You are on page 1of 26

Aplicación practica de la implantación de la Gestión Integral de Riesgos (ERM) - COSO II- en una empresa y el rol de Auditoría Interna.

XIII Jornadas de Auditoría Interna Ahciet
Ecuador 10 y 11 de Octubre 2006

Juan Ignacio Ruiz Zorrilla – CIA. Secretario General IAI – España.

1

Índice:
 Gestión de Riesgos Corporativos (ERM). Concepto y necesidad  Evolución e impacto de los modelos ERM – COSO II  El Cubo de COSO II – ERM  COSO I vs COSO II  Responsabilidad del modelo ERM  Beneficios COSO II – ERM  Fases de elaboración de un Mapa de Riesgos  Mapa de Riesgos  Objetivos – Riesgo – Controles  Auditoría Interna en el Control y la Gestión de Riesgos  Rol de Auditoría Interna en la Gestión de Riesgos, posición the IIA
2

gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. su Dirección y restante personal. aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización. objetivos “ * COSO (Committee of Sponsoring Organization of the Treadway Commission) 3 .Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (I) “La Gestión de Riesgos Corporativos es un proceso efectuado por el Consejo de Administración de una entidad.

4 . en el control interno y en la operativa diaria de la misma.  Integrar la gestión de riesgos en los procesos de planificación estratégica de la compañía. Concepto y necesidad (II) La Gestión de Riesgos Corporativos (ERM) dentro una empresa o Grupo de empresas permite:  Identificar aquellos acontecimientos que puedan impactar en la organización impidiéndole alcanzar sus objetivos.  Disponer del portafolio de riesgos a nivel global de la compañía y para cada una de sus divisiones y/o funciones.  Realizar una valoración de los riesgos de la compañía y gestionar su tratamiento en función del riesgo aceptado en la misma.Gestión de Riesgos Corporativos (ERM).

Entorno de la Empresa Obligaciones / Compromisos Pasivos contratados Reclamaciones Responsabilidad de producto Pasivos éticos Estrategia Incertidumbre asociada a Fusiones y adquisiciones Estrategia y Planes de negocio Valor para el accionista y Stakeholders Legal y Regulatorio Compliance Optimización fiscal Mercado Cambios en variables macroeconómicas Cambios en volúmenes Actividades de los competidores Reputación Producto Obligaciones legales Marketing Branding Cartera Atractividad Innovación ENTIDA D Cambios de marca / impacto en el mercado Seguridad alimentaria Clientes Investigación Fidelidad del cliente Finanzas Gestión de ingresos Cash flow Procurement y pagos Cambio de divisas Fiabilidad de la contabilidad Control de crédito Acceso a fondos/tipos de interés Recursos humanos Cambios en el equipo gestor Sistemas de Información Confidencialidad Integridad Disponibilidad Value for money Seguridad E-Business Producción Logísitica Recursos y perfiles Integridad y fiabilidad del personal Corporate Governance Proyectos e Inversiones Plannig and budgeting Estructura organizativa Comunicación Reporting Trazabilidad Motivación Planificación y programación Salud.Gestión de Riesgos Corporativos (ERM). seguridad e higiene Configuración Relaciones con los sindicatos Inventarios y repuestos Ciclo de vida 5 . todo ello debido a la creciente complejidad del entorno empresarial y los variados intereses involucrados en la empresa. Concepto y necesidad (III) ¿Por qué surge la necesidad de disponer de una Gestión de estas características?  Existe una gran diversidad de riesgos presentes y potenciales en la actividad de los negocios.

The Sarbanes-Oxley Act of 2002 Ley de Transparencia 26/2003 Orden Ministerial 3722/2003 6 . Todos ellos pivotan alrededor de un Modelo de Riesgos incorporado en los procesos de gestión y dirección de la empresa.Gestión de Riesgos Corporativos (ERM). Concepto y necesidad (IV) ¿Por qué surge la necesidad de disponer de una Gestión de estas características?  Existencia de nuevos marcos regulatorios como consecuencia de dichos escándalos financieros.

Evolución e impacto de los Modelos ERM (I) VISIÓN TRADICIONAL  Función soporte. VISIÓN ACTUAL  Función dedicada a la gestión activa y por anticipado de los riesgos de negocio.  El conocimiento de los riesgos subyacentes permite gestionar más adecuadamente la asignación del capital. 7 . permitiendo incrementar el valor para los “stakeholders”.  Proceso proactivo que integra la gestión de riesgos en la estrategia de la empresa.  Comunicación del riesgo sólo a través de una pérdida o una noticia negativa para la Compañía.  Coste del riesgo no entendido o capturado para su consideración financiera.  Concepto exclusivo de riesgo como peligro.  Presión de los “stakeholders” para entender el rango de riesgos que está afrontando la empresa.

. Totalmente de acuerdo Algo de acuerdo Algo en desacuerdo Totalmente en desacuerdo Fuente: 7ª Encuesta Global de CEOs de PWC 8 ..Evolución e impacto de los Modelos ERM (II) Impacto de los modelos ERM Nivel de compromiso ERM es una de mis prioridades ERM es una prioridad del Consejo ERM es una prioridad de la Compañía Tengo la información que necesito para gestionar riesgos a nivel empresa Terminología y estándares comunes para gestionar los riesgos En estos momentos ERM es uno de los proyectos prioritarios de la Alta Dirección de las Compañías.

..Evolución e impacto de los Modelos ERM (III) Impacto de los modelos ERM ¿Para cuándo? Ya dispongo de ERM eficiente y eficaz Dentro de 1 año Dentro de 2 años Dentro de 3 años .. Más de 3 años No espero implantar ERM No sabe / No contesta Fuente: 7ª Encuesta Global de CEOs de PWC 9 ..más del 85% piensan tener en funcionamiento un Modelo de Gestión de Riesgos antes de tres años.

. de una forma significativa su reputación. rentabilidad y confianza de la dirección ejecutiva. Muy positivo Positivo Negativo Muy Negativo Confianza de la Dirección Fuente: 7ª Encuesta Global de CEOs de PWC 10 .que les ayudará a mejorar...Evolución e impacto de los Modelos ERM (IV) Impacto de los modelos ERM Impactos Reputación Reducción de costes Objetivos estratégicos Menor coste capital Inversión I+D Actividades F&A Rentabilidad ..

así como con cada uno de los NIVELES de la organización. La relación se representa con el siguiente cubo: OBJETIVOS COMPONENTE S NIVELES DE LA ORGANIZACIÓ N 11 . los COMPONENTES de gestión del riesgo de la compañía (representan las herramientas necesarias para el logro de dichos objetivos). existe una relación directa entre los OBJETIVOS (aquellos que la organización trata de alcanzar).El Cubo ERM: Objetivos. componentes y niveles de la organización (I) En el marco de Gestión Integral de Riesgos desarrollado por COSO II.

El Cubo ERM: Objetivos. referidos al cumplimiento de las leyes y normas y leyes aplicables. referidos a la fiabilidad de la información suministrada por la organización. componentes y niveles de la organización (II) El presente Modelo de Gestión de Riesgos Corporativos está orientado a alcanzar los OBJETIVOS de la Compañía. alineadas y dando soporte a la misión / visión de la organización.  OPERATIVOS:  INFORMACIÓN:  CUMPLIMIENTO: 12 . así como información financiera y no financiera. que se pueden clasificar en cuatro categorías:  ESTRATÉGICOS: referidos a metas de alto nivel. referidos a la eficiencia y eficacia de las actividades de la organización. que incluye datos internos y externos. incluyendo los objetivos de rentabilidad y desempeño.

que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión.El Cubo ERM: Objetivos. componentes y niveles de la organización (III) El modelo de Gestión de Riesgos Corporativos consta de ocho COMPONENTES relacionados entre sí. Ambiente Interno Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración / Dirección .Integridad y valores éticos – Compromiso de competencia – Estructura organizativa – Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos humanos Establecimiento de objetivos Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados Riesgo aceptado – Tolerancia al riesgo Identificación de acontecimientos Acontecimientos – Factores de influencia estratégica y de objetivos Metodologías y técnicas – Acontecimientos independientes – Categorías de Acontecimientos – Riesgos y oportunidades Evaluación de riesgos Riesgo inherente y residual – Probabilidad e impacto Técnicas de evaluación – Correlación entre acontecimientos 13 .

Comunicación S upervisión Actividades permanentes de supervisión – Evaluaciones independientes – Comunicación de deficiencias 14 . componentes y niveles de la organización (IV) R espuesta a los riesgos Evaluación de posibles respuestas – Selección de respuestas Perspectiva de cartera Actividades de control Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y procedimientos – Controles de los sistemas de información – Controles Específicos de la entidad Información y comunicación Información .El Cubo ERM: Objetivos.

componentes y niveles de la organización (V) La Gestión de Riesgos Corporativos considera actividades a todos los NIVELES DE LA ORGANIZACIÓN: ORGANIZACIÓN .NIVEL CORPORATIVO .El Cubo ERM: Objetivos.LÍNEA DE NEGOCIO / PAÍS .EMPRESA .UNIDAD 15 .

COSO I vs. COSO II (I) OBJETIVOS (4) ESTRATÉGICOS COSO II OPERATIVOS INFORMACIÓN COMPONENTES OBJETIVOS (3/4) (3/4) EFICACIA Y EFICIENCIA OPERACIONES INFORMACIÓN FINANCIERA NORMATIVA SALVAGUARDA ACTIVOS (*) CUMPLIMIENT O COMPONENTES (8) AMBIENTE INTERNO EST ABLECIMIENTO DE OBJETIVOS IDENTIFICACIÓN DE EVENT OS EVALUACIÓN DE LOS RIESGOS RESPUEST A A LOS RIESGOS ACT IVIDADES DE CONT ROL COSO I COMPONENTES (5) ENTORNO DE CONTROL INFORMACIÓN Y COMUNICACIÓN SUPERVISIÓN EVALUACIÓN DE RIESGOS ACT IVIDADES DE CONT ROL INFORMACIÓN Y COMUNICACIÓN SUPERVISIÓN COMPONENTES 16 .

es consciente del riesgo aceptado por la Sociedad y está de acuerdo con él.   PRESIDENTE / CONSEJERO DELEGADO: responsable último. 17     . PERSONAL RESTANTE: responsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directrices establecidas. FINANCIERO. CONSEJO DE ADMINISTRACIÓN / COMISIÓN DE AUDITORÍA Y CONTROL: desarrolla una importante supervisión de la gestión de riesgos corporativos.Responsabilidades del Modelo ERM Todas las personas que integran una Compañía tienen alguna responsabilidad en la Gestión de Riesgos Corporativos. AUDITOR INTERNO: desempeñan responsabilidades claves de apoyo y supervisión del Modelo de Gestión de Riesgos. aunque no son responsables de su eficacia en la entidad. auditores externos. gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. DIRECTOR DE RIESGOS. OTROS DIRECTIVOS: apoyan la filosofía de gestión de riesgos de la entidad. proveedores. TERCEROS (clientes. reguladores y analistas financieros): proporcionan a menudo información útil para el desarrollo del ERM.

riesgos clave del negocio. Toma de decisiones más segura. interno  Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de Gobierno Corporativo. segura facilitando la asignación del capital.  Posibilita la priorización de los objetivos.  Alinea los objetivos del Grupo con los objetivos de las diferentes unidades de negocio.  Fomenta que la gestión de riesgos pase a formar parte de la cultura del Grupo.  Permite dar soporte a las actividades de planificación estratégica y control interno. así como los riesgos asumidos y los controles puestos en acción. y de los controles implantados. Grupo 18 .Beneficios del ERM  Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión. lo que permite su adecuada gestión.

Fases de elaboración del Mapa de Riesgos. vigente. control. Controles. procesos procesos que que controlan controlan Riesgos Riesgos Se Se identifican identifican los los principales principales Riesgos Riesgos y y los los Controles Controles existentes existentes En En base base a a entrevistas. Con Con toda toda la la información información se se elabora elabora el Mapa Mapa de Riesgos Riesgos El El CEO CEO marca marca para para cada cada uno uno de de los los 4 4 objetivos objetivos de de COSO COSO el el Nivel Nivel aceptado aceptado de de Riesgo Riesgo 19 . Se Se les les envía envía los los datos datos obtenidos obtenidos en en la la entrevista entrevista para para que que validen validen datos datos de de Riesgos Riesgos y y Controles. Probabilidad. Estrategia. entrevistas. la la normativa normativa vigente. se identifican Riesgos Riesgos y y se se Valoran en base base a a su su Impacto Impacto y Probabilidad. órganos de control.Experiencia practica en TPI ENTENDIMIENTO ENTENDIMIENTO DE DE LA LA SITUACIÓN SITUACIÓN ELABORACIÓN ENTREVISTAS VALIDACIÓN ELABORACIÓN ENTREVISTAS VALIDACIÓN DE DE LA LA PERFIL INFORMACIÓN PERFIL DE DE RIESGOS RIESGOS COMITÉ COMITÉ DIRECCIÓN DIRECCIÓN INFORMACIÓN MAPA MAPA DE DE RIESGOS RIESGOS FIJACIÓN FIJACIÓN CON CON EL EL CEO CEO TOLERANCIA TOLERANCIA AL AL RIESGO RIESGO Se Se analiza analiza la la Estrategia.

Comunicación interna C – Regulación.sin identificar apetito al riesgo Ejemplo no real de Riesgos: E – Competencia O – Flexibilidad al cambio R.Mapa de Riesgos.. 20 .

21 .Mapas de Riesgos..con indicación de apetito al riesgo.

Objetivos – Riesgos – Controles C O N T R O L •RENTABILIDAD •CREACIÓN DE VALOR PARA EL ACCIONISTA •CUOTA DE MERCADO •MEJORA DE LA CALIDAD DEL SERVICIO •PRODUCTIVIDA D 22 RIESGOS PRINCIPALES DE LAS EMPRESAS DE TELECOMUNICACIONES •Satisfacción del cliente •Liderazgo •Recursos Humanos •Eficiencia •Desarrollo de productos •Fijación de precios •Competencia •Regulación •Planificación Estratégica •Infraestructuras •Imagen •Obsolescencia •Facturación/Perdida Ingresos .

Ayuda a una organización a cumplir sus objetivos.Auditoría Interna en la gestión y control de riesgos  Definición de Auditoría Interna: La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta. control y gobierno. aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos.  Normas Internacionales para el ejercicio profesional de la Auditoría Interna:  2120 – Control..La actividad de auditoría interna debe ayudar a la organización en el mantenimiento de controles efectivos. mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo su mejora continua.La actividad de auditoría interna debe ayudar a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos. 23 . concebida para agregar valor y mejorar las operaciones de una organización.  2110 – Gestión de Riesgos.. y la contribución a la mejora de los sistemas de gestión de riesgos y control.

 2110. 24 .Auditoría Interna en la gestión y control de riesgos  2110.  Eficacia y eficiencia de las operaciones.C2 – Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones a riesgos significativos en la organización. A2 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno. los auditores internos deben considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a la existencia de otros riesgos significativos.  Protección de activos. C1 – Durante los trabajos de consultoría. y  Cumplimiento de leyes. con relación a lo siguiente:  Fiabilidad e integridad de la información financiera y operativa.  2110. operaciones y sistemas de información de la organización.  2110. regulaciones y contratos. A1 – La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización.

en vez de realizar decisiones sobre gestión de riesgo. 25 .  El Instituto enfatiza que las organizaciones deben entender completamente que la gerencia mantiene la responsabilidad de la gestión de riesgo. El documento sugiere formas para que los auditores internos mantengan la objetividad e independencia requerida por las Normas cuando provean servicios de aseguramiento y consulta. Los auditores internos deben proveer consejo. y motivar las decisiones gerenciales sobre riesgos.El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial  El Institute of Internal Auditors (IIA).  El rol fundamental de la auditoría interna respecto al ERM es proveer aseguramiento objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una organización. para ayudar a asegurar que los riesgos claves de negocio están siendo gestionados apropiadamente y que el sistema de control interno esta siendo operado efectivamente. ha publicado un documento sobre su posición sobre el Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial.

posición the IIA 26 .Rol de Auditoría Interna en la Gestión de Riesgos.