Beruflich Dokumente
Kultur Dokumente
Ahora bien:
Módulo I
Ayer Hoy
Pronunciamiento del IIA s/ la Gestión de Riesgos.
…/…
Pero también en los Consejos para la Práctica (I de II)
…/:..
Pero también en los Consejos para la Práctica (II de II)
“La gestión del riesgo es un proceso iterativo que consta de pasos bien
definidos que, tomados en secuencia, apoyan una mejor toma de
decisiones mediante su contribución a una mayor profundización en los
riesgos y sus impactos.
Entorno de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Supervisión.
Objetivo Nuevo
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
25
COSO II. Conceptos adicionales
Se incluyeron :
Ambiente Interno
Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivos
Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientos
Acontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías de
Acontecimientos – Riesgos y oportunidades
Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
Componentes de COSO II ( 2)
Actividades de control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – Controles
Específicos de la entidad
Información y comunicación
Información - Comunicación
Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
En cualquier caso. Premisas fundamentales:
• La principal es que todas las entidades, con o sin fines de lucro, existen
para “crear valor a sus grupos de interés”.
ES UN TRABAJO DE EQUIPO
Conceptos a manejar:
Riesgo.
Mapa de riesgos.
Costes vs beneficios.
¿Qué es un riesgo?
EVALUACIÓN RIESGO:
RIESGO TOLERABLE 2 y 1
RIESGO MODERADO 3 y 4
RIESGO ALTO 6
RIESGO CRÍTICO 9
Actualización COSO año 2013.
Las modificaciones más significativas.
1. Entorno de Control
• La Organización debe demostrar compromiso con la integridad y los valores Éticos.
• El Consejo de Administración demostrará independencia en la gestión y ejercerá la supervisión en el
desarrollo y ejecución del control interno.
• La Alta Dirección establece, con la supervisión del Consejo de Administración, la estructura, líneas de
reporting, autoridad y responsabilidad en la consecución de objetivos.
• En alineación con los objetivos, la Organización debe demostrar compromiso para atraer, desarrollar, y
retener personas competentes.
• En la consecución de objetivos, la Organización tiene personas responsables para atender sus
responsabilidades de control interno.
2. Evaluación de Riesgos
• La Organización debe especificar los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.
• La Organización identifica y evalúa riesgos.
• La Organización gestiona el riesgo de fraude.
• La Organización identifica y evalúa cambios importantes que podrían impactar al sistema de control
interno.
17 Principios (2/2)
3. Actividades de Control
• La Organización selecciona y desarrolla actividades de control que contribuyan a la
mitigación de los riesgos para el logro de objetivos.
• La Organización selecciona y desarrolla Controles Generales sobre Tecnología.
• La Organización implementa a las actividades de control a través de políticas y
procedimientos.
4. Información y Comunicación
• La Organización genera información relevante, para respaldar el funcionamiento de los
otros componentes de Control Interno.
• La Organización comunica internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el funcionamiento de
los otros componentes de Control Interno.
• La Organización se comunica externamente en relación con las materias que afectan al
funcionamiento de los otros componentes de Control Interno.
5. Actividades de Monitorización
• La Organización lleva a cabo evaluaciones continuas e individuales, con el fin de
comprobar si los componentes del control interno están presentes y están funcionando.
• La Organización evalúa y comunica las deficiencias de control interno.
Dos nuevos criterios de evaluación:
La vulnerabilidad:
Fuga de
Hacking Sabotaje Suplantación Fraude Información Robos Error Humano
Amenazas Riesgos
Técnicos Cortes de Energía
Eléctrica
Error procesos
Error de Supervisión Riesgos
Control Interno
Error de Monitoreo
Riesgos Sismos
naturales Rayos
Inundación
Riesgos de
accidentes
FUENTE DE RIESGO
Conceptos básicos:
ACTUCIONES
PUNTO DE CONTROL
ACTUACIONES
PUNTO DE CONTROL
COSTO Perspectivas de Control
Momento de aplicarlos
Finalizado el proceso
Durante el proceso
¿Qué tipo de control sería este?
Efectivamente:
IMPACTO
Resultado de su interrelación:
Representación gráfica. Mapas de riesgo o calor:
Pero dejemos hablar a Mafalda .
Poblaciones de riesgo:
La vulnerabilidad conduce a
una mayor probabilidad de
que se materialice el riesgo
Pero dejemos hablar a Mafalda.
e) Etcétera, etcétera,….
3. Racionalizando la documentación.
Dependerá de lo que me
apetezca y del apetito que
tenga en ese momento.
Seleccionemos lo importante.
Gestión de Tesorería
Nóminas
Política de descuentos
Etcétera
No sería esto.
Sino esto
“Hoja de ruta” para la implantación ERM (I de II)
Modelo de riesgos empleado por una gran multinacional española (53 riesgos)
Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P
Procesos Corporativos
Procesos Operativos
6.
6 Gestión de Recursos Humanos
.
7.
7 Gestión de la tecnología y la información
.
8.
8 Gestión recursos financieros
.
9.
9 Información financiera --contable y fiscal
.
10.
10 Gestión de riesgos específicos y apoyo
.
85
Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P
PROCESOS OP ERATIVOS
3. COM PRA DE PRODUCTOS Y 4. PRODUCCIÓN Y 5. FACTURACIÓN
1.DESARROLLO DE LA 2. COM ERCIALIZACIÓN SERVICIOS, INVERSION ALM ACENAJ E Y CUENTAS
ESTRAT EGIA Y VENTAS Y CUENTAS A PAGAR A COBRAR
CORPORATIVA
1.1 C onfigur ación Grupo 2.1 Estrategia 3.1 Aprovisionamiento de 4.1 Fabricación/Obtención 5. 1 Facturación
y definición C omercialización productos y servicios de productos y servicios
perímetr o societario y Ventas ( Mar keting) 5. 2 C uentas a C obrar
3.2 Proceso Inversor 4.2 D istribución de productos
1.2 D efinición de la 2.2 Desarrollo, prueba
estrategia del y mejora de 3.3 C uentas a pagar 4.3 Gestión stocks
negocio productos y
ser vici os
86
Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/P
High Risk 1
Medium Risk 1
RIESGOS D E OPERACIONES
High Risk 3
Medium Risk 2
OPERACIONES TECNOLOGIA/ FINANCIEROS
SISTEMAS INFORMACION
Low Risk 3
R IE SGOS
P ROCE SOS Compet en cia P é r dida de S at is f acció n E f ic ie n cia Det er min ació n M edia T ot al
in gr es os de clie n t es de pr oces os
Esquema de Clasificación de Procesos Des ar r ollo de pr oduct os 2,58 1,83 4,00 1,92 2,67 2,60 13,00
adecuados a o
l s clie n t es
Dis eñ o, Con s t r ucció n y 1,83 2,08 2,42 2,50 1,58 2,08 10,41
ges t ió n de Red
5. Producción
Procesos Operativos y entrega Capt ació n de Recur s os 1,42 1,42 1,17 2.67 1,92 1,72 8,60
(Industrias de Fin an cie r os
1.Entender 2. Desarrollo 3. Diseño de Transformación) 7. Facturación
4. Marketing Fact ur ació n 1,50 4,00 2,42 1,67 2,00 2,32 11,59
Mercado y de la Productos y y Servicio al
y Venta
Clientes Estrategia Servicios 6. Producción Cliente
y entrega I mpla n t ació n y ges t ió n 1,92 3,00 1,75 2,67 1,67 2,20 11,01
(Industrias de s is t emas de n
i f or mació n
Procesos de Gestión y Soporte Servicios)
Alia n zas y acuer dos de 3,67 1,08 2,33 1,42 2,58 2,22 11,08
Basta que todos los ejecutivos les puntúen por su importancia, para ello
deben marcarse los factores sobre los que opinar: Económicos, Legales,
Reputacionales, Medioambiente, ….
Proceso Logístico
Proceso de Subcontratación
Proceso Facturación
Proceso de postventa.
Etcétera
Averías mecánicas,
Inclemencias,
• Duración proceso productivo
Huelgas,
• Continuidad del negocio
Atascos, …
Proceso de • Subcontratación
Logística • Fraudes
• Calidad del servicio
• Facturación/ Perdida de ingresos
PROBABILIDAD:
IMPACTO/SEVERIDAD:
a) Económicos.
b) Reputacionales.
c) Laborales.
e) Medioambientales.
FACTORES DE
RIESGO RIESGOS EFECTOS
PROBABILIDAD
OCURRENCIA IMPACTO o SEVERIDAD
Hoja de Ruta. Punto 12.
Valoración de los Riesgos. Impacto (Continuación)
Efectos Económicos
Efectos Reputacionales
Efectos Medioambientales .
Efectos Informativos
99
Desarrollo de la Hoja de Ruta. Punto 14 y 15
Adecuación del riesgo residual al “apetito al riesgo” . Medidas correctoras.
Recordemos:
Aceptarlos
Compartirlos
Reducirlos
Rechazarlos
Todas estas medidas tienen coste, que deberá ser evaluado y comparado
con los riesgos que eliminan, que es lo que debemos comparar.
Controles, forma de modificar los riesgos residuales
PROBABILIDAD
0% 25% 50 % 75 % 100 %
I
m
p Riesgo residual Riesgo inherente
a
c
t
o Apetitoresidua
Riesgo al
Riesgo 105
Probabilidad
Decidir, si proceden, nuevas acciones correctoras.
Punto 17
* Suscribir una póliza de seguros por los posibles daños. Solo sobre
el impacto
Dado que el proceso ERM es uno de los más relevantes en las organizaciones,
debe ser susceptible de supervisión, midiendo su eficacia, y opinando sobre el
nivel alcanzado, proponiendo recomendaciones, cuando proceda.
A
B ANALISIS DE AUDITORIA INTERNA:
SELECCIÓN PROCESOS PRIORITARIOS
B
SOLICITUDES
EVALUACIONES DE RIESGOS MAPAS DE RIESGOS GLOBAL
ALTA DIRECCIÓN Y
IDENTIFICACIÓN CONTROLES REQUISITOS REGULADOR
GERENCIAS
RESULTADOS AUDITORIAS PREVIAS OTROS STAKEHOLDERS
DATOS DE LOS INDICADORES
B B
Requerimientos Coordinación con Auditores
Comisión de MAPA DE RIESGOS DE Externos y otros
Auditoría AUDITORÍA Proveedores de
aseguramiento
PRESENCIAL / DISTANCIA
Ni son todos los que están, ni están todos los que son:
En este contexto Auditoría Interna:
Incidir en lo importante
19 100% 19
32 80% 26
60 50% 30
25 33% 8
5º) Identificando las acciones correctoras definidas por los gestores para
reconducir riesgos residuales hacia la zona de tolerancia.
…………………………………………………………………………………………
6º) Identificación de los procesos con mayor relación con los objetivos
estratégicos de la organización.
.
Por dónde debemos empezar (II de III)
Procesos operativos
Mecanización y deslocalización.*
Domiciliaciones bancarias.
Comercialización y ventas
Desempeño de la actividad
Logística distribución
Aplicación práctica del proceso de planificación anual
El proceso sigue siendo crítico, pero los riesgos que le afectan han
pasado a ser:
Fase 9º. Confección del mapa de riesgos residuales según Aud. Interna.
Mapa riesgos s/Auditoría Inter . Mapa riesgos s/gestores
Aplicación práctica del proceso de planificación anual
Total.......................100%
Aplicación práctica del proceso de planificación anual
Fase 10ª. Definir las ponderaciones de los items a considerar. Ejemplo
Variable 1: MAPA DE RIESGOS PESO Variable 6: EXISTENCIA DE PROCEDIMIENTOS PESO
INDICE CRITICIDAD VALOR 5%
< 61,22 1
VALOR 10%
61,22 - 64,16 2 SI 1
64,16 - 67,09 3
NO 4
> 67,09 4
Pero sin olvidar incluir, e identificar, las acciones que serán realizadas por
“los otros proveedores de aseguramiento” que vayamos a aprovechar.
El resultado “final”
Es “La metodología que une las auditorías internas con el marco general
de la gestión de riesgo de una organización, permitiendo a la auditoría
interna ofrecer garantías al Directorio de que los procesos de gestión de
riesgos son efectivamente aplicados en relación con el apetito al riesgo”.
Centrándonos en lo importante.
• Medios adecuados
• Conocimientos apropiados
a) Auditorías a distancia.
b) Auditorías continuas.
Técnicas basadas en prácticas cotidianas
Monitoreo continuado:
29,2%
70,8%
Incluyen No incluyen
Disminución
Ingresos
Pérdida
de
Clientes
Precios
no
Competitivos
Costes
Elevados
Gestión de
compras KRI = Nº oferentes por adjudicación
Ineficiente
Dos formas de aplicarse
Serie histórica
Incidencia
Datos ejercicio
Auditoría a distancia vs continua
De los KRI´s a las auditorías
8. Proponer recomendaciones.
Aplicación en las auditorías financieras
Fondos de Comercio
Cartera de Valores Avales y Garantías
Provisiones Derivados
Gastos Litigios y Otras
Ingresos Contingencias
Insolvencias Créditos Fiscales
Amortización y otras depreciaciones Gastos e Ingresos
Extraordinarios
Préstamos a filiales y asociadas
Operaciones intragrupo
Esquema de aplicación
Actualización
Otras
tablas
Análisis
Cierre trimestral
Determinación
CUADRO DE IMPLANTACIÓN DE PROTOCOLOS
TRIMESTRE N-1
origen
PERIODO (1)
Obtención incidencias
UNIDAD DE AUDITORÍA FONDO DE COMERCIO (3)
CARTERA DE VALORES
PERIODO PROVISIONES GASTO/INVERSIÓN (1)
PROVISIONES INGRESOS
Sociedad A Sociedad B Sociedad C Sociedad D (2)
PROVISIONES INSOLVENCIAS
desviaciones
AMORTIZACIONES Y OTRAS DEPRECIACIONES
FONDO DE COMERCIO (3)
PRESTAMOS A FILIALES Y ASOCIADAS
CARTERA DE VALORES
PROVISIONES GASTO/INVERSIÓN
OPERACIONES INTRAGRUPO
PROVISIONES INGRESOS AVALES Y GARANTÍAS
datos
PROVISIONES INSOLVENCIAS
DERIVADOS
AMORTIZACIONES Y OTRAS DEPRECIACIONES
potenciales
LITIGIOS Y OTRAS CONTINGENCIAS
PRESTAMOS A FILIALES Y ASOCIADAS
CRÉDITOS FISCALES
OPERACIONES INTRAGRUPO
AVALES Y GARANTÍAS GASTOS E INGRESOS FINANCIEROS
DERIVADOS MISCELÁNEA
LITIGIOS Y OTRAS CONTINGENCIAS
CONTROL OPERACIONES RELEVANTES
de indicadores
CRÉDITOS FISCALES AJUSTES DE TEMAS RELEVANTES
GASTOS E INGRESOS FINANCIEROS
CONSOLIDACIÓN
MISCELÁNEA
CONTROL OPERACIONES RELEVANTES
(1) Indicar el trimestre y año del periodo sobre el que se informa
AJUSTES DE TEMAS RELEVANTES
CONSOLIDACIÓN (2) Indicar todas las sociedades del ámbito de actuación de la Unidad e Auditoría
(3) Indicar SI, NO, No aplicable. En estos dos últimos casos se debe explicar el motivo
(1) Indicar el trimestre y año del periodo sobre el que se informa
(2) Indicar todas las sociedades del ámbito de actuación de la Unidad e Auditoría
(3) Indicar SI, NO, No aplicable. En estos dos últimos casos se debe explicar el motivo
EEFF
Resto
Incidencias
Incidencias
potenciales + reales
1. Obtención de datos
2. Actualización de tablas
¿Significativas?
3. Determinación de
incidencias potenciales SÍ NO
10 15 16 1
PROVEEDOR
VENTANILLA ÚNICA ÁREA GESTORA CONTROL DE PAGOS TESORERÍA
Facturas 11 9 8 Programa de
recibidas / Aprobación y Validación pagos
Facturas masivas Autorización factura
12 Telesap 12 24
11'
9 12
límites, Control de accesos
Validación de facturas cuyo importe supere el pedido efectuado
Aprobación formal, control de incidencias,
verificación documentación externa
11
Verificación de entrada y proceso de datos
FRACCIONAMIENTO
TRATOS de FAVOR A
DE PEDIDOS
PROVEEDORES:
CONCENTRACIÓN DE
PEDIDOS , PAGOS
ANTICIPADOS ,…
• Nº Pedidos por proveedor con
importe menor a Mesa compras
Importe pedidosabiertos
%PEDIDOS
ABIERTOS X100
Importe total pedidos
Importe facturado
• Pedidos abiertos con fecha de creación > 90 días
%FACTURADO X100
Importe adjudicado
• Pedidos con fecha de entrada de mercancía superior a
90 días desde la fecha de creación Importe entrada demercancía
%CONSUMIDO X100
Importe adjudicado
Riesgos : Reputacional, fraude, corrupción,
eficacia proceso, integridad patrimonial
KRI´s subjetivos: Canales de denuncias