Aplicacin practica de la implantacin de la Gestin Integral de Riesgos (ERM) - COSO II- en una empresa y el rol de Auditora Interna.

XIII Jornadas de Auditora Interna Ahciet

Ecuador 10 y 11 de Octubre 2006

Juan Ignacio Ruiz Zorrilla CIA. Secretario General IAI Espaa.

ndice:
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad Evolucin e impacto de los modelos ERM COSO II El Cubo de COSO II ERM COSO I vs COSO II Responsabilidad del modelo ERM Beneficios COSO II ERM Fases de elaboracin de un Mapa de Riesgos Mapa de Riesgos Objetivos Riesgo Controles Auditora Interna en el Control y la Gestin de Riesgos Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA
2

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (I)

La Gestin de Riesgos Corporativos es un proceso efectuado por el Consejo de Administracin de una entidad, su Direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. objetivos

* COSO (Committee of Sponsoring Organization of the Treadway Commission)

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (II)

La Gestin de Riesgos Corporativos (ERM) dentro una empresa o Grupo de empresas permite: Identificar aquellos acontecimientos que puedan impactar en la organizacin impidindole alcanzar sus objetivos. Realizar una valoracin de los riesgos de la compaa y gestionar su tratamiento en funcin del riesgo aceptado en la misma. Integrar la gestin de riesgos en los procesos de planificacin estratgica de la compaa, en el control interno y en la operativa diaria de la misma. Disponer del portafolio de riesgos a nivel global de la compaa y para cada una de sus divisiones y/o funciones.

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (III)

Por qu surge la necesidad de disponer de una Gestin de estas caractersticas?

Existe una gran diversidad de riesgos presentes y potenciales en la actividad de

los negocios, todo ello debido a la creciente complejidad del entorno empresarial y los variados intereses involucrados en la empresa.
Entorno de la Empresa
Obligaciones / Compromisos
Pasivos contratados Reclamaciones Responsabilidad de producto Pasivos ticos

Estrategia
Incertidumbre asociada a Fusiones y adquisiciones Estrategia y Planes de negocio Valor para el accionista y Stakeholders

Legal y Regulatorio
Compliance Optimizacin fiscal

Mercado
Cambios en variables macroeconmicas Cambios en volmenes

Actividades de los competidores

Reputacin

Producto Obligaciones legales Marketing

Branding Cartera Atractividad Innovacin

ENTIDA D

Cambios de marca / impacto en el mercado Seguridad alimentaria

Clientes
Investigacin Fidelidad del cliente

Finanzas
Gestin de ingresos Cash flow Procurement y pagos Cambio de divisas Fiabilidad de la contabilidad Control de crdito Acceso a fondos/tipos de inters

Recursos humanos
Cambios en el equipo gestor

Sistemas de Informacin
Confidencialidad Integridad Disponibilidad Value for money Seguridad E-Business

Produccin
Logsitica

Recursos y perfiles Integridad y fiabilidad del personal

Corporate Governance
Proyectos e Inversiones Plannig and budgeting Estructura organizativa Comunicacin Reporting

Trazabilidad Motivacin Planificacin y programacin Salud, seguridad e higiene Configuracin Relaciones con los sindicatos Inventarios y repuestos Ciclo de vida

Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (IV)

Por qu surge la necesidad de disponer de una Gestin de estas caractersticas?

Existencia de nuevos marcos regulatorios como consecuencia de dichos

escndalos financieros. Todos ellos pivotan alrededor de un Modelo de Riesgos incorporado en los procesos de gestin y direccin de la empresa.

The Sarbanes-Oxley Act of 2002 Ley de Transparencia 26/2003 Orden Ministerial 3722/2003
6

Evolucin e impacto de los Modelos ERM (I)

VISIN TRADICIONAL
Funcin soporte. Concepto exclusivo de riesgo como peligro. Comunicacin del riesgo slo a travs de una prdida o una noticia negativa para la Compaa. Coste del riesgo no entendido o capturado para su consideracin financiera.

VISIN ACTUAL
Funcin dedicada a la gestin activa y por anticipado de los riesgos de negocio. Proceso proactivo que integra la gestin de riesgos en la estrategia de la empresa. Presin de los stakeholders para entender el rango de riesgos que est afrontando la empresa. El conocimiento de los riesgos subyacentes permite gestionar ms adecuadamente la asignacin del capital, permitiendo incrementar el valor para los stakeholders.
7

Evolucin e impacto de los Modelos ERM (II)

Impacto de los modelos ERM

Nivel de compromiso
ERM es una de mis prioridades

ERM es una prioridad del Consejo

ERM es una prioridad de la Compaa

Tengo la informacin que necesito para gestionar riesgos a nivel empresa Terminologa y estndares comunes para gestionar los riesgos

En estos momentos ERM es uno de los proyectos prioritarios de la Alta Direccin de las Compaas...

Totalmente de acuerdo Algo de acuerdo

Algo en desacuerdo Totalmente en desacuerdo

Fuente: 7 Encuesta Global de CEOs de PWC

Evolucin e impacto de los Modelos ERM (III)

Impacto de los modelos ERM

Para cundo?
Ya dispongo de ERM eficiente y eficaz

Dentro de 1 ao

Dentro de 2 aos

Dentro de 3 aos

...ms del 85% piensan tener en funcionamiento un Modelo de Gestin de Riesgos antes de tres aos...

Ms de 3 aos No espero implantar ERM

No sabe / No contesta

Fuente: 7 Encuesta Global de CEOs de PWC

Evolucin e impacto de los Modelos ERM (IV)

Impacto de los modelos ERM

Impactos
Reputacin

Reduccin de costes Objetivos estratgicos Menor coste capital Inversin I+D

Actividades F&A Rentabilidad

...que les ayudar a mejorar, de una forma significativa su reputacin, rentabilidad y confianza de la direccin ejecutiva... Muy positivo
Positivo Negativo Muy Negativo

Confianza de la Direccin

Fuente: 7 Encuesta Global de CEOs de PWC

10

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (I)

En el marco de Gestin Integral de Riesgos desarrollado por COSO II, existe una relacin directa entre los OBJETIVOS (aquellos que la organizacin trata de alcanzar), los COMPONENTES de gestin del riesgo de la compaa (representan las herramientas necesarias para el logro de dichos objetivos), as como con cada uno de los NIVELES de la organizacin. La relacin se representa con el siguiente cubo:
OBJETIVOS

COMPONENTE S

NIVELES DE LA ORGANIZACI N

11

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (II)

El presente Modelo de Gestin de Riesgos Corporativos est orientado a alcanzar los OBJETIVOS de la Compaa, que se pueden clasificar en cuatro categoras:

ESTRATGICOS: referidos a metas de alto nivel, alineadas y dando soporte a la misin / visin de la organizacin. referidos a la eficiencia y eficacia de las actividades de la organizacin, incluyendo los objetivos de rentabilidad y desempeo. referidos a la fiabilidad de la informacin suministrada por la organizacin, que incluye datos internos y externos, as como informacin financiera y no financiera. referidos al cumplimiento de las leyes y normas y leyes aplicables.

OPERATIVOS:

INFORMACIN:

CUMPLIMIENTO:

12

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (III)

El modelo de Gestin de Riesgos Corporativos consta de ocho COMPONENTES relacionados entre s, que se derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el proceso de gestin.
Ambiente Interno
Filosofa de la gestin de riesgos Cultura de riesgos Consejo de Administracin / Direccin - Integridad y valores ticos Compromiso de competencia Estructura organizativa Asignacin de autoridad y responsabilidad Polticas y prcticas en materia de recursos humanos

Establecimiento de objetivos
Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Riesgo aceptado Tolerancia al riesgo

Identificacin de acontecimientos
Acontecimientos Factores de influencia estratgica y de objetivos Metodologas y tcnicas Acontecimientos independientes Categoras de Acontecimientos Riesgos y oportunidades

Evaluacin de riesgos
Riesgo inherente y residual Probabilidad e impacto Tcnicas de evaluacin Correlacin entre acontecimientos

13

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (IV)

R espuesta a los riesgos

Evaluacin de posibles respuestas Seleccin de respuestas Perspectiva de cartera

Actividades de control
Integracin de la respuesta al riesgo Tipos de actividades de control Polticas y procedimientos Controles de los sistemas de informacin Controles Especficos de la entidad

Informacin y comunicacin
Informacin - Comunicacin

S upervisin
Actividades permanentes de supervisin Evaluaciones independientes Comunicacin de deficiencias

14

El Cubo ERM: Objetivos, componentes y niveles de la organizacin (V)

La Gestin de Riesgos Corporativos considera actividades a todos los NIVELES DE LA ORGANIZACIN: ORGANIZACIN

- NIVEL CORPORATIVO - LNEA DE NEGOCIO / PAS - EMPRESA - UNIDAD

15

COSO I vs. COSO II (I)

OBJETIVOS (4)
ESTRATGICOS

COSO II

OPERATIVOS INFORMACIN
COMPONENTES OBJETIVOS (3/4) (3/4) EFICACIA Y EFICIENCIA OPERACIONES INFORMACIN FINANCIERA NORMATIVA SALVAGUARDA ACTIVOS (*)

CUMPLIMIENT O

COMPONENTES (8) AMBIENTE INTERNO EST ABLECIMIENTO DE OBJETIVOS IDENTIFICACIN DE EVENT OS EVALUACIN DE LOS RIESGOS RESPUEST A A LOS RIESGOS ACT IVIDADES DE CONT ROL

COSO I
COMPONENTES (5) ENTORNO DE CONTROL

INFORMACIN Y COMUNICACIN SUPERVISIN

EVALUACIN DE RIESGOS

ACT IVIDADES DE CONT ROL INFORMACIN Y COMUNICACIN SUPERVISIN

COMPONENTES

16

Responsabilidades del Modelo ERM

Todas las personas que integran una Compaa tienen alguna responsabilidad en la Gestin de Riesgos Corporativos.

PRESIDENTE / CONSEJERO DELEGADO: responsable ltimo. OTROS DIRECTIVOS: apoyan la filosofa de gestin de riesgos de la entidad, gestionan los riesgos dentro de sus reas de responsabilidad en conformidad con la tolerancia al riesgo. DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO: desempean responsabilidades claves de apoyo y supervisin del Modelo de Gestin de Riesgos. PERSONAL RESTANTE: responsable de ejecutar la gestin de riesgos corporativos de acuerdo con las directrices establecidas. CONSEJO DE ADMINISTRACIN / COMISIN DE AUDITORA Y CONTROL: desarrolla una importante supervisin de la gestin de riesgos corporativos, es consciente del riesgo aceptado por la Sociedad y est de acuerdo con l. TERCEROS (clientes, proveedores, auditores externos, reguladores y analistas financieros): proporcionan a menudo informacin til para el desarrollo del ERM, aunque no son responsables de su eficacia en la entidad.
17

Beneficios del ERM

Permite a la Direccin de la empresa poseer una visin global del riesgo y accionar los planes para su correcta gestin. Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestin. Toma de decisiones ms segura, segura facilitando la asignacin del capital. Alinea los objetivos del Grupo con los objetivos de las diferentes unidades de negocio, as como los riesgos asumidos y los controles puestos en accin. Permite dar soporte a las actividades de planificacin estratgica y control interno. interno Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prcticas de Gobierno Corporativo. Fomenta que la gestin de riesgos pase a formar parte de la cultura del Grupo. Grupo
18

Fases de elaboracin del Mapa de Riesgos.Experiencia practica en TPI

ENTENDIMIENTO ENTENDIMIENTO DE DE LA LA SITUACIN SITUACIN

ELABORACIN ENTREVISTAS VALIDACIN ELABORACIN ENTREVISTAS VALIDACIN DE DE LA LA PERFIL INFORMACIN PERFIL DE DE RIESGOS RIESGOS COMIT COMIT DIRECCIN DIRECCIN INFORMACIN

MAPA MAPA DE DE RIESGOS RIESGOS

FIJACIN FIJACIN CON CON EL EL CEO CEO TOLERANCIA TOLERANCIA AL AL RIESGO RIESGO

Se Se analiza analiza la la Estrategia, Estrategia, la la normativa normativa vigente, vigente, rganos de control, control, procesos procesos que que controlan controlan Riesgos Riesgos

Se Se identifican identifican los los principales principales Riesgos Riesgos y y los los Controles Controles existentes existentes

En En base base a a entrevistas, entrevistas, se identifican Riesgos Riesgos y y se se Valoran en base base a a su su Impacto Impacto y Probabilidad. Probabilidad.

Se Se les les enva enva los los datos datos obtenidos obtenidos en en la la entrevista entrevista para para que que validen validen datos datos de de Riesgos Riesgos y y Controles. Controles.

Con Con toda toda la la informacin informacin se se elabora elabora el Mapa Mapa de Riesgos Riesgos

El El CEO CEO marca marca para para cada cada uno uno de de los los 4 4 objetivos objetivos de de COSO COSO el el Nivel Nivel aceptado aceptado de de Riesgo Riesgo

19

Mapa de Riesgos.- sin identificar apetito al riesgo

Ejemplo no real de Riesgos: E Competencia O Flexibilidad al cambio R- Comunicacin interna C Regulacin.

20

Mapas de Riesgos.- con indicacin de apetito al riesgo.

21

Objetivos Riesgos Controles

C O N T R O L

RENTABILIDAD CREACIN DE VALOR PARA EL ACCIONISTA CUOTA DE MERCADO MEJORA DE LA CALIDAD DEL SERVICIO PRODUCTIVIDA D
22

RIESGOS PRINCIPALES DE LAS EMPRESAS DE TELECOMUNICACIONES

Satisfaccin del cliente Liderazgo Recursos Humanos Eficiencia Desarrollo de productos Fijacin de precios Competencia Regulacin Planificacin Estratgica Infraestructuras Imagen Obsolescencia Facturacin/Perdida Ingresos

Auditora Interna en la gestin y control de riesgos

Definicin de Auditora Interna:
La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos, aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno.

Normas Internacionales para el ejercicio profesional de la Auditora Interna:

2120 Control.- La actividad de auditora interna debe ayudar a la organizacin en el mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y eficiencia de los mismos y promoviendo su mejora continua.

2110 Gestin de Riesgos.- La actividad de auditora interna debe ayudar a la organizacin mediante la identificacin y evaluacin de las exposiciones significativas a los riesgos, y la contribucin a la mejora de los sistemas de gestin de riesgos y control.

23

Auditora Interna en la gestin y control de riesgos

2110. A1 La actividad de auditora interna debe supervisar y evaluar la eficacia del sistema de gestin de riesgos de la organizacin. 2110. A2 La actividad de auditora interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de informacin de la organizacin, con relacin a lo siguiente: Fiabilidad e integridad de la informacin financiera y operativa; Eficacia y eficiencia de las operaciones; Proteccin de activos, y Cumplimiento de leyes, regulaciones y contratos. 2110. C1 Durante los trabajos de consultora, los auditores internos deben considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a la existencia de otros riesgos significativos. 2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultora en el proceso de identificacin y evaluacin de las exposiciones a riesgos significativos en la organizacin.

24

El Rol de la Auditora Interna en la Gestin de Riesgo Empresarial

El Institute of Internal Auditors (IIA), ha publicado un documento sobre su posicin sobre el Rol de la Auditora Interna en la Gestin de Riesgo Empresarial. El documento sugiere formas para que los auditores internos mantengan la objetividad e independencia requerida por las Normas cuando provean servicios de aseguramiento y consulta.

El rol fundamental de la auditora interna respecto al ERM es proveer aseguramiento objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una organizacin, para ayudar a asegurar que los riesgos claves de negocio estn siendo gestionados apropiadamente y que el sistema de control interno esta siendo operado efectivamente.

El Instituto enfatiza que las organizaciones deben entender completamente que la gerencia mantiene la responsabilidad de la gestin de riesgo. Los auditores internos deben proveer consejo, y motivar las decisiones gerenciales sobre riesgos, en vez de realizar decisiones sobre gestin de riesgo.

25

Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA

26