presentación de powerpoint - aechile.cl · fuente: iso 31000 – traducción libre al español del...

1

ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile )

DOCUMENTOS DE APOYO

PARA EL ANALISIS Y REVISIÓN DEL FRAUDE

1

Santiago, diciembre de 2012

© Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl

DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000

«Risk management- Principles and guidelines «

http://www.aechile.cl

2

OBJETIVO • Esta Asociación entrega aquí a sus Firmas asociadas, a los lectores de su

página web, incluidos profesores y estudiantes del mundo académico y a quienes estén interesados, una guía para el análisis de la ISO 31.000.

• Este documento es adicional a los que cada Firma tuviere y es por tanto, material de lectura, análisis y apoyo en un tema importante como lo es el Riesgo.

José Monsalve

Presidente

2 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl


3

REFERENTE A ISO • ISO es una entidad que agrupa a 163 países ( Chile pertenece ) que emite

diversa normativa, que si bien no es obligatoria, constituyen mejores prácticas. Es para todo tipo de empresas públicas y privadas.

• http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n

• La ISO 31.000 fue aprobada en noviembre del 2009 después de dos años de trabajo. Es la única ISO de Riesgos. Fue aprobada por todos los países

( un voto en contra y dos abstenciones ) Chile la aprobó.

• El documento se titula . “Risk management- Principles and Guidelines” , está sólo en inglés y francés; no es público y al comprarlo vale unos

US $ 100.

Está basada principalmente en la norma australiana nuevo zelandesa

AS/NZC 4360.

• La guía 73 es el documento con las definiciones el que también, para

quienes les interese, debe comprarse.

• Aquí se acompañan algunas diapositivas con referencias y

definiciones de la ISO .


http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n


4

REFERENTE A ISO

• La ISO recomienda revisar lo que tenga cada empresa en administración y control de riesgos y compararlo con lo contenido en esta ISO .

• Por ahora , esta ISO no es certificable, pero si es una buena práctica acordada por 160 países, incluido Chile, o sea, internacional.

• Esta ISO es para todo tipo de empresas.

• Es recomendable analizar el contenido de cada una de las tres diapositivas siguientes y comparar con lo que se tiene, levantar los eventuales Gaps y establecer planes de acción.

• Estas diapositivas pueden considerarse un resumen; se han tomado tal cual y se ha hecho una traducción libre al español.



5

5 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela

6


7


8

RIESGO

• Riesgo : algo que afecta positiva o negativamente al logro de los objetivos, con la potenciales eventos y consecuencias asociados a probabilidades de ocurrencia.

• Suele usarse riesgo sólo en sentido negativo; el mensaje es que cuando se afecta positivamente, debe revisarse si no hubieren existido riesgos en esos logros.

• La realidad tanto chilena como extranjera nos muestra empresas que a primera vista eran exitosas y con grandes logros comerciales y financieros y terminaron evidenciándose que las realidades eran muy diferentes.

• Lo contenido en la Guía 73, está simultáneamente en inglés y francés , los dos idiomas que usa ISO, en español, no por ahora.

8



9

CONCEPTO DE RIESGO

• Para ISO 31.00o riesgo es algo así como efecto de incertidumbre en el logro de objetivos, desviación que puede ser negativa o positiva

• Los objetivos pueden ser de distinto tipo; financieros, estratégicos , proyectos, productos, procesos etc.

• Dicha ISO se refiere a Administración de riesgos como la coordinación de actividades para dirigir y controlar a la entidad respecto a los riesgos.

• Comenta luego que hay que tener un “ framework” ( estructura ) que provea a la empresa arreglos para diseñar, implementar , monitorear y revisar continuamente la administración de riesgos a través de la organización.

• Lo anterior incluye :políticas, objetivos y mandatos superiores, así como las relaciones,” accountabilities “ ( dar cuenta ) recursos, procesos y actividades.

• Expresa que dicho framework debe estar integrado con la organización, la estrategia, las políticas y prácticas.



10

DIAPOSTIVA 5 , PRINCIPIOS DE AR BREVE EXPLICACIÓN • Creación de valor: La administración de riesgos ( AR )

contribuye a ello para el logro de los objetivos, eficiencia en las operaciones , gobierno y reputación.

• Parte integral del proceso de organización :AR es parte y no algo aislado, incluye las estrategias, procesos y es parte de la responsabilidad de la Administración .

• Parte del proceso de decisiones:AR ayuda en las evaluaciones y decisiones.

• Elección de decisiones entre alternativas inciertas.AR ayuda a administrar las decisiones inciertas.

• Sistemática, estructurada y operación en contexto de tiempo

Contribuye a la eficiencia, consistencia y comparaciones de resultados.



11

DIAPOSTIVA 5 , PRINCIPIOS continuación • Basada en la mejor información disponible. Contar con ella,

saber sus limitaciones , usar el juicio, modelarla y considerar las divergencias entre expertos.

• Para empresa a la medida. Cada empresa debe formular y aplicar la ISO 31.000 según su realidad, cultura etc.; aquí no hay un check list genérico.

• Considera aspectos humanos y culturales de la empresa.

AR considera todos los aspectos internos y externos de cada empresa en particular.

• Transparente e inclusiva, debe incluir a la empresa y a los stakeholders y considerar sus visiones en los criterios de riesgo.



12

DIAPOSTIVA 5 , PRINCIPIOS continuación • Dinámica, iterativa que responde a los cambios. El mundo es

dinámico, deben monitorearse los cambios e ir ajustando AR.

• Facilita mejoras continuas y progresos en la organización.

Tener estrategias para ir conociendo en la medida que AR va madurando, los ajustes de mejoras necesarios.



13

DIAPOSTIVA 5 , ESTRUCTURA Mandato y compromiso • Requiere política explícita de AR.

• Asegura que la empresa esté alineada con los objetivos.

• Ayuda al cumplimiento legal y regulatorio.

• Determina indicadores de riesgo y los mide.

• Especifica las accountabilities en los distintos niveles.

• Asigna los recursos para cumplir con AR

• Comunica a los stakeholders los beneficios de cumplir con AR.



14

DIAPOSTIVA 5 . Diseño de estructura para Administración de riesgo • Entender la organización y su contexto.

• Establecer la política de admnistración de riesgo.

• Tener un sistema de accountability.

• Integración de AR con los procesos de la empresa.

• Dotar a la organización de recursos para AR:personas capacitadas, recursos materiales y financieros, programas de capacitación, dotación de sistemas y documentación de procesos y procedimientos.

• Establecer comunicaciones y mecanismos de reportes.



15

DIAPOSTIVA 5 . Implementación de la administración de riesgos • Implementando el framework

• Calendario y estrategia para implementarla.

• Aplicar la política y el proceso de AR al proceso de organización.

• Cumplir con los requerimientos legales y regulatorios.

• Asegurarse que las decisiones que se tomen y el establecimiento de los objetivos están alineados con el proceso de AR.

• Mantener información y capacitación.

• Mantener comunicaciones con los stakeholders para asegurarse que el framework es apropiado.



16

DIAPOSTIVA 5 . . Implementación de la administración de riesgos • Implementando el proceso

• En todos los niveles.

• En todas las funciones.

• Como parte de las prácticas y procesos.



17

DIAPOSTIVA 5 . Monitoreando y revisando el framework • Medir las performances contra indicadores que deben

revisarse periódicamente.

• Analizar las desviaciones contra el plan.

• Revisar periódicamente si el framework sigue siendo apropiado.

• Informar si se está cumpliendo.

• Revisar la efectividad del framework



18

DIAPOSTIVA 5 . Mejora continua del framework • Basado en los monitoreos y revisiones , deben tomarse

decisiones de cómo el framework, la política y el plan pueden ser mejorados. Estas decisiones deberían llevar a mejoras en la organización de AR y la cultura de AR.



19

DIAPOSTIVA 5 Comunicación y consultas • Debe tenerse con entes internos y con los stakeholders

durante todo el proceso de AR.

• El plan de comunicaciones debe establecerse tempranamente.

• Ayuda a que todos los riesgos sean bien comprendidos.

• Se tiene distintas visiones lo que potencia AR.

• Ello puede hacer mejorar AR.



20

DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto • En lo general, considerar el alcance del proceso de AR.

• En el contexto externo, considerar entre otros : aspectos sociales, culturales, políticos, regulatorios, financieros, tecnológicos, entorno competitivo y otros.

• En el contexto interno, considerar entre otros :AR y su nexo con los objetivos de la empresa, las estrategias y los valores.

• Gobierno Corporativo, estructura organizacional, roles y accountabilities.

• Recursos humanos y tecnológicos.

• Especificar las decisiones que deben tomarse.

• Ver metas , objetivos.

• Establecer roles y funciones con detalle para AR.



21

DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto • Establecer el criterio para los riesgos significativos.

• Al establecer el criterio, debe considerarse entre otros puntos:

a ) Causas y consecuencias de los riesgos.( impacto)

b ) La probabilidad de ocurrencia y cómo será establecida.

c ) Cómo se determina el nivel de riesgo.

d ) La visión de los stakeholders.

e ) El nivel de riesgo aceptable.

f ) La combinación de riesgos.



22

CONCEPTOS El detalle está en el documento original que conviene comprar • Política de administración de riesgos. • Apetito de riesgo. • Plan de administración de riesgos. • “ owner risk “. • Contexto interno. • Contexto externo. • Stakeholder. • Medición de riesgos. • Identificación de riesgos. • Evento. • Consecuencia. • Probabilidad. • Análisis de riesgos. • Evaluación de riesgos. • Control. • Riesgo residual. • Monitoreo. • PRINCIPIOS

22



23

ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Riesgo • Riesgo e incertidumbre. Se refiere a la incertidumbre en el

logro de los objetivos.

• Los riesgos deben estar identificados y especificadas sus causas.

• Análisis de riesgos. Determinar las causas, sus consecuencias tanto positivas como negativas y la probabilidad que dichas consecuencias puedan ocurrir y la existencia y operación de los controles para mitigar los riesgos.

• Evaluación de riesgos. Debe compararse el riesgo existente con el planificado y tomar las decisiones que ameriten.

• Tratamiento de riesgos. Seleccionar una o más opciones para modificar los riesgos y de ser necesario , los controles.



24

ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Administración de riesgos. • Coordinación de actividades para dirigir y controlar una

organización en lo referente a riesgo.

• Estructura ( framework ) para administración de riesgo. Fundamentos con los que se diseña, implementa, monitorea y revisa continuamente AR, incluyendo políticas, planes y relaciones con las estrategias.



25

ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Es un proceso sistemático con políticas y procedimientos para

establecer , monitorear y revisar los riesgos.

• Debe haber un proceso de comunicaciones y consultas.

• Debe establecerse el contexto tanto interno como externo.

• En la medición de riesgos, debe haber: identificación de riesgos, análisis de ellos y su evaluación.

• La identificación debe incluir su definición, causas, impactos y consecuencias.

• Debe establecerse los dueños de los riesgos ( risk owner ).

• Se trabaja con impacto ( cuantitativo o cualitativo y probabilidad.

• Debe tenerse una matriz de riesgos.

• El nivel de riesgos resulta de calcular impacto y probabilidad.



26

ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Debe determinarse el apetito y tolerancia al riesgo.

• Debe haber sistemas de monitoreo.

• Debe definirse cuales riesgos no se aceptarán.

• El riesgo residual es aquel después de administrarlos.

• Debe existir un sistema de monitoreo continuo de AR.

• Debe también haber registros en el sistema de AR.

• Como parte de AR deben haber informes a los stakeholders

• Finalmente, deben existir auditorías independientes y documentadas para determinar el funcionamiento de AR y si una o más partes de la estructura son adecuadas y efectivas.



27

ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Debe haber registros y trazabilidad.

• La organización necesita un aprendizaje continuo.

• Usar la información en beneficio de la administración de la empresa.

• Los métodos de acceso a la información deben ser fáciles y también los registros y almacenamiento de la información.

• Determinar el período en el que debe mantenerse la información.

• Contar con criterios de cuál es información sensible.



presentación de powerpoint - aechile.cl · fuente: iso 31000 – traducción libre al español del...

Documents