Aplicacin practica de la implantacin de la Gestin

Integral de Riesgos (ERM) - COSO II- en una empresa y el

rol de Auditora Interna.
XIII Jornadas de Auditora Interna Ahciet
Ecuador 10 y 11 de Octubre 2006

Juan Ignacio Ruiz Zorrilla CIA.

Secretario General IAI Espaa.

ndice:
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad
Evolucin e impacto de los modelos ERM COSO II
El Cubo de COSO II ERM
COSO I vs COSO II
Responsabilidad del modelo ERM
Beneficios COSO II ERM
Fases de elaboracin de un Mapa de Riesgos
Mapa de Riesgos
Objetivos Riesgo Controles
Auditora Interna en el Control y la Gestin de Riesgos
Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA
2

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (I)

La Gestin de Riesgos Corporativos es un proceso efectuado por el
Consejo de Administracin de una entidad, su Direccin y restante
personal, aplicable a la definicin de estrategias en toda la empresa y
diseado para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.
objetivos

* COSO (Committee of Sponsoring Organization of the Treadway Commission)

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (II)

La Gestin de Riesgos Corporativos (ERM) dentro una empresa o
Grupo de empresas permite:
Identificar aquellos acontecimientos que puedan
impactar en la organizacin impidindole alcanzar
sus objetivos.
Realizar una valoracin de los riesgos de la compaa
y gestionar su tratamiento en funcin del riesgo
aceptado en la misma.
Integrar la gestin de riesgos en los procesos de
planificacin estratgica de la compaa, en el control
interno y en la operativa diaria de la misma.
Disponer del portafolio de riesgos a nivel global de la
compaa y para cada una de sus divisiones y/o
funciones.

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (III)

Por qu surge la necesidad de disponer de una Gestin de estas
caractersticas?

Existe una gran diversidad de riesgos presentes y potenciales en la actividad de

los negocios, todo ello debido a la creciente complejidad del entorno
empresarial y los variados intereses involucrados en la empresa.
Entorno de la Empresa
Estrategia

Obligaciones /
Compromisos

Incertidumbre asociada a
Fusiones y adquisiciones

Pasivos contratados

Legal y Regulatorio

Estrategia y Planes de negocio

Reclamaciones
Responsabilidad de producto

Compliance
Optimizacin fiscal

Valor para el accionista y

Stakeholders

Mercado
Cambios en variables
macroeconmicas
Cambios en volmenes

Actividades de los competidores

Reputacin

Pasivos ticos

Producto Obligaciones legales

Marketing

Cambios de marca / impacto en el

mercado

ENTIDA
D

Branding
Cartera

Seguridad alimentaria

Clientes

Atractividad

Investigacin

Innovacin

Fidelidad del cliente

Finanzas

Recursos humanos

Gestin de ingresos

Cambios en el equipo gestor

Cash flow

Sistemas de Informacin

Produccin

Recursos y perfiles

Confidencialidad

Logsitica

Integridad y fiabilidad del

personal

Acceso a fondos/tipos de inters

Procurement y pagos
Cambio de divisas
Fiabilidad de la contabilidad
Control de crdito

Integridad

Corporate Governance

Disponibilidad

Proyectos e Inversiones

Value for money

Plannig and budgeting

Seguridad

Estructura organizativa

E-Business

Comunicacin
Reporting

Trazabilidad
Motivacin
Planificacin y programacin
Salud, seguridad e higiene
Configuracin
Relaciones con los sindicatos
Inventarios y repuestos
Ciclo de vida

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (IV)

Por qu surge la necesidad de disponer de una Gestin de estas
caractersticas?

Existencia de nuevos marcos regulatorios como consecuencia de dichos

escndalos financieros. Todos ellos pivotan alrededor de un Modelo de
Riesgos incorporado en los procesos de gestin y direccin de la empresa.

The Sarbanes-Oxley
Act of 2002
Ley de
Transparencia
26/2003
Orden Ministerial
3722/2003
6

Evolucin e impacto de los Modelos ERM (I)

VISIN TRADICIONAL
Funcin soporte.

Concepto exclusivo de
riesgo como peligro.
Comunicacin del riesgo
slo a travs de una
prdida o una noticia
negativa para la Compaa.
Coste del riesgo no
entendido o capturado para
su consideracin financiera.

VISIN ACTUAL
Funcin dedicada a la gestin
activa y por anticipado de los
riesgos de negocio.
Proceso proactivo que integra
la gestin de riesgos en la
estrategia de la empresa.
Presin de los stakeholders
para entender el rango de
riesgos que est afrontando
la empresa.
El conocimiento de los riesgos
subyacentes permite
gestionar ms
adecuadamente la asignacin
del capital, permitiendo
incrementar el valor para los
stakeholders.
7

Evolucin e impacto de los Modelos ERM (II)

Impacto de los modelos ERM

Nivel de
compromiso
ERM es una de mis
prioridades

En estos
momentos ERM
es uno de los
proyectos
prioritarios de la
Alta Direccin de
las Compaas...

ERM es una prioridad

del Consejo

ERM es una prioridad

de la Compaa

Tengo la informacin que

necesito para gestionar
riesgos a nivel empresa
Terminologa y estndares
comunes para gestionar
los riesgos

Totalmente
de acuerdo

Algo
en desacuerdo

Algo
de acuerdo

Totalmente
en desacuerdo

Fuente: 7 Encuesta Global de

CEOs de PWC

Evolucin e impacto de los Modelos ERM (III)

Impacto de los modelos ERM

Para cundo?
Ya dispongo de ERM
eficiente y eficaz

Dentro de 1 ao

Dentro de 2 aos

Dentro de 3 aos

...ms del 85%

piensan tener en
funcionamiento
un Modelo de
Gestin de
Riesgos antes de
tres aos...

Ms de 3 aos
No espero
implantar ERM

No sabe /
No contesta

Fuente: 7 Encuesta Global de

CEOs de PWC

Evolucin e impacto de los Modelos ERM (IV)

Impacto de los modelos ERM

Impactos
Reputacin

Reduccin de costes
Objetivos
estratgicos
Menor coste
capital
Inversin I+D

Actividades F&A

...que les ayudar

a mejorar, de una
forma
significativa su
reputacin,
rentabilidad y
confianza de la
direccin
Muy positivo
ejecutiva...

Rentabilidad
Positivo

Confianza de la
Direccin

Negativo
Muy Negativo

Fuente: 7 Encuesta Global de

CEOs de PWC

10

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (I)

En el marco de Gestin Integral de Riesgos desarrollado por COSO II, existe una
relacin directa entre los OBJETIVOS (aquellos que la organizacin trata de
alcanzar), los COMPONENTES de gestin del riesgo de la compaa
(representan las herramientas necesarias para el logro de dichos objetivos), as
como con cada uno de los NIVELES de la organizacin. La relacin se
representa con el siguiente cubo:
OBJETIVOS

COMPONENTE
S

NIVELES DE LA
ORGANIZACI
N

11

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (II)

El presente Modelo de Gestin de Riesgos Corporativos est orientado a
alcanzar los OBJETIVOS de la Compaa, que se pueden clasificar en
cuatro categoras:

ESTRATGICOS: referidos a metas de alto nivel, alineadas y dando

soporte a la misin / visin de la organizacin.

OPERATIVOS:

referidos a la eficiencia y eficacia de las actividades

de la organizacin, incluyendo los objetivos de rentabilidad y
desempeo.

INFORMACIN:

referidos a la fiabilidad de la informacin

suministrada por la organizacin, que incluye datos internos y
externos, as como informacin financiera y no financiera.

CUMPLIMIENTO:

referidos al cumplimiento de las leyes y normas y

leyes aplicables.

12

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (III)

El modelo de Gestin de Riesgos Corporativos consta de ocho
COMPONENTES relacionados entre s, que se derivan de la manera en que
la direccin conduce la empresa y cmo estn integrados en el proceso de
gestin.
Ambiente Interno
Filosofa de la gestin de riesgos Cultura de riesgos Consejo de Administracin /
Direccin - Integridad y valores ticos Compromiso de competencia Estructura organizativa
Asignacin de autoridad y responsabilidad Polticas y prcticas en materia de recursos
humanos

Establecimiento de objetivos
Objetivos estratgicos Objetivos relacionados Objetivos seleccionados
Riesgo aceptado Tolerancia al riesgo

Identificacin de acontecimientos
Acontecimientos Factores de influencia estratgica y de objetivos Metodologas y tcnicas Acontecimientos independientes Categoras de
Acontecimientos Riesgos y oportunidades

Evaluacin de riesgos
Riesgo inherente y residual Probabilidad e impacto Tcnicas de evaluacin Correlacin entre acontecimientos

13

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (IV)

Respuesta a los riesgos

Evaluacin de posibles respuestas Seleccin de respuestas Perspectiva de cartera

Actividades de control
Integracin de la respuesta al riesgo Tipos de actividades de control Polticas y
procedimientos Controles de los sistemas de informacin Controles
Especficos de la entidad

Informacin y comunicacin
Informacin - Comunicacin

Supervisin
Actividades permanentes de supervisin Evaluaciones independientes
Comunicacin de deficiencias

14

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (V)

La Gestin de Riesgos Corporativos considera actividades a todos los
NIVELES DE LA ORGANIZACIN:
ORGANIZACIN

- NIVEL CORPORATIVO
- LNEA DE NEGOCIO / PAS
- EMPRESA
- UNIDAD

15

COSO II

COSO I vs. COSO II (I)

OBJETIVOS (4)
ESTRATGICOS

OPERATIVOS
INFORMACIN
COMPONENTES
OBJETIVOS (3/4)
(3/4)

CUMPLIMIENT O

EFICACIA Y EFICIENCIA OPERACIONES

INFORMACIN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)

COMPONENTES (8)
AMBIENTE INTERNO
EST ABLECIMIENTO DE OBJETIVOS
IDENTIFICACIN DE EVENT OS
EVALUACIN DE LOS RIESGOS
RESPUEST A A LOS RIESGOS
ACT IVIDADES DE CONT ROL
INFORMACIN Y COMUNICACIN

COSO I

SUPERVISIN

COMPONENTES (5)
ENTORNO DE CONTROL

EVALUACIN DE RIESGOS

ACT IVIDADES DE CONT ROL

INFORMACIN Y COMUNICACIN
SUPERVISIN

COMPONENTES

16

Responsabilidades del Modelo ERM

Todas las personas que integran una Compaa tienen alguna
responsabilidad en la Gestin de Riesgos Corporativos.

PRESIDENTE / CONSEJERO DELEGADO: responsable ltimo.

OTROS DIRECTIVOS: apoyan la filosofa de gestin de riesgos de la

entidad, gestionan los riesgos dentro de sus reas de responsabilidad
en conformidad con la tolerancia al riesgo.

DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO:

desempean responsabilidades claves de apoyo y supervisin del
Modelo de Gestin de Riesgos.

PERSONAL RESTANTE: responsable de ejecutar la gestin de riesgos

corporativos de acuerdo con las directrices establecidas.

CONSEJO DE ADMINISTRACIN / COMISIN DE AUDITORA Y

CONTROL: desarrolla una importante supervisin de la gestin de
riesgos corporativos, es consciente del riesgo aceptado por la Sociedad
y est de acuerdo con l.

TERCEROS (clientes, proveedores, auditores externos, reguladores y

analistas financieros): proporcionan a menudo informacin til para el
desarrollo del ERM, aunque no son responsables de su eficacia en la
entidad.
17

Beneficios del ERM

Permite a la Direccin de la empresa poseer una visin global del riesgo
y accionar los planes para su correcta gestin.
Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de
los controles implantados, lo que permite su adecuada gestin. Toma de
decisiones ms segura,
segura facilitando la asignacin del capital.
Alinea los objetivos del Grupo con los objetivos de las diferentes
unidades de negocio, as como los riesgos asumidos y los controles
puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y
control interno.
interno
Permite cumplir con los nuevos marcos regulatorios y demanda de
nuevas prcticas de Gobierno Corporativo.
Fomenta que la gestin de riesgos pase a formar parte de la cultura del
Grupo.
Grupo

18

Fases de elaboracin del Mapa de Riesgos.Experiencia practica en TPI

ENTENDIMIENTO
ENTENDIMIENTO
DE
DE LA
LA SITUACIN
SITUACIN

Se
Se analiza
analiza la
la
Estrategia,
Estrategia, la
la
normativa
normativa
vigente,
vigente,
rganos de
control,
control,
procesos
procesos que
que
controlan
controlan
Riesgos
Riesgos

ELABORACIN
ENTREVISTAS
VALIDACIN
ELABORACIN
ENTREVISTAS
VALIDACIN DE
DE LA
LA
PERFIL
INFORMACIN
PERFIL DE
DE RIESGOS
RIESGOS COMIT
COMIT DIRECCIN
DIRECCIN
INFORMACIN

Se
Se identifican
identifican
los
los
principales
principales
Riesgos
Riesgos yy los
los
Controles
Controles
existentes
existentes

En
En base
base aa
entrevistas,
entrevistas,
se identifican
Riesgos y se
Valoran
Valoran en
en
base
base aa su
su
Impacto
Impacto yy
Probabilidad.
Probabilidad.

Se
Se les
les enva
enva
los
los datos
datos
obtenidos
obtenidos en
en
la
la entrevista
entrevista
para
para que
que
validen
validen datos
de
de Riesgos
Riesgos yy
Controles.
Controles.

MAPA
MAPA DE
DE RIESGOS
RIESGOS

Con
Con toda
toda la
la
informacin
informacin
se
se elabora
elabora el
Mapa
Mapa de
de
Riesgos
Riesgos

FIJACIN
FIJACIN CON
CON EL
EL CEO
CEO
TOLERANCIA
TOLERANCIA AL
AL RIESGO
RIESGO

El
El CEO
CEO marca
marca
para
para cada
cada uno
uno
de
de los
los 44
objetivos
objetivos de
de
COSO
COSO el
el Nivel
Nivel
aceptado
aceptado de
de
Riesgo
Riesgo

19

Mapa de Riesgos.- sin identificar apetito al riesgo

Ejemplo no real de
Riesgos:
E Competencia
O Flexibilidad al cambio
R- Comunicacin interna
C Regulacin.

20

Mapas de Riesgos.- con indicacin de apetito al riesgo.

21

Objetivos Riesgos
Controles
C
O
N
T
R
O
L

RIESGOS PRINCIPALES DE LAS

EMPRESAS DE TELECOMUNICACIONES

Satisfaccin del clienteLiderazgo

Recursos Humanos
Eficiencia
Desarrollo de productos
Fijacin de precios
Competencia
Regulacin
Planificacin Estratgica
Infraestructuras
Imagen
Obsolescencia
Facturacin/Perdida
Ingresos

RENTABILIDAD
CREACIN DE
VALOR
PARA EL
ACCIONISTA
CUOTA DE
MERCADO
MEJORA DE LA
CALIDAD DEL
SERVICIO
PRODUCTIVIDA
D
22

Auditora Interna en la gestin y control de riesgos

Definicin de Auditora Interna:
La auditora interna es una actividad independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y mejorar las operaciones de una organizacin.
Ayuda a una organizacin a cumplir sus objetivos, aportando un enfoque sistemtico y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos,
control y gobierno.

Normas Internacionales para el ejercicio profesional de la Auditora

Interna:
2120 Control.- La actividad de auditora interna debe ayudar a la organizacin en el
mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y
eficiencia de los mismos y promoviendo su mejora continua.

2110 Gestin de Riesgos.- La actividad de auditora interna debe ayudar a la

organizacin mediante la identificacin y evaluacin de las exposiciones
significativas a los riesgos, y la contribucin a la mejora de los sistemas de
gestin de riesgos y control.

23

Auditora Interna en la gestin y control de riesgos

2110. A1 La actividad de auditora interna debe supervisar y evaluar la eficacia
del sistema de gestin de riesgos de la organizacin.
2110. A2 La actividad de auditora interna debe evaluar las exposiciones al
riesgo referidas a gobierno, operaciones y sistemas de informacin de la
organizacin, con relacin a lo siguiente:
Fiabilidad e integridad de la informacin financiera y operativa;
Eficacia y eficiencia de las operaciones;
Proteccin de activos, y
Cumplimiento de leyes, regulaciones y contratos.
2110. C1 Durante los trabajos de consultora, los auditores internos deben
considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a
la existencia de otros riesgos significativos.
2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultora en el proceso de identificacin y
evaluacin de las exposiciones a riesgos significativos en la organizacin.

24

El Rol de la Auditora Interna en la Gestin de Riesgo Empresarial

El Institute of Internal Auditors (IIA), ha publicado un documento sobre su posicin
sobre el Rol de la Auditora Interna en la Gestin de Riesgo Empresarial. El
documento sugiere formas para que los auditores internos mantengan la objetividad
e independencia requerida por las Normas cuando provean servicios de
aseguramiento y consulta.

El rol fundamental de la auditora interna respecto al ERM es proveer aseguramiento

objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una
organizacin, para ayudar a asegurar que los riesgos claves de negocio estn
siendo gestionados apropiadamente y que el sistema de control interno esta siendo
operado efectivamente.

El Instituto enfatiza que las organizaciones deben entender completamente que la

gerencia mantiene la responsabilidad de la gestin de riesgo. Los auditores internos
deben proveer consejo, y motivar las decisiones gerenciales sobre riesgos, en vez
de realizar decisiones sobre gestin de riesgo.

25

Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA

26