control interno y coso erm
TRANSCRIPT
Expectativas Qu es COSO-ERM? Cmo Riesgos? inici el concepto Administracin de
Cmo pueden medir los auditores el impacto de los riesgos? Cmo podemos ayudar a los gerentes a entender qu son riesgos y controles?
Qu es COSO? Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. Es una organizacin del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la tica de negocio, controles internos eficaces y gobierno corporativo. Treadway Commission on Fraudulent Financial Reporting 1987 Marco Integrado de Control Interno publicado en 1992
Por qu es Importante COSO? COSO proporciona un marco integral del control interno y herramientas de evaluacin para sistemas de control Proporciona una terminolologa utilizada comunmente y principios usados como gua para desarrollar una arquitectura efectiva para la administracin de riesgos Proporciona una visin integral del sistema de control institucional
Cmo se Inici ERM? ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas Por qu ah? En estas industrias los riesgos estn bien documentados y medidos; comnmente se utilizan sofisticados modelos estadsticos; existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos
Cmo se Inici ERM? Los Auditores Internos utilizan ERM porque La metodologa tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados La metodologa tradicional es a menudo ineficaz y costosa El enfoque cambi de auditora basada en control Se enfoca en el riesgo para determinar qu es importante y seleccionar la muestra de control La auditora basada en riesgo es ahora la norma del IIA Control Interno Marco Integral Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM
Conceptos Clave sobre ERM Todas las entidades existen para darle valor a sus accionistas Todas las entidades enfrentan la incertidumbre, por lo tanto, cunta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad ERM no se refiere a controles, se refiere a desempeo
El valor es creado, preservado o erosionado por las decisiones de la Direccin. Diariamente la Direccin toma decisiones sobre estrategias y operaciones. Las organizaciones agregan valor cuando se derivan beneficios que satisface a: - Accionistas - Clientes o usuarios - Gobierno Aplicacin de recursos (gente, capital, tecnologa, nombre comercial) a modo que los beneficios sean mayores que los recursos utilizados.
Valor
ValorAmpliar y preservar la calidad, capacidad, satisfaccin del cliente. Equilibrio entre crecimiento, riesgo y
retorno basados en objetivos y estrategias
Ms que el valor financiero o econmico.
Incertidumbre Globalizacin, tecnologa, reglamentos, reestructuracin, fusiones, adquisiciones, mercados cambiantes, competencia. No se puede determinar con precisin la probabilidad de que ocurrirn eventos potenciales y sus resultados.
Qu es Riesgo?
Riesgo - Oportunidad Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos. Ninguna entidad opera en un ambiente libre de riesgos. Existe tambin el riesgo de que no se aproveche la ventaja de una oportunidad.
Riesgo-Reglamentacin Comercio domstico e Internacional Financieras, tanto pblicas como (incluyendo leyes sobre valores) privadas
Relaciones laborales, incluyendo contrataciones, compensaciones y beneficios, sindicatos, condiciones de trabajo, igualdad de oportunidades y liquidacin Impuestos (sobre: utilidades, propiedades, activos, ventas, valor agregado, etc.) Bancarrotas Medio ambiente peligrosos) (agua, aire y materiales
Riesgo-CulturaProfundamente arraigada e influye en la dinmica organizacional tica de trabajo Perspectiva de relaciones jerrquicas Educacin Perspectiva sobre tica incluyendo: Nepotismo Cohechos o mordidas Fraude
Definicin de ERMLa Administracin de Riesgo Empresarial es un entidad, la administracin y otro personal, aplicado empresa, diseada para identificar eventos proceso, realizado por el consejo directivo de una en el establecimiento de estrategias para toda la potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su seguridad razonable referente al logro de objetivos. propensin al riesgo y proporcionar una
DefinicionesControl InternoControl Interno es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, designado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categoras: Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros aplicables Cumplimiento con las leyes y reglamentos
Administracin de Riesgos EmpresarialesLa administracin de riesgos empresariales es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su propensin al riesgo, proporcionar seguridad razonable referente al logro de objetivos .
Qu no es ERM Una herramienta para la toma de decisiones Una tcnica de clasificacin para dar seguimiento a controles internos El nico seguro al respecto El trabajo de unos cuantos
Qu ha Cambiado?MARCO COSO MARCO COSO ERM
Qu ha Cambiado?MARCO COSO MARCO COSO ERMo nt ie im pl m Cu
R Fi epo na rt nc es ier os
Cu mp li
Informacin y Comunicacin Actividades de Control
Supervisin
Identificacin de Eventos Evaluacin del Riesgo Actividades de Control Informacin y Comunicacin Supervisin Respuesta al Riesgo
Establecer Objetivos
Ambiente Interno
o O pe ra ci on es
tra t gi c
pe ra ci
O
Es
R ep or te s
on es
mi en
to
Subsidiaria Unidad de Negocio Divisin Nivel-Entidad
Actividad Actividad 1
o1 Pro Proceso 1 Unid Unidad B Unidad Unidad A
Evaluacin del Riesgo Ambiente de Control
Ambiente InternoAMBIENTE INTERNOFilosofa Propensin Admon.Riesgo al Riesgo
Valor Comun. Palabra/Acc
Valor Cuantitativo Cualitativo Vinculado a estrategia
Integridad y Valores ticos Cdigo Cond. Independen- IndepenPrerequisitos dencia. cia Ejemplo Dir. Activa Activa Involucrada Involucrada Incentivos Cultura Riesgo Asig. Autoridad y Responsab. Pol. y Proc de R.H.
Consejo Admn.
Conocimientos Habilidades Trade Off
Compentencia Personal
Diferencia en Ambiente Preferencias Formal Vs Informal Lineas Resporte Facultamiento Evaluacin Conserv. Vs. Agres. Centraliz./ Desc. Rendicin de Entrenamiento Juicios de Valor Compensacin Estilos de Matriz/Funcional/ cuentas Alineada administracin Incentivos y Geogrfica disciplina Estructura Orgnica
Filosofa . Admva. Y Operacional
Ambiente Interno Fundamento para todos los dems componentes de ERM Influye en estrategia y objetivos. Influye en diseo de actividades de control, sistemas de informacin y comunicacin, y supervisin de actividades.
Incluye valores ticos, competencia del personal, estilo de operacin, asignacin de autoridad y responsabilidad, y estructura organizacional. La Direccin se reconoce responsable de los riesgos y de ella emana la filosofa y estilo gerencial e integra y promueve el ERM
Ambiente Interno Evidencia de la cultura organizacional:
Acuerdos con sus empleados
Trato a clientes y a otros externos El tono desde lo alto
La incidencia de violaciones a leyes y reglamentos Prudencia financiera
La calidad de los productos y servicios ofrecidos Sus respuestas a las crisis Su imagen pblica
Ambiente InternoLas culturas organizacionales cambian en el transcurso del tiempo Jvenes en su entusiasmo vs compaas ms maduras
Conforme maduran las empresas, sus estructuras de control interno deben madurar tambin Las empresas con dificultades financieras, a menudo minimizan costos en formas tales que reducen los controles internos
Establecimiento de ObjetivosESTABLECIMIENTO DE OBJETIVOS Objetivos Estratgicos Objetivos Relacionados Objetivos Seleccionados Alineacin y apoyo Decisiones de la Admn. Propensin al Riesgo Tolerancia al Riesgo Variaciones aceptables Mtrica de Medicin de Objetivos.
Metas estratgicas Misin/Visin Eleccin de estrategia
Operacin Informacin Cumplimiento Salvaguarda
Crecimiento, riesgo y entorno Asig. Recursos Gente, procesos e Infraestructura
Establecimiento de Objetivos Deben existir objetivos antes de que la administracin pueda identificar eventos que potencialmente afecten su logro. Alinear misin/visin con objetivos Tipos: Estratgicos: relacionados con metas de alto nivel Reportes: confiabilidad en los mecanismos de reportes Cumplimiento: con leyes y reglamentos aplicables
Establecimiento de ObjetivosAquellos involucrados en el pensamiento estratgico deberan tener esta informacin: - Tendencias econmicas generales y en la industria especfica- Desarrollo de nuevos productos y procesos - Tendencias tecnolgicas - Desarrollos en habilidades clave - Marcos competitivos de desempeo - Planes y metas estratgicas internas - Resultados histricos de desempeo - Oportunidades para incrementar el potencial de productos o mercados - Disponibilidad de recursos - Asuntos regulatorios - Asuntos ambientales - Efectos en empleados
Identificacin de EventosIDENTIFICACIN DE EVENTOS Factores Influy. Eventos Estrat. y Objs. Incidental Internos Externos Impacto positivo y/o negativo Metodologa y tcnicas Durante Peridico Pasado y Futuro Riegos y Eventos Inter- Categoras dependientes de Eventos Oportunidades Eventos Grupos Imp. Neg: Riesgo precursores de riesgo Imp. Pos: Oport. (reacciones en por Disminucin del cadena) proceso riesgo Interrelacionados y/o funcin
Evaluacin de RiesgosEVALUACIN DE RIESGOS Riesgo Inherente y Residual Probabilidad e Impacto Metodologas y Tcnicas Cualitativas Cuantitativas Correlacin Secuencia de eventos Categoras Escenarios
Esperadas Accs. Admvas. Previas Horizonte de tiempo Accs. Admvas. Post. Esperadas e Inesperadas Mtrica de medicin Datos observables
Evaluacin de Riesgos- Condiciones que pueden crear un riesgo adicional
- Diseo u operacin inadecuada del control interno - Metas y planeacin fuera de la realidad - Actividades no autorizadas - Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares - Acciones correctivas pobremente planeadas o implementadas
Evaluacin de Riesgos- Se asegura el Consejo o el Comit de Auditora de que se reportanlos hallazgos relativos a los riesgos? - El Director Ejecutivo, el Director Financiero y el Director de AI conocen de la efectividad de los controles internos? - El Director de Auditora acta con independencia y proporciona reportes tiles y competentes? - Se rene peridicamente el Comit de Auditora con la gerencia de primer nivel, el Director de Auditora y los auditores externos? - Tiene el Consejo por lo menos un experto financiero?
Evaluacin de Riesgos- Considerar los riesgos a largo plazo. - Riesgo inherente: riesgo para la entidad en ausencia de cualquier accin realizada por la administracin para alterar la probabilidad o el impacto. - Riesgo residual: riesgo remanente despus de la accin realizada por la administracin para alterar su probabilidad o impacto.Riesgo Inherente Respuesta al Riesgo
(control interno)Riesgo Residual
Evaluacin de Riesgos1. Tormenta de ideas sobre riesgos y oportunidades 2. Identificar de raz las causas y las correlaciones 3. La mejor forma es tener sesiones de facilitacin 4. Calcular el impacto del riesgo usando la misma medida de los objetivos 5. Calcular los escenarios mnimo, mximo y probable 6. Preparar un programa de riesgo 7. Priorizar riesgos y oportunidades basados en su valor ponderado 8. Identificar los riesgos clave que requieren atencin estratgica Tormenta de Ideas Peso/Clculo Priorizar
Respuesta al RiesgoRESPUESTA AL RIESGO Identificacin de Respuestas Evadir Compartir Reducir Aceptar Evaluacin Posibles Respuestas Eleccin de Respuesta Toma de decisiones Visin Integral Nivel entidad Nivel Unidad de negocio Base Inherente y residual
Impacto Probabilidad Costo Vs. Beneficio Respuestas Innovativas
Respuesta al Riesgo- Opciones y su efecto en la probabilidad e impacto de un evento. - Relacin con: tolerancia al riesgo, costo vs. beneficio. - Seleccin e implantacin. - Seleccionar respuestas que traern la probabilidad e impacto de un evento denro de la tolerancia al riesgo de la entidad. - Cuatro Tipos de Respuesta al Riesgo - Evasin - Reduccin - Compartir - Aceptacin - Redimensionar el riesgo sobre una base residual. - Siempre existirn niveles de riesgo residual.
Actividades de ControlACTIVIDADES DE CONTROL Integradas a las Respuestas Tipos de Control Controles Generales Admon. TI Infraestructura TI Admon. Seguridad Desarrollo y Mantenimiento de software Controles de Aplicacin Especficos Estrategias y Integridad objetivos Exactitud especficos Autorizacin Ambiente Validacin Operacional Complejidad de la entidad
Implcitas en los Polticas Procedimientos procesos del Preventivos negocio Detectivos Manuales Automatizados
Actividades de Control Las actividades de control tambin incluyen sistemas, procesos, iniciativas, tcnicas, programas, proyectos y otras formas de lograr los objetivos Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones
Informacin y ComunicacinINFORMACIN Y COMUNICACIN Interna Externa Manual Computarizada Formal Informal Arquitectura Sist. Inf. Informacin Sistemas Estratgicos e Integrados Estratgica Operacional Pasada y presente Nivel detalle Periodicidad Calidad Comunicacin Interna Externa Nivel entidad Expectativas y responsabilidades Formatos Medios de transmisin
Informacin y Comunicacin De fuentes internas y externas Identifica, captura, analiza y comunica a quienes lo necesitan Forma y tiempo til para llevar a cabo responsabilidades Fluye hacia abajo, hacia arriba y a lo largo de la organizacin Intercambio con partes externas: clientes, proveedores, legisladores, accionistas
til para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos
Informacin y Comunicacin Informacin relevante Uso de datos histricos y actuales. Identifica correlaciones, tendencias, utiliza el conocimiento para ayudar a pronosticar el desempeo futuro. Prevencin temprana. Estado actual para evaluar si se est dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensin al riesgo. Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administracin. Riesgo de reportes sesgados Canales de comunicacin Tradicionales vs No-tradicionales.
SupervisinSEGUIMIENTO Y EVALUACIN Durante las Operaciones Tiempo real Implcito Operaciones da a da Evaluaciones Independientes Reporte Deficiencias Durante las Operaciones Entidades externas Protocolos Canales alternos
Alcance Frecuencia Autoevaluacin (facilitacin Auditores Internos) Ampliamente documentada
Supervisin Verificar que los componentes estn presentes y funcionando, y su calidad en el curso del tiempo Dos caminos: Evaluaciones sobre la marcha o independientes. La documentacin vara con el tamao y complejidad de la organizacin La falta de documentacin no significa que los componentes no existan o no puedan ser probados. La documentacin hace que la supervisin sea ms efectiva. Tambin es importante respaldar las aseveraciones sobre la calidad de ERM.
Supervisin Reportar las deficiencias a quienes pueden tomar la accin apropiada. La deficiencia se puede percibir, sea potencial o real. Tambin la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos. Mecanismo para reportar actos delicados, ilegales o impropios Resultados de la informacin y de la evaluacin Quin, qu, cundo, dnde, cmo, por qu
Eficacia del ERM Un estado o condicin en un momento dado Eficacia: todos los ocho componentes estn presentes y funcionando Puede haber diferentes niveles de eficacia entre entidades, industrias y combinaciones de componentes, debido tambin a diferentes culturas, tamaos, filosofas administrativas. Conceptos aplicables a todas las entidades sin importar su tamao y niveles de formalidad. Deben considerarse las relaciones externas (inversin conjunta, asociaciones) que no estn bajo un control directo.
Limitaciones de ERM ERM no garantiza que la entidad ser exitosa y lograr todos sus Objetivos Limitaciones: - Cambios en polticas o programas del Gobierno - Competencia - Condiciones econmicas - Malas decisiones - Errores y equivocaciones - Gerentes incompententes - Omisin o debilitamiento de control interno, colusin, ignorar el ERM ERM no refleja una adecuada relacin costo-beneficio .
Papeles y Responsabilidades
- Consejo de Administracin: Direccin, Estrategia, Tono en la Cumbre, propensin/aversin al riesgo, Respuestas de ERM - Administracin: Responsables de ERM, tono en la cumbre, liderazgo, delegacin apropiada de responsabilidades, influencia a lo largo de unidades organizacionales - Director Ejecutivo de Riesgos (CRO): mantener la administracin efectiva del riesgo, supervisar avances, reportar informacin relevante al Consejo de Administracin y a la Gerencia.
Papeles y Responsabilidades-Auditores Internos: Apoyar la evaluacin y supervisin del ERM y la calidad del desempeo. Asesorar a la Administracin, al Consejo y al Comit de Auditora y haciendo recomendaciones que agreguen valor a la gestin. - Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen informacin til para el ERM.
Papeles y ResponsabilidadesProporcionan informacin til para ERM, pero no son responsables de ERM Auditores Internos Auditores Externos Auditores del Legislativo Agencias reguladoras Clientes Analistas Financieros Medios de comunicacin
Consideraciones para el xito1. Compromiso del Consejo de A. Directores Generales y Directores Ejecutivos 2. Adoptar e implantar el sistema ERM desde la base hacia arriba 3. Debe ser dirigido y respaldado desde arriba hacia abajo 4. Debe existir un lenguaje comn 5. Proporcionar suficiente entrenamiento a fin de que todos los empleados entiendan completamente cmo participan en el ERM y como el control interno lo apoya
Mitos sobre ERM Es un cralo-todo con el que se pueden tomar decisiones basados en informacin 100% confiable y basada en informacin sin margen de error. Slo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organizacin Con l, las auditoras sern infalibles ERM es sobre seguros Es un proceso independiente y aislado del resto de la organizacin Cuesta demasiado implementarlo.
Beneficios de ERM Alinea la propensin al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversin Ampla las decisiones de respuesta al riesgo. Minimiza sorpresas y prdidas operacionales.
Identifica y administra riesgos a lo largo de toda la organizacin. Toma ventaja de las oportunidades. Mejora la asignacin de capital.
Proporciona respuestas integradas a los mltiples riesgos.
Beneficios de ERM Se relaciona con la gobernabilidad corporativa -Proporciona informacin al Consejo Directivo s/riesgos -Se conecta con el desempeo de la Administracin
Ayuda a organizaciones a lograr objetivos y evitar prdidas Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos Ayuda a evitar daos en la reputacin