COSO II – ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers
TEMARIO DE LA SESIÓN
• Introducción a COSO II – ERM • Enterprise Risk Management – Premisas fundamentales – Preguntas claves respecto a ERM –¿Qué es Enterprise Risk Management? – Beneficio de ERM – Componentes claves de ERM – ERM y otras prácticas de gestión y control de riesgos
• Roles y responsabilidades – El rol de Auditor Interno • Conclusión 3 &
1
Introducción a COSO II - ERM • El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission. • En 1992, publicó un informe denominado Internal Control – Integrated Framework (IC-IF), conocido también como COSO I. • Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América.
Introducción a COSO II - ERM • Debido al aumento de preocupación por la administración de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos. • El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos.
2
Introducción a COSO II - ERM • En septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos. • Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework.
Introducción a COSO II - ERM Estructura del proyecto COSO
COSO Grupo Asesor
• Compañías y Otras Organizaciones • Miembros de la organización COSO • Compañías medianas • Grandes Compañías • Industrias Asociadas • Entidades gubernamentales y entidades sin fines de lucro
PricewaterhouseCoopers Equipo de Proyecto
Otros Involucrados Importantes Academia Asociaciones Profesionales Profesionales de administración de riesgos Abogados Reguladores Otros reguladores de industria
3
Introducción a COSO II - ERM El estándar COSO II – ERM, delinea los principios de administración de riesgo El marco conceptual proporciona: – Una definición de Enterprise Risk Management – Los principios y componentes críticos de un efectivo proceso de Enterprise risk management – Dirección para que las organizaciones lo utilicen en la determinación de como mejorar su administración de riesgo – Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita.
Introducción a COSO II - ERM El estándar COSO II – ERM, delinea los principios de administración de riesgo También proporciona aplicaciones técnicas: – Ilustraciones de como los principios críticos pueden ser observados en una organización. – Una perspectiva de un proceso de implementación. – Ilustraciones que consideran una variedad de organizaciones, en cuanto a tamaño, Estrategia, Industria y Complejidad
4
Introducción a COSO II - ERM COSO II – ERM, 4 categorías de objetivos, 8 componentes y de alcance corporativo. Alineado con
Los objetivos pueden ser vistos en el contexto de cuatro categorías
Qué Ocho componentes interrelacionados
Dónde Considera las actividades de todos los niveles de la organización
Premisas fundamentales • La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para “crear valor a sus grupos de interés”. • No obstante, todas las organizaciones encaran incertidumbre…, el desafío para la administración es determinar cuanta incertidumbre esta preparada para aceptar en la búsqueda de aumentar el valor de los grupos de interés.
5
Premisas fundamentales • Las incertidumbre proviene tanto del entorno como de las decisiones dentro de la organización (fuentes internas y externas) y esta se puede presentar como riesgo y oportunidad, con el potencial de destruir o generar valor. • La administración de riesgos corporativos permite a la administración manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor.
Premisas fundamentales En una forma gráfica…
Stakeholders Riesgo
Factores externos Objetivos (creación de valor)
Negocio
Factores internos
Impacto negativo sobre objetivos
Incertidumbre
Eventos Impacto positivo sobre objetivos Oportunidad
6
Preguntas claves respecto a ERM • ¿Cuales son los principales riesgos que afectan a nuestra organización? • ¿Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. ¿Esta es comunicada y conocida? • ¿Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización?
Preguntas claves respecto a ERM • ¿Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo? • ¿Cómo identificamos, evaluamos, monitoreamos nuestros riesgos?
comunicamos
y
• ¿Nuestras personas entienden su rol como parte de la administración de riesgos? • ¿Quién asegura que el proceso de gestión de riesgo se efectúe correctamente?
7
¿Qué es Enterprise Risk Management? "La administración de riesgos corporativos es un proceso efectuado por el directorio, administración y las personas de la organización, es aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización". Enterprise risk management – Integrated Framework COSO II 29 de septiembre de 2004
¿Qué es Enterprise Risk Management? • Proceso continuo – es un medio para un fin, no un fin en si mismo •
Efectuado por el personal en todos sus niveles (No sólo políticas)
•
Aplicado en la definición de la estrategia
•
Aplicado en toda la organización – en cada nivel y unidad
•
Diseñado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo
•
Provee seguridad razonable…logro de los objetivos – estratégicos, operacionales, presentación de reporte y cumplimiento.
8
Beneficios de ERM • Alinear el apetito al riesgo con la estrategia. •
Relacionar crecimiento, riesgo y retorno.
•
Mejorar las decisiones de respuesta al riesgo.
•
Reducir sorpresas y pérdidas operacionales.
•
Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado.
•
Aprovechar las oportunidades.
•
Mejorar la asignación de capital.
Componentes claves de ERM Entorno Interno
Definición y comprensión de objetivos Identificación de eventos
Actividades Primarias de la Gestión de Riesgos
Valoración del riesgo
Dirección y Soporte
Respuesta al riesgo
Actividades de control
Información y comunicación
Monitoreo
9
Componentes claves de ERM Definición y comprensión de objetivos
• Estratégico • Operacionales • Reporte • Cumplimiento
Fuente Externa • Económicos • Negocio • Tecnológicos • Políticos • Sociales
Identificación de eventos
Actividades Primarias de la Gestión de Riesgos
Entorno Interno
Fuente Interna • Proceso • Personas • Sistemas • Infraestructura
• Técnicas cualitativas • Técnicas cuantitativas
Valoración del riesgo
Actividades de control
Dirección y Soporte
Información y comunicación • Identificación y capturación de datos • Datos internos y externos • Datos históricos • Esquemas de reporte
• Evitar • Reducir • Compartir • Aceptar
Respuesta al riesgo
• Filosofía Administración de riesgo • Apetito al riesgo • Supervisión de Directorio • Integridad, valores éticos y competencia del personal • Autoridad, roles y responsabilidades y estructura.
• Políticas y procedimientos • Preventivos • Detectivios • Correctivos • Manuales • Automáticos
Monitoreo
• Actividades continuas (KRI). • Actividades esporádicas
Componentes claves de ERM Estrategia Estrategia
Dirección
Política
Qué hará la organización acerca de sus riesgos (políticas) y la responsabilidad de gestión de los mismos.
Identificar
Actividades Primarias de la Gestión de Riesgos
Reportar
Procesos
Proceso de Analizar Administración de Riesgos
Monitorear
Cómo la organización gestionará riesgos, procedimientos, prácticas y herramientas
Responder
Arquitectura Estructura Organizacional Medición del desempeño
Mecanismos de recursos humanos Educación en Gestión
Comunicaciones
Aseguramiento
Qué personas, comités, foros y técnicas son necesarias para apoyar, promover y conducir la gestión del riesgo a través de la organización
Cultura Cultura
Soporte
Cómo la cultura de las organizaciones apoya una conducta apropiada de toma de riesgos
10
ERM y otras prácticas de gestión ERM – Relación con Governance, Risk and Compliance
Definición de objetivos y estrategia, políticas, apetito al riesgo y responsabilidades. Monitoreo del desempeño
Identificación y evaluación de riesgos que pueden afectar la capacidad de lograr los objetivos y determinar las estrategias de respuesta al riesgo y actividades de control
Operación de acuerdo con los objetivos y asegurando adherencia con las leyes y regulaciones, políticas internas, procedimientos y los compromisos de los stakeholders
ERM y otras prácticas de gestión COSO II – ERM, Basilea II y Solvencia II
• Estipular cargos de capital que motiven a los bancos hacia el desarrollo de modelos cualitativos y cuantitativos de administración del riesgo • Crear un marco de supervisión que motive el desarrollo de mejores prácticas • Requerir a los bancos la apertura de información en detalle de su estructura de capital y exposiciones de riesgo
11
ERM y otras prácticas de gestión COSO II – ERM y Sarbanes - Oxley – La Ley Sarbanes Oxley estableció un nuevo paradigma de responsabilidad de las empresas. Definió claramente las responsabilidades del Comité de Auditoría, del Director General (CEO) y del Director Financiero (CFO) en niveles superiores a los del pasado. Creó un nuevo estándar para las compañías en relación con la presentación de información, de la eficacia de los controles internos y eliminó los obstáculos para el diseño, documentación y operación de controles internos.
Los buenos controles internos han dejado de ser únicamente una mejor práctica.....… ¡Son Ley!
Roles y responsabilidades y Todas las personas en una entidad tienen alguna responsabilidad en la administración del riesgo. y El CEO es responsable en general y debe asumir su función. y El resto de los gerentes o altos ejecutivos deben soportar la filosofía de riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el efectivo funcionamiento de los componentes de la administración del riesgo dentro de su esfera de responsabilidad consistentemente con la cultura de riesgos y El personal es responsable por ejecutar sus actividades de acuerdo con las directivas y protocolos previstos de riesgo. y La Junta Directiva provee un significativo seguimiento de la administración del riesgo. y Externos proveen información para la administración del riesgo. y Las partes externas no son responsables por la efectividad de la administración del riesgo.
12
Roles y responsabilidades
Otras partes involucradas
Responsables
• • • • •
Comité Ejecutivo Comités Delegados Gerentes Auditores Internos Personal
• Auditores Externos • Reguladores • Asociados con la valoración del riesgo y el control interno
Outsourcing
Roles y responsabilidades Junta Directiva
Comité de Auditoría
Aprueba y aloca recursos
Riesgos Definiciones - Políticas - Reportes - Cuantificación
1
Responsable
Unidades de Negocio Auto-evaluaciones •Implementa cambios •Reporta internamente y a riesgos
2
Coordinación y Monitoreo
Riesgo Operacional Areas soporte Monitoreo de auto-evaluaciones • Análisis de indicadores • Control planes • Reportes
3
Aseguramiento
Auditoría Interna • Evalúa el proceso • Revisa las auto-evaluaciones • Pruebas de controles
13
Roles y responsabilidades
Junta Directiva
y Conoce claramente el proceso de administración del riesgo implementado y hasta qué punto el mismo es efectivo y Identifica que el proceso está en línea con el apetito al riesgo y Compara el portafolio de riesgos con el apetito al mismo y Es informado de los principales riesgos y sus respuestas y aprueba las mismas y Delega funciones (las responsabilidades no se delegan) en diversos Comités (ALCO, Créditos, Riesgos, Auditoría, Compensaciones, Riesgo Operacional, etc.)
Roles y responsabilidades
Administración
y Responsable por todas las actividades de la organización y En el caso del CEO, su mayor responsabilidad es establecer el ambiente interno y También provee liderazgo y dirección a los gerentes y así se crean los valores de la organización y Definen los objetivos estratégicos y la estrategia y Desarrollan el apetito al riesgo y su tolerancia y Definen la estructura organizacional y Analizan las respuestas al riesgo y Monitorean a través del CRO la eficacia del proceso de administración del riesgo
14
Roles y responsabilidades
Risk Officer
y Trabaja con los otros gerentes para establecer un proceso de administración del riesgo y La autoridad y reporte es al CEO, puede integrar subsidiarias y Algunas empresas le asignan la función al CFO, Director de Auditoría o Director de Cumplimiento. y Desarrolla las políticas y Define roles y responsabilidades y Asignación de resultados y capitales y Asiste a toda la entidad y provee modelos de gestión de riesgo y cuantificación y Guía la integración de los riesgos y Establece un lenguaje común y Monitorea el grado de riesgo asumido por los diversos negocios y Reporta y Sugiere acciones correctivas
Roles y responsabilidades
•
CFO • • •
Sus actividades cruzan todas las áreas de la organización Desarrollan presupuestos y planes y monitorean su desempeño (operaciones, reporte y monitoreo) Responsable por los estados financieros y sus procesos de control y reporte al exterior Su jerarquía no puede ser minimizada por los sectores de negocios (deberá interpretar las reglas del juego y estrategias y decidir sobre la metodología de contabilización y reporte)
15
Roles y responsabilidades •
Auditoría Interna
•
•
•
• •
Evalúan la efectividad y sugieren mejoras sobre el proceso de administración del riesgo Los estándares establecidos por el Institute of Internal Auditors especifican que el alcance de sus tareas incluye la evaluación del proceso de administración del riesgo y del control interno Estas tareas incluyen, la evaluación del repote, la revisión de la efectividad y eficiencia de las operaciones, salvaguarda de activos y cumplimiento de normativas No es su responsabilidad primaria establecer y mantener el proceso de administración del riesgo (CEO) Debe asistir a la gerencia y al Comité de Auditoría a monitorear, examinar y evaluar el proceso Sin embargo debe mantener su objetividad
Roles y responsabilidades Auditoría Interna
16
Roles y responsabilidades •
Personal
•
•
•
Auditores Externos
• • •
La administración del riesgo es parte de responsabilidades de todos los empleados Esto debe ser comunicado muy efectivamente….
las
Deben proveer a la gerencia y al Comité Ejecutivo una visión única, independiente y objetiva que contribuya al logro de los objetivos de reporte financiero externo El Auditor puede firmar un balance limpio y la administración del riesgo y el control interno no ser adecuados Sus funciones se refieren a los estados financieros…. Para emitir dicha opinión deberá hacer los ajustes necesarios e invertir más tiempo en sus revisiones Su valor se observa en los hallazgos de auditoría y recomendaciones
Roles y responsabilidades
Reguladores
• •
Requisitos de control interno y respuesta al riesgo Revisiones in-situ y extra-situ
Otras partes
• • • • • •
Clientes Vendors Outsourcers Analistas financieros Agencias de Rating Medios de comunicación
17
Conclusión Riesgo es la posibilidad de que un evento futuro incierto ocurra y afecte el logro de los objetivos estratégicos, operativos y/o financieros de la organización
ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización. PROCESO DE GESTION DE RIESGOS
Reducir las “Amenazas”
identificar
reportar
Valor para stakeholders
Manejar la “Incertidumbre” analizar
Explotar la “Oportunidad”
monitorear
responder
Conclusión - ERM Tradicional (Gestión por silos) Legal Seguridad IT
EHS Auditoría Interna
Seguridad Física Seguros
BCP
Riesgo
• Coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos. • Permitir un rápido entendimiento de los riesgos de las iniciativas de negocios. • Alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones • Procesos organizacionales consistentes • Herramientas de gestión de riesgo de alto nivel. • Enfoque en los riesgos que tienen mayor probabilidad de impactar en el valor de los accionistas.
Riesgo Riesgo
Riesgo
ERM (Portfolio de riesgo)
Transformación
Ingresos
Riesgo
Riesgo Riesgo
Seguridad Costos
Global RM
Seguridad IT
Auditoría Interna
ERM
EHS Legal
Legal
BCP
Seguridad Fisica
Estrategia de Riesgo Y Marco Riesgo 1
Proceso RM
Riesgo 2
Evaluar riesgo
Herramientas de Gestión de Riesgo
Tratar riesgo
Fuentes de Conocimiento
Monitorear y Reportar
RiskWeb
Riesgo 3 Riesgo 4 Riesgo 5 Riesgo 6
Proceso de Gestión de Riesgo Medición y reporte
18
Rafael Ruano Diez rafael.ruano@cl.pwc.com
19