturación/Perdida Ingresos
- Liderazgo
- Eficiencia
- Fijación de precios
- Regulación
- Infraestructuras
- Obsolescencia
23Auditoría Interna en la gestión y control de
riesgos
- Definición de Auditoría Interna
- La auditoría interna es una actividad
independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y mejorar
las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos, aportando
un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno. -
- Normas Internacionales para el ejercicio
profesional de la Auditoría Interna - 2120 Control.- La actividad de auditoría
interna debe ayudar a la organización en el
mantenimiento de controles efectivos, mediante la
evaluación de la eficacia y eficiencia de los
mismos y promoviendo su mejora continua. - 2110 Gestión de Riesgos.- La actividad de
auditoría interna debe ayudar a la organización
mediante la identificación y evaluación de las
exposiciones significativas a los riesgos, y la
contribución a la mejora de los sistemas de
gestión de riesgos y control.
24Auditoría Interna en la gestión y control de
riesgos
- 2110. A1 La actividad de auditoría interna debe
supervisar y evaluar la eficacia del sistema de
gestión de riesgos de la organización. - 2110. A2 La actividad de auditoría interna debe
evaluar las exposiciones al riesgo referidas a
gobierno, operaciones y sistemas de información
de la organización, con relación a lo siguiente - Fiabilidad e integridad de la información
financiera y operativa - Eficacia y eficiencia de las operaciones
- Protección de activos, y
- Cumplimiento de leyes, regulaciones y contratos.
- 2110. C1 Durante los trabajos de consultoría,
los auditores internos deben considerar los
riesgos relacionados con los objetivos del
trabajo y estar atentos a la existencia de otros
riesgos significativos. - 2110.C2 Los auditores internos deben incorporar
los conocimientos del riesgo obtenidos de los
trabajos de consultoría en el proceso de
identificación y evaluación de las exposiciones a
riesgos significativos en la organización.
25El Rol de la Auditoría Interna en la Gestión de
Riesgo Empresarial
- El Institute of Internal Auditors (IIA), ha
publicado un documento sobre su posición sobre el
Rol de la Auditoría Interna en la Gestión de
Riesgo Empresarial. El documento sugiere formas
para que los auditores internos mantengan la
objetividad e independencia requerida por las
Normas cuando provean servicios de aseguramiento
y consulta. - El rol fundamental de la auditoría interna
respecto al ERM es proveer aseguramiento objetivo
al Consejo (Board) sobre la efectividad de las
actividades de ERM en una organización, para
ayudar a asegurar que los riesgos claves de
negocio están siendo gestionados apropiadamente y
que el sistema de control interno esta siendo
operado efectivamente. - El Instituto enfatiza que las organizaciones
deben entender completamente que la gerencia
mantiene la responsabilidad de la gestión de
riesgo. Los auditores internos deben proveer
consejo, y motivar las decisiones gerenciales
sobre riesgos, en vez de realizar decisiones
sobre gestión de riesgo.
26Rol de Auditoría Interna en la Gestión de
Riesgos, posición the IIA