gestión de riesgos corporativos erm

GESTIÓN DE RIESGOS

CORPORATIVOS

ERM

Técnicas de Aplicación según

El COSO

ERM & EL COSO – TÉCNICAS DE APLICACIÓN

¿Qué es COSO-ERM?

¿Cómo inició el concepto Administración de

Riesgos?

¿ Cómo pueden medir los auditores el impacto de

los riesgos?

¿Cómo podemos ayudar a los gerentes a entender

qué son riesgos y controles?

Expectativas

¿QUÉ ES COSO?

• Committee of Sponsoring Organizations of the

Treadway Commission (COSO). Creado en 1985.

• Es una organización del sector privado, dedicada

a mejorar la calidad de los reportes financieros

mediante la ética de negocio, controles internos

eficaces y gobierno corporativo.

•Treadway Commission on Fraudulent Financial

Reporting 1987

•Marco Integrado de Control Interno publicado en

1992

¿POR QUÉ ES IMPORTANTE COSO?

COSO proporciona un marco integral del

control interno y herramientas de evaluación

para sistemas de control

Proporciona una terminolología utilizada

comúnmente y principios usados como guía

para desarrollar una arquitectura efectiva

para la administración de riesgos

Proporciona una visión integral del sistema

de control institucional

¿CÓMO SE INICIÓ ERM?

ERM comenzó en las empresas de servicios

financieros,

seguros, servicios públicos, petróleo, gas, e

industrias manufactureras químicas

¿Por qué ahí?

En estas industrias los riesgos están bien

documentados y

medidos; comúnmente se utilizan

sofisticados modelos

estadísticos; existe entendimiento y

supervisión sobre

la sensibilidad del mercado y riesgos

¿CÓMO SE INICIÓ ERM?

• Los Auditores Internos utilizan ERM porque

La metodología tradicional de muestreo usualmente no es suficiente

para obtener los resultados deseados

La metodología tradicional es a menudo ineficaz y costosa

El enfoque cambió de auditoría basada en control

Se enfoca en el riesgo para determinar qué es importante y

seleccionar la muestra de control

La auditoría “basada en riesgo” es ahora la norma del IIA

• Control Interno – Marco Integral

Efectividad y eficacia de las operaciones

Confiabilidad en los reportes financieros

Cumplimiento con las leyes y reglamentos aplicables

• El nuevo marco COSO descansa en los primeros conceptos

de control interno y refleja lo valioso de ERM

CONCEPTOS CLAVE SOBRE ERM

Todas las entidades existen para darle valor a sus

accionistas

Todas las entidades enfrentan la incertidumbre, por

lo tanto, ¿cuánta es aceptable?

La incertidumbre puede ser un riesgo o una

oportunidad

ERM no se refiere a controles, se refiere a

desempeño

VALOR

El valor es creado, preservado o erosionado por las

decisiones de la Dirección.

Diariamente la Dirección toma decisiones sobre

estrategias y operaciones.

Las organizaciones agregan valor cuando se derivan

beneficios que satisface a:

- Accionistas

- Clientes o usuarios

- Gobierno

Aplicación de recursos (gente, capital, tecnología, nombre

comercial) a modo que los beneficios sean mayores que

los recursos utilizados.

VALOR

Ampliar y preservar la calidad, capacidad,

satisfacción del cliente.

Equilibrio entre crecimiento, riesgo y

retorno basados en objetivos y estrategias

Más que el valor financiero o económico.

INCERTIDUMBRE

Globalización, tecnología, reglamentos,

reestructuración, fusiones, adquisiciones,

mercados cambiantes, competencia.

No se puede determinar con precisión la

probabilidad de que ocurrirán eventos

potenciales y sus resultados.

¿Qué es Riesgo?

RIESGO - OPORTUNIDAD

Riesgo es la posibilidad de ocurrencia de un evento

que pudiera afectar adversamente el logro de

objetivos.

Ninguna entidad opera en un ambiente libre de

riesgos.

Existe también el riesgo de que no se aproveche la

ventaja de una oportunidad.

RIESGO-REGLAMENTACIÓN

Comercio doméstico e Internacional

Financieras, tanto públicas como privadas

(incluyendo leyes sobre valores)

Relaciones laborales, incluyendo contrataciones,

compensaciones y beneficios, sindicatos,

condiciones de trabajo, igualdad de

oportunidades y liquidación

Medio ambiente (agua, aire y materiales

peligrosos)

Impuestos (sobre: utilidades, propiedades,

activos, ventas, valor agregado, etc.)

Bancarrotas

RIESGO-CULTURA

Profundamente arraigada e influye en la dinámica organizacional

Ética de trabajo

Perspectiva de relaciones jerárquicas

Educación

Perspectiva sobre ética incluyendo:

• Nepotismo

• Cohechos o mordidas

• Fraude

DEFINICIÓN DE ERM

La Administración de Riesgo Empresarial es un

proceso, realizado por el consejo directivo de una

entidad, la administración y otro personal, aplicado

en el establecimiento de estrategias para toda la

empresa, diseñada para identificar eventos

potenciales que puedan afectar a la entidad, y

administrar los riesgos para mantenerse dentro de

su propensión al riesgo y proporcionar una

seguridad razonable referente al logro de objetivos.

DEFINICIONES

La administración de riesgos

empresariales es un proceso, ejecutado

por el consejo directivo, la

administración y otro personal de una

entidad, aplicado en el

establecimiento de estrategias en toda la

empresa, designado para identificar

eventos potenciales que pudieran

afectar a la entidad, y administrar los

riesgos para mantenerlos dentro de su

propensión al riesgo, proporcionar

seguridad razonable referente al logro

de objetivos .

Control Interno es un proceso, ejecutado

por el consejo directivo, la administración y

otro personal de una entidad, designado

para proporcionar seguridad razonable

referente al logro de objetivos en las

siguientes categorías:

• Efectividad y eficacia de las operaciones

• Confiabilidad en los reportes financieros

• Cumplimiento con las leyes y reglamentos

aplicables

Control InternoAdministración de

Riesgos Empresariales

QUÉ NO ES ERM

Una herramienta para la toma de decisiones

Una técnica de clasificación para dar

seguimiento a controles internos

El único seguro al respecto

El trabajo de unos cuantos

MARCO COSO MARCO COSO ERM

Supervisión

Información y

Comunicación

Actividades

de Control

Evaluación

del Riesgo

Ambiente

de Control

Ambiente Interno

Identificación de Eventos

Evaluación del Riesgo

Respuesta al Riesgo

Establecer Objetivos

Actividades de Control

Información y Comunicación

Supervisión

¿QUÉ HA CAMBIADO?

AMBIENTE INTERNO

Filosofía

Admon.RiesgoPropensión

al Riesgo

Cultura

Riesgo

Consejo

Admón.

Integridad y

Valores Éticos

Compentencia

Personal

•Valor

•Comun.

Palabra/Acc

•Valor

•Cuantitativo

•Cualitativo

•Vinculado a

estrategia

•Independen-

cia

•Activa

•Involucrada

•Indepen-

dencia.

•Activa

•Involucrada

•Código Cond.

•Prerequisitos

•Ejemplo Dir.

•Incentivos

•Conocimientos

•Habilidades

•Trade Off

Filosofía . Admva.

Y OperacionalEstructura

Orgánica

Asig. Autoridad

y Responsab.

Pol. y Proc

de R.H.

Diferencia

en Ambiente

•Formal Vs Informal

•Conserv. Vs. Agres.

•Alineada

•Lineas Reportes

•Centraliz./ Desc.

•Matriz/Funcional/

Geográfica

•Facultamiento

•Rendición de

cuentas

•Evaluación

•Entrenamiento

•Compensación

•Incentivos y

disciplina

•Preferencias

•Juicios de Valor

•Estilos de

administración

Ambiente Interno

AMBIENTE INTERNO

Fundamento para todos los demás componentes de

ERM

Influye en estrategia y objetivos.

Influye en diseño de actividades de control, sistemas

de información y comunicación, y supervisión de

actividades.

Incluye valores éticos, competencia del personal,

estilo de operación, asignación de autoridad y

responsabilidad, y estructura organizacional.

La Dirección se reconoce responsable de los riesgos

y de ella emana la filosofía y estilo gerencial e integra

y promueve el ERM

Evidencia de la cultura organizacional:

• Acuerdos con sus empleados

• Trato a clientes y a otros externos

• La incidencia de violaciones a leyes y reglamentos

• El tono desde lo alto

• Prudencia financiera

• La calidad de los productos y servicios ofrecidos

• Sus respuestas a las crisis

• Su imagen pública

AMBIENTE INTERNO

Las culturas organizacionales cambian en el transcurso

del tiempo

Jóvenes en su entusiasmo vs compañías más

maduras

Conforme maduran las empresas, sus estructuras de

control interno deben madurar también

Las empresas con dificultades financieras, a menudo

minimizan costos en formas tales que reducen los

controles internos

AMBIENTE INTERNO

Objetivos

EstratégicosObjetivos

Relacionados

Objetivos

Seleccionados

Propensión

al Riesgo

Tolerancia

al Riesgo

•Metas

estratégicas

•Misión/Visión

•Elección de

estrategia

•Operación

•Información

•Cumplimiento

•Salvaguarda

•Alineación y

apoyo

•Decisiones

de la Admón.

•Crecimiento,

riesgo y entorno

•Asig. Recursos

•Gente,

procesos e

Infraestructura

•Variaciones

aceptables

•Métrica de

Medición de

Objetivos.

ESTABLECIMIENTO DE OBJETIVOS

Establecimiento de Objetivos

Deben existir objetivos antes de que la administración pueda identificar eventos que potencialmente afecten su logro.

Alinear misión/visión con objetivos

Tipos: Estratégicos: relacionados con metas de alto nivel

Reportes: confiabilidad en los mecanismos de reportes

Cumplimiento: con leyes y reglamentos aplicables


Aquellos involucrados en el pensamiento estratégico deberían

tener esta información:

- Tendencias económicas generales y en la industria específica

- Desarrollo de nuevos productos y procesos

- Tendencias tecnológicas

- Desarrollos en habilidades clave

- Marcos competitivos de desempeño

- Planes y metas estratégicas internas

- Resultados históricos de desempeño

- Oportunidades para incrementar el potencial de productos o mercados

- Disponibilidad de recursos

- Asuntos regulatorios

- Asuntos ambientales

- Efectos en empleados


RELACIÓN ENTRE MISIÓN, OBJETIVOS,

RIESGO ACEPTADO Y TOLERANCIA…

MisiónSer el fabricante lider de productos de calidad para el hogar en las regiones en que operamos

Objetivos

Estratégicos:

Estar en el cuartil

superior de ventas

del producto a

nuestros

minoristas

Mediciones:

1. Cuota de

mercado

Estrategias:

Expandir la producción de nuestros

5 productos mas vendidos para

responder a la demanda creciente

Otros objetivos relacionados:

•Aumentar producción unidad “X” en

15% prox. 12 meses

•Mantener gastos personal en 22% por

cada unidad monetaria de pedidos

Medición:

•Unidad de producción

•Nro. Empleados contratados

•Calidad productos nivel sigma

Riesgo aceptado:

•Acepta alta tasa

consumo inversiones

capital, personal y

procesos

•Aceptar que la

competencia podria

aumentar depredando

precias por aumentar

cuota meercado.

•No aceptamos una

erosion en la calidad

del producto

Tolerancia al Riesgo

Medición:

•Cuota mcdo,

•Unds prod,

•# empleados contratados,

• calidad prod.

Objetivo:

•Percentil 25,

•150mil unds,

•180 empleados,

•4,0 sigma.

Tolerancias – intervalo Aceptable:

20% - 30%

-7500 / +10000

-15 / +20

4 sigma – 4.5 sigma

Eventos Factores Influy.

Estrat. y Objs.Metodología

y técnicas

Categorías

de Eventos

Riegos y

Oportunidades

•Incidental

•Impacto

positivo y/o

negativo

•Internos

•Externos

•Durante

•Periódico

•Pasado y

Futuro

•Grupos

de riesgo

por

proceso

y/o

función

•Imp. Neg: Riesgo

•Imp. Pos: Oport.

•Disminución del

riesgo

IDENTIFICACIÓN DE EVENTOS

Eventos Inter-

dependientes

•Eventos

precursores

(reacciones en

cadena)

•Interrelacionados



Los acontecimientos internos y externos

que afectan a los objetivos de la entidad

deben ser identificados, diferenciando

entre riesgos y oportunidades. Estas

últimas revierten hacia la estrategia de

la dirección o los procesos para fijar

objetivos.

Mecanismos de Identificación de Eventos

Mecanismo Fact Externos Fact Internos

Procedencia de la Información

Eco

nó

mic

os

Me

dio

am

b

Po

lítico

s

So

cia

les

Tecn

oló

gic

os

Infra

estru

ct

RR

.HH

.

Pro

ce

so

s

Tecn

olo

gía

Conferencias sectoriales / técnicas √ √ √ √ √ √ √ √ √

Sitios web y campañas empresas afines √ √

Grupos de presión política √

Procesos legales competidores √ √ √

Encuentros sobre gestión interna riesgos √ √ √ √

Nuevas decisiones legales √ √ √

Informes en los medios √ √ √ √ √

Informes mensuales de la dirección √ √ √ √

Informes Analistas √ √ √

Riesgo Inherente

y Residual

Probabilidad e

Impacto

Metodologías y

Técnicas Correlación

•Accs. Admvas. Previas

•Accs. Admvas. Post.

•Esperadas e Inesperadas

•Cualitativas

•Cuantitativas

•Secuencia de

eventos

•Categorías

•Escenarios

EVALUACIÓN DE RIESGOS

•Esperadas

•Horizonte de tiempo

•Métrica de medición

•Datos observables

Evaluación de Riesgos


- Condiciones que pueden crear un riesgo adicional

- Diseño u operación inadecuada del control interno

- Metas y planeación fuera de la realidad

- Actividades no autorizadas

- Entendimiento insuficiente de nuevas inversiones,

productos, iniciativas y actividades de negocio

similares

- Acciones correctivas pobremente planeadas o

implementadas

- ¿Se asegura el Consejo o el Comité de Auditoría de que se reportan

los hallazgos relativos a los riesgos?

- ¿El Director Ejecutivo, el Director Financiero y el Director de AI

conocen de la efectividad de los controles internos?

- ¿El Director de Auditoría actúa con independencia y proporciona

reportes útiles y competentes?

- ¿Se reúne periódicamente el Comité de Auditoría con la gerencia

de primer nivel, el Director de Auditoría y los auditores externos?

- ¿Tiene el Consejo por lo menos un experto financiero?


Respuesta al Riesgo

(control interno)

- Considerar los riesgos a largo plazo.

- Riesgo inherente: riesgo para la entidad en ausencia de cualquier

acción realizada por la administración para alterar la

probabilidad o el impacto.

- Riesgo residual: riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto.

Riesgo

Inherente

Riesgo

Residual


1. Tormenta de ideas sobre riesgos y oportunidades

2. Identificar de raíz las causas y las correlaciones

3. La mejor forma es tener sesiones de facilitación

4. Calcular el impacto del riesgo usando la misma medida de los

objetivos

5. Calcular los escenarios mínimo, máximo y probable

6. Preparar un programa de riesgo

7. Priorizar riesgos y oportunidades basados en su valor

ponderado

8. Identificar los riesgos clave que requieren atención estratégica

Tormenta deIdeas

Peso/Cálculo Priorizar


Identificación de

RespuestasEvaluación Posibles

Respuestas

Elección de

RespuestaVisión Integral

•Evadir

•Compartir

•Reducir

•rAceptar

•Toma de

decisiones•Nivel entidad

•Nivel Unidad de negocio

•Base Inherente y residual

RESPUESTA AL RIESGO

•Impacto

•Probabilidad

•Costo Vs. Beneficio

•Respuestas Innovativas

Respuesta al Riesgo

RESPUESTA AL RIESGO

- Opciones y su efecto en la probabilidad e impacto de un evento.

- Relación con: tolerancia al riesgo, costo vs. beneficio.

- Selección e implantación.

- Seleccionar respuestas que traerán la probabilidad e impacto de

un evento denro de la tolerancia al riesgo de la entidad.

- Cuatro Tipos de Respuesta al Riesgo

- Evasión - Reducción

- Compartir - Aceptación

- Redimensionar el riesgo sobre una base residual.

- Siempre existirán niveles de riesgo residual.

Integradas a las

Respuestas

Tipos de

Control Específicos

•Implícitas en los

procesos del

negocio

•Admon. TI

•Infraestructura TI

•Admon. Seguridad

•Desarrollo y

Mantenimiento de

software

•Estrategias y

objetivos

específicos

•Ambiente

Operacional

•Complejidad

de la entidad

ACTIVIDADES DE CONTROL

•Políticas

•Procedimientos

•Preventivos

•Detectivos

•Manuales

•Automatizados

Controles de

Aplicación

•Integridad

•Exactitud

•Autorización

•Validación

Controles Generales

Actividades de Control

ACTIVIDADES DE CONTROL

Las actividades de control también incluyen sistemas,

procesos, iniciativas, técnicas, programas, proyectos y

otras formas de lograr los objetivos

Los controles internos que son efectivos bajo un conjunto

de circunstancias, pueden no ser efectivos cuando

cambian las condiciones

Información

•Interna

•Externa

•Manual

•Computarizada

•Formal

•Informal

•Arquitectura Sist. Inf.

•Estratégica

•Operacional

•Pasada y presente

•Nivel detalle

•Periodicidad

•Calidad

INFORMACIÓN Y COMUNICACIÓN

Comunicación

•Interna

•Externa

•Nivel entidad

•Expectativas y responsabilidades

•Formatos

•Medios de transmisión

Sistemas Estratégicos

e Integrados


De fuentes internas y externas

Identifica, captura, analiza y comunica a quienes lo

necesitan

Forma y tiempo

Útil para llevar a cabo responsabilidades

Fluye hacia abajo, hacia arriba y a lo largo de la

organización

Intercambio con partes externas: clientes, proveedores,

legisladores, accionistas

Útil para identificar, evaluar y responder a riesgos, mover

la entidad y lograr los objetivos


Información relevante

Uso de datos históricos y actuales. Identifica correlaciones, tendencias, utiliza el conocimiento para ayudar a pronosticar el desempeño futuro. Prevención temprana.

Estado actual para evaluar si se está dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.

Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administración.

Riesgo de reportes sesgados

Canales de comunicación Tradicionales vs No-tradicionales.


Durante las Operaciones

•Tiempo real

•Implícito

•Operaciones día a día

•Alcance

•Frecuencia

•Autoevaluación (facilitación

Auditores Internos)

•Ampliamente documentada

SEGUIMIENTO Y EVALUACIÓN

Reporte Deficiencias

•Durante las Operaciones

•Entidades externas

•Protocolos

•Canales alternos

Evaluaciones

Independientes

Supervisión

Verificar que los componentes están presentes y

funcionando, y su calidad en el curso del tiempo

Dos caminos: Evaluaciones sobre la marcha o

independientes.

La documentación varía con el tamaño y complejidad de

la organización

La falta de documentación no significa que los

componentes no existan o no puedan ser probados.

La documentación hace que la supervisión sea más

efectiva. También es importante respaldar las

aseveraciones sobre la calidad de ERM.

Supervisión

Reportar las deficiencias a quienes pueden

tomar la acción apropiada.

La deficiencia se puede percibir, sea potencial o

real. También la oportunidad para fortalecer el

proceso, para aumentar la probabilidad del logro

de objetivos.

Mecanismo para reportar actos delicados,

ilegales o impropios

Resultados de la información y de la evaluación

Quién, qué, cuándo, dónde, cómo, por qué

Supervisión

EFICACIA DEL ERM

Un estado o condición en un momento dado

Eficacia: todos los ocho componentes están presentes y funcionando

Puede haber diferentes niveles de eficacia entre entidades, industrias

y combinaciones de componentes, debido también a diferentes culturas,

tamaños, filosofías administrativas.

Conceptos aplicables a todas las entidades sin importar su tamaño y

niveles de formalidad.

Deben considerarse las relaciones externas (inversión conjunta,

asociaciones) que no están bajo un control directo.

LIMITACIONES DE ERM

ERM no garantiza que la entidad será exitosa y logrará todos sus

Objetivos

Limitaciones: - Cambios en políticas o programas del Gobierno- Competencia- Condiciones económicas- Malas decisiones- Errores y equivocaciones- Gerentes incompententes- Omisión o debilitamiento de control interno, colusión, ignorar el

ERM

ERM no refleja una adecuada relación costo-beneficio .

PAPELES Y RESPONSABILIDADES

- Consejo de Administración: Dirección, Estrategia, Tono en la

Cumbre, propensión/aversión al riesgo, Respuestas de ERM

- Administración: Responsables de ERM, tono en la cumbre, liderazgo, delegación apropiada de responsabilidades, influencia a lo largo de unidades organizacionales

- Director Ejecutivo de Riesgos (CRO): mantener la administración efectiva del riesgo, supervisar avances, reportar informaciónrelevante al Consejo de Administración y a la Gerencia.

-Auditores Internos: Apoyar la evaluación y supervisión del ERM y

la calidad del desempeño. Asesorar a la Administración, al Consejo

y al Comité de Auditoría y haciendo recomendaciones que

agreguen valor a la gestión.

- Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen información útil para el ERM.


Proporcionan información útil para ERM, pero no son

responsables de ERM

Auditores Internos

Auditores Externos

Auditores de Entidades del Estado

Agencias reguladoras (Superintendencias y otros)

Clientes Internos y Externos

Analistas Financieros

Medios de comunicación


CONSIDERACIONES PARA EL ÉXITO

1. Compromiso del Consejo de A. Directores Generales y

Directores Ejecutivos

2. Adoptar e implantar el sistema ERM desde la base

hacia arriba

3. Debe ser dirigido y respaldado desde arriba hacia abajo

4. Debe existir un lenguaje común

5. Proporcionar suficiente entrenamiento a fin de que

todos los empleados entiendan completamente cómo

participan en el ERM y como el control interno lo apoya

MITOS SOBRE ERM

• Es un “cúralo-todo” con el que se pueden tomar

decisiones basados en información 100% confiable y

basada en información sin margen de error.

• Sólo sirve para catalogar o tomar inventario de todos

los riesgos que afectan a una organización

• Con él, las auditorías serán infalibles

• ERM es sobre seguros

• Es un proceso independiente y aislado del resto de la

organización

• Cuesta demasiado implementarlo.

BENEFICIOS DE ERM

• Alinea la propensión al riesgo y la estrategia.

• Relaciona crecimiento, riesgo y retorno de la inversión

• Amplía las decisiones de respuesta al riesgo.

• Minimiza sorpresas y pérdidas operacionales.

• Identifica y administra riesgos a lo largo de toda la

organización.

• Proporciona respuestas integradas a los múltiples riesgos.

• Toma ventaja de las oportunidades.

• Mejora la asignación de capital.

Se relaciona con la gobernabilidad corporativa

-Proporciona información al Consejo Directivo s/riesgos

-Se conecta con el desempeño de la Administración

Ayuda a organizaciones a lograr objetivos y evitar pérdidas

Ayuda a asegurar reportes efectivos

Ayuda a asegurar el cumplimiento con leyes y reglamentos

Ayuda a evitar daños en la reputación

BENEFICIOS DE ERM

PREGUNTAS

BIBLIOGRAFÍA

1. Root, Steven. Beyond COSO: Internal control to enhance corporategovernance. John Wiley & Sons. New York, NY. 1998.

2. The Committee of Sponsoring Organizations of the TreadwayCommission (COSO) – Gestion de riesgos Corporativos – MarcoIntegrado – Técnicas de Aplicacion. Sept 2004

GRACIAS

Por su Participación

gestión de riesgos corporativos erm

Documents