You are on page 1of 80

ADMINISTRACIÓN DE RIESGOS Y SU IMPORTANCIA EN LOS PROCESOS DE AUDITORIA

.

¿Qué es Riesgo?
• Concepto utilizado por los auditores y la gerencia para expresar su preocupación acerca de los probables efectos de un entorno incierto. • A las posibilidades negativas se las llama “riesgos”, y a las positivas “oportunidades”.

¿Qué es Riesgo?

La amenaza que la ocurrencia o no de un evento (inacción), impida a la organización el alcanzar sus objetivos estratégicos.
Riesgo de acción inoportuna= Incrementa grado
GRADO DE RIESGO

ALTO

MEDIO

BAJO
TIEMPO

Entender el Riesgo del Negocio
• Un profundo conocimiento de los procesos del negocio. • Una imaginación activa y herramientas para generar ideas acerca de los posibles efectos de los riesgos. • Un marco o modelo de riesgo y un lenguaje común para discutir sobre riesgos.

su organización y nivel de desempeño .Proceso de Cambio … El proceso integral de administración de riesgos relaciona riesgos con oportunidades posicionando la administración de riesgos como una fuente de generación de ventajas comparativas. Enfoque Tradicional • Visión fragmentada • Negativo • Reactivo • Extemporáneo • Basado en costos • Visión estrecha • Enfoque funcional • Consideración de los probables efectos materiales de eventos inciertos Enfoque Integral • Integrada • Positiva • Proactiva • Continua • Basada en agregar valor • Visión de conjunto • Enfoque en procesos • Evaluar la efectividad y eficiencia de los procesos y actividades.

Proceso de Planificación Gerencial Moderno ANÁLISIS DE RIESGOS EVALUACIÓN DE RIESGOS ADMINISTRACIÓN DE RIESGOS .

Proceso de Planificación Gerencial Moderno Tipos de Riesgos: • Riesgos del entorno • Riesgos inherentes a los procesos • Riesgo de información para la toma de decisiones Etapas de la Evaluación de Riesgos: • Identificación de riesgos • Determinación de las causas de riesgos • Medición de la severidad. posibilidad de ocurrencia e impacto financiero .

Identificación de Riesgos Exposición Riesgos que pueden afectar activos. intangibles y patrimonio Riesgos que pueden afectar operaciones Riesgos de fraude o desastres Entorno Amenazas . pasivos.

Análisis de Riesgos de Exposición Tamaño Tipo Activos Físicos Capital Humano Activos Financieros Portabilidad Activos Intangibles Ubicación .

Análisis del Entorno de Riesgo        Entorno físico Entorno económico Marco regulatorio Competidores Accionistas / Clientes Proveedores Tecnología .

Análisis del Riesgo de Fraude Los tres elementos del fraude son: ACTITUD FRAUDE PRESIÓN OPORTUNIDAD .

cuáles son deseables? • ¿Tenemos riesgos que no estamos dispuestos a correr? . que pasa? • ¿Qué es lo que puede salir mal?.Estrategia de Administración de Riesgos Identificar • ¿Qué está pasando en el entorno? • ¿Es el modelo efectivo para generar valor? • ¿Qué es lo que estamos tratando de lograr? • ¿Podemos hacerlo mejor. ¿Y como nos enteramos de ello? • ¿De los riesgos que enfrentamos. más rápido y a menor costo? • ¿Si no lo logramos.

¿Si lo son. en qué procesos? Medición de Riesgos • ¿Cuán grande son nuestros riesgos?. cuáles? • ¿Son los riesgos originados en factores internos?. ¿Cuál es su impacto en nuestros principales indicadores financieros y en nuestra reputación? • ¿Cuál es la posibilidad de que nuestros riesgos ocurran en el futuro? Mapa de Riesgos . ¿Si lo son.Estrategia de Administración de Riesgos Determinación de Causales de Riesgo • ¿Son los riesgos originados en factores externos?.

Estrategia de Administración de Riesgos Proceso de administración de riesgos hechos a la medida. Mapas de riesgos/ mapas de procesos ―Robusta‖ evaluación de riesgos Definición de Estrategia y Políticas de Riesgo Pruebas piloto de resultados .

Estrategias para la Administración de Riesgos Evitar Prohibir Parar/Eliminar Reducir Diversificar Controlar Compensar Revalorar/Planear Transferir Asegurar Proteger Expandir Diversificar/Valorar Renegociar Influenciar .

Administración de Riesgos Estrategia y Políticas Sistemas y Datos Informes Gerenciales Metodologías RIESGOS .

modelos y procedimientos para la gestión de riesgos  Proponer límites de exposición a riesgos .Adecuada Estructura Orgánica COMITÉ DE RIESGOS  Estructura  Director  Director  Gerente General  Gerente Unidad de Gestión de Riesgo  Responsabilidades  Diseñar políticas.

monitorear. medir. controlar y divulgar los riesgos .Adecuada Estructura Orgánica UNIDAD DE GESTIÓN DE RIESGOS  Estructura UNIDAD DE GESTION DE RIESGOS GERENTE Riesgo de Crédito Riesgo de Mercado y Operativo Riesgo Legal  Responsabilidades  Identificar.

miembros de la Unidad de Gestión de Riesgos .Adecuada Estructura Orgánica CONSEJO DE GERENCIA RELACION ENTRE COMITES COMITÉ DE GESTION  Comités de Área / Funcionales  Créditos  Unidad de Gestión de Riesgos  Inversiones  ALCO (Riesgo de Mercado)  Sistemas  Tasas  Gastos      Comités Regionales Región Occidente Región Centro Región Oriente En el Comité UGR se evaluarán los temas relacionados a la gestión de cada tipo de riesgo presentados por los Gerentes.

así como de la implementación general del proceso de Administración de Riesgos de Operación en la Institución Sólida cultura de controles internos en todos los niveles de la organización. Políticas y estrategias claras. incluyendo una clara definición de responsabilidades y una correcta segregación de funciones . basados en estándares y mejores prácticas aplicadas para entidades financieras. definidas y supervisadas por el Directorio Responsabilidad de la Alta Gerencia por la ejecución de dichas políticas y estrategias.Políticas Generales para Administrar Riesgos     Proceso uniforme de Administración de Riesgos.

adecuados a las necesidades de la entidad y debidamente probados de manera regular. . y para que éstas comuniquen a la Alta Gerencia y Directorio la información referida a sus procesos de Administración de Riesgos Planes de Contingencia y de Continuidad del Negocio. Tratamiento y Monitoreo de los Riesgos inherentes a sus actividades Sistemas de reporte efectivos.Políticas Generales para Administrar Riesgos     Integración de la Administración de Riesgos con los procesos de Planificación Estratégica y con el desarrollo y monitoreo corriente de las actividades del negocio Metodología común a todas las unidades para la Identificación. Evaluación. para comunicar a las unidades las Políticas y Directivas de la entidad.

¿Si nuestras estrategias son las correctas? ¿Nuestro proceso de medición es efectivo? ¿Tenemos la capacidad de ejecutar las estrategias? .Preguntas Usuales del Proceso de Medición de Riesgos ¿Estamos alcanzando las metas y objetivos? ¿Tenemos la estructura adecuada de supervisión? ¿Si nuestros riesgos han cambiado? ¿Estamos mejorando con la oportunidad debida? COMO SABEMOS ….

procesos de control y gobernabilidad”. objetiva orientada a dar seguridad y asesoramiento con el objetivo de agregar valor y mejorar las operaciones de una entidad.Definición de Auditoría Interna “Auditoría interna es un actividad independiente. INSTITUTO DE AUDITORES INTERNOS . Contribuye al alcance de los objetivos de la entidad mediante la aplicación de un enfoque sistemático y disciplinado para la evaluación y el mejoramiento de la efectividad del sistema de administración de riesgos.

O.¿En que se basa la definición?  El reconocimiento de diversas experiencias y estudios hechos en distintos países del mundo en los últimos años. .S.  Lo establecido por el modelo C.  Reconocimiento de la necesidad de ayudar a agregar valor a la empresa.  La necesidad de usar metodologías de riesgo en Auditoria Interna estableciendo modelos de riesgo aplicados.O.  Reconocimiento del proceso de gobernabilidad.

. Tener programas de trabajo amplios.. Tener bajos costos (economicidad)…. Ser eficientes y efectivos. . como también respecto de los procedimientos y aplicación de los controles internos asociados a la entrega de productos y servicios..¿Qué se espera de la Auditoría Interna? Modificar el enfoque y orientación de las auditorias.. con el objeto de lograr una cobertura asociada a los principales riesgos por una parte. y agregar valor y eficiencia a la administración de los riesgos a las líneas de negocios más relevantes...

• La clave está en el trabajo multidisciplinario. orientada a objetivos. es decir una estructura matricial.Organización de Auditoría Interna • La unidad de auditoria se encuentra orientada a detectar y prevenir los riesgos a que se encuentra sometida la organización. . • Por lo tanto su estructura debe reflejar esta situación. generando unidades especializadas de acuerdo a los riesgos principales. integrado a través de las unidades.

Auditoría Integral Identificación de los principales riesgos y de su relación con los principales procesos de negocios y de control conjuntamente con la determinación del grado de cumplimiento cerrando así la brecha entre los resultados esperados y los reales. Determinar y Asesorar: Efectividad Desempeño Cumplimiento Eficiencia Determinar Cumplimiento • Evaluación de Riesgos en la Auditoría de Unidades de Negocios • Evaluación de Riesgos en la Planificación de la Auditoría .

Auditoría Integral “Auditoría Tradicional” “Auditoría Integral” Consultoría Gerencial Ampliar Auditoría de Procesos del Negocio Auditorías Financieras Habilidades Control Interno Profundizar Control Interno y Desempeño Auto evaluación Facilitación .

a fin de satisfacer las necesidades de auditoría de la organización.Auditoría enfocada a la Administración de Riesgos La Auditoría de Riesgos permite: • Evaluar en que medida los procesos de control organizados en el sistema de control interno. contribuyen a mitigar los riesgos. . • Evaluar si las consecuencias negativas o positivas de los riesgos están directamente afectadas por la efectividad de los controles y del sistema de control interno. • Es un medio de asignar los recursos de auditoría disponibles. de manera tal que el esfuerzo mayor va a ser dedicado a aquellos procesos auditables que revisten mayor relevancia. • Identifica. mide y prioriza riesgos.

Proceso de Auditoría Prácticas actuales Prácticas destacables Ideas y Oportunidades Evaluar ideas (costo/beneficio) Temas Importantes Próximos pasos ¿Qué estamos Haciendo? ¿Que es lo que hacen Las instituciones líderes? ¿Cuáles son nuestros inhibidores? ¿Qué cambios podemos hacer? ¿Qué se espera de nosotros? ¿Cuáles son los cambios más relevantes? ¿Cuáles son los costos y beneficios relacionados? ¿Cuáles son las consecuencias? Aspectos críticos Próximos pasos y metas .

. Actúa como punto central de comunicación y coordinación entre el directorio y la gerencia con las instancias de control interno y externo que interactúan en la organización. además de sus integrantes. Este Comité debe reunirse periódicamente. los funcionarios que el comité considere necesarios a fin de tratar temas en particular.Comité de Auditoría La función principal es llevar a cabo una supervisión atenta del proceso de preparación de los informes financieros y del sistema de control interno. En dichas reuniones participaran.

Riesgos Inherentes • • • • • • • • Riesgo de crédito Riesgo de mercado Riesgo de liquidez Riesgo operativo Riesgo legal Riesgo de imagen Riesgo de información Riesgo por país y de transferencia .

COSO: “Commitee of Sponsoring Organizations of The Treadway Commission”. “Los controles deben estar incorporados en las operaciones”. más que nunca.Enfoque COSO I Durante los 90`s se hizo evidente. . la importancia de mantener un sistema de control interno adecuado y eficiente.

Nuevo Concepto COSO I 1...Efectuado por la junta directiva. por lo cual todas las personas en sus diferentes niveles de cargo deben estar conscientes de la evaluación y los controles de los riesgos.… 3. aborden todos los asuntos o permitan suficiencia organizacional 2.El control interno se define como un proceso … • El control interno no debe ser acontecimientos.Diseñado para proveer una seguridad razonable … .. a fin de responder de manera apropiada • Implica comprender las limitaciones de control • No se puede esperar que los controles internos eviten todos los problemas. mecanismos o decretos aislados de la gerencia • Son mucho más efectivos cuando se crean en los procesos de negocios • El control interno se refiere a la gente. la gerencia y el resto del personal de una entidad.

Enfoque COSO I ACTIVIDADES DE CONTROL VALORACIÓN DE RIESGOS AMBIENTE DE CONTROL .

Ambiente de Control .

Evaluación de Riesgos .

Actividades de Control .

Información y Comunicación .

Monitoreo .

ERM ACTIVIDADES DE CONTROL EXPOSICIÓN DE RIESGOS VALORACIÓN DE RIESGOS ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIÓN DE EVENTOS ESTABLECIMIENTO DE OBJETIVOS ESTABLECIMIENTO DE OBJETIVOS AMBIENTE INTERNO .Enfoque COSO II .

basado en el establecimiento de estrategias para toda la empresa. para proporcionar una seguridad razonable referente al logro de los objetivos del negocio Fuente: Enterprise Risk Management —Integrated Framework Septiembre. y gerenciar los riesgos dentro del apetito de riesgo… 5. … 4. la gerencia y demás personal de la entidad. realizado por la junta directiva. Es un proceso… 2.ERM 1.… 3.Evolución de las Prácticas Mundiales COSO II . diseñadas para identificar eventos potenciales que puedan afectar a la entidad. 2004 .

ERM .Evolución de las Prácticas Mundiales COSO II .

Usualmente. varían según las opciones adoptadas por la gerencia en cuanto a estructura y rendimiento Reporte o presentación de resultados: relacionado a la confiabilidad y efectividad de la estructura de líneas de reporte Cumplimiento: relacionado con el apego de la organización a las leyes y regulaciones . asimismo están alineados y dan apoyo a la misión del negocio Operacional: relacionados con la efectividad y eficiencia de las operaciones de la entidad o empresa o corporación.Objetivos de COSO II . lo cual incluye su rendimiento y rentabilidad.ERM     Estratégico: relacionados con las metas de alto nivel.

COSO II – ERM Ambiente de Control .

COSO II – ERM Establecimiento de Objetivos .

COSO II – ERM Identificación de Eventos .

COSO II – ERM Evaluación de Riesgos .

COSO II – ERM Respuesta al Riesgo .

COSO II – ERM Actividades de Control .

COSO II – ERM Información y Comunicación .

COSO II – ERM Monitoreo

Administración de Riesgos del Emprendimiento ERM
Definición “Proceso mediante el cual las organizaciones de todas las industrias valoran, controlan, explotan, financian y monitorean los riesgos proveniente de todas las fuentes, con el propósito de incrementar el valor de la organización a largo plazo”.

Administración de Riesgos del Emprendimiento ERM

Provee una estructura conceptual para que la administración trate de manera efectiva con la incertidumbre y con los riesgos y oportunidades a ella asociados. Es generado por decisiones de la administración que varían desde la definición de estrategia hasta la operación diaria de la empresa.

Principios de ERM
  

 

Es responsabilidad de todos Integra los objetivos a través del negocio Parte integral de los procesos de la organización Comprensión, disciplina y continuidad Evolución constante.

Características ERM      Un proceso: es un medio para un fin. no evento o circunstancia Efectuado por gente. no sólo políticas. estudios y formas Aplicado en estrategia y a través de la empresa: portafolio de riesgos Diseñada para identificar eventos que potencialmente afectan a la entidad Orientado al logro de los objetivos .

Beneficios ERM       Alinear el “apetito” por el riesgo y la estrategia Vincula crecimiento. riesgo y entorno Enriquece las decisiones de respuesta frente al riesgo Minimiza sorpresas y pérdidas operacionales Identifica y administra los riesgos a través del emprendimiento Sopesa oportunidades .

Evolución ERM En el pasado  Ahora         Riesgos considerados individualmente Identificación y evaluación del riesgo Enfoque en todos los riesgos Mitigación del riesgo Limite de riesgo Riesgos que no tienen responsables Cuantificación de riesgo inconsistente Riesgo no es mi responsabilidad       Riesgo en el contexto de estrategia Desarrollo de “portafolio” de riesgos Enfoque en los riesgos críticos Optimización de riesgo Estrategia de riesgo Responsabilidad sobre riesgo definida Monitoreo y medición Riesgo es responsabilidad de todos  .

 .  Reporte de las principales fallas del control interno.Requerimiento del Enfoque de Riesgos Evaluación de los riesgos.  Evaluación anual.  Identificación y evaluación de los controles internos. realizada por el Directorio.  Reporte regular al Directorio sobre la operación del sistema de control interno. sobre la adecuación de los controles internos y el desempeño de auditoria interna. con base al perfil de riesgos.

para adecuarlos a los objetivos de la entidad. DISEÑO DEL SISTEMA DE CONTROL CONTROL INTERNO OBJETIVOS DE LA ENTIDAD ADMINISTRA CIÓN DE RIESGOS ALCANCE DE LA REVISIÓN DISEÑO DE LA ADMINISTRACIÓN DE RIESGOS .Requerimiento del Enfoque de Riesgos La evaluación de los controles internos se debe enfocar hacia las áreas de mayor riesgo.

Objetivos de la Valoración de Riesgos Determinar:  El nivel de los riesgos inherentes a las actividades propias de la entidad  La adecuación de los sistemas actuales de administración. medición y monitoreo de los riesgos del negocio El impacto de los factores externos de riesgo El riesgo compuesto inherente y los ratings de control de riesgo para cada línea de negocio   .

Objetivos de la Valoración del Riesgo Pasos Claves Productos Claves Perfil institucional Matriz de riesgos y valuación de los riesgos Plan de revisión y análisis de actividades Memorandum de alcance de revisión Carta con formato de la información requerida      Entender la entidad y recolectar  información  Valuar el riesgo institucional evaluando los riesgos y los  sistemas de control Determinar el trabajo de control  Definir actividades de revisión Requerimientos de información  específicos para las revisiones .

reuniones con administración y/o directorio Documentos actualizados enfocados a riesgo. reuniones  .Objetivos de la Valoración del Riesgo Pasos Claves Productos Claves   Realizar revisiones periódicas Reportar los resultados de las revisiones y evaluaciones   Módulos de revisión y análisis Reportes de análisis y otros documentos resumen. monitoreo y vigilancia.

y como proyecto también corporativo. consensúan y se asignan a unidades orgánicas. • El trabajo de conceptualizar. Esto implica definir los riesgos principales y luego desagregar estos en sus componentes. • Los riesgos se definen. .O.O. posteriormente ésta se ajusta para recoger experiencias externas e internas y hacerla consistente con las “Mejores Prácticas”.Informe C. – Matrices de Riesgo • Definición de una Matriz de Riesgo como modelo corporativo. no de auditoria.S. formular y definir la primera versión de la Matriz puede tomar bastante tiempo. las tendencias de la industria y la situación particular de cada organización.

• Cada organización debe desarrollar su propio enfoque sistemático (desarrollo de herramientas).S. plazos y su posterior seguimiento.O.O. que faciliten los análisis. acorde a sus riesgos y realidad . – Matrices de Riesgo • Para los riesgos de la Matriz. se debieran establecer indicadores.Informe C. generen planes de acción con responsables.

.

Modelo de Matriz de Riesgos Nombre de la Entidad:__________________________________________ Nombre del Proceso:___________________________________________ Probabilidad Impacto Plan de Mejoramiento Factores de Riesgo A B A B Causa Control Existente Plan de Mitigación Respon sable Fecha observa ciones .

Valuación Funcional del Riesgo PROBABILIDAD DE OCURRENCIA BAJA ALTA IMPACTO DEL RIESGO ALTO ACCION DE CONTROL Y PLAN DE CONTINGENCIA ACCION DE CONTROL INMEDIATO OBJETIVOS DE LA ENTIDAD BAJO REVISION PERIODICA ACCION DE CONTROL .

Capacidad de Control ¿RIESGO PRIORITARIO RECONOCIDO? NO SI ¿RIESGO CONTROLADO? SI CONTROL INDIRECTO CONCIENCIA DE CONTROL CEGUERA E IMPOSIBILIDAD DE CONTROL NO OMISION DEL CONTROL .

Capacidad de Control Aceptar el riesgo y controlarlo Compartir el Riesgo RIESGOS CONTROLABLES Evaluación de controles Transferir el Riesgo Eliminar el riesgo Evaluación de Mecanismos de Reducción y del Control del Riesgo Residual Identificar el Riesgo RIESGOS NO CONTROLABLES Evaluación de Monitoreo Evaluación de Salida de Actividad Evitar actividad relacionada .

Perfil de Riesgos RIESGO TOMADO EXCESO + RIESGO RESIDUAL = PERFIL DE RIESGOS OBSERVADO MECANISMO DE CONTROL PERFIL DE RIESGOS DESEADO .

cuando realmente es el que tiene una mayor contribución marginal sobre el perfil de riesgos. CREDITO R. LIQUIDEZ R.Perfil de Riesgos R. LIQUIDEZ R. CREDITO (Relacionados) R. MERCADO R. LIQUIDEZ R. MERCADO R. CREDITO R. MERCADO R. . al considerar su componente residual de control. MERCADO RIESGO TOMADO RIESGO RESIDUAL CONTROL INTERNO PERFIL DE RIESGOS OBSERVADO Bajo una evaluación de riesgos típica se consideraría que el riesgo de crédito es reducido. LIQUIDEZ R.

Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD a) Determinación de los principales riesgos y porcentajes UNIDAD / ÁREA PRODUCTO / ACTIVIDAD RIESGO A 55% RIESGO B 10% RIESGO C 35% .

Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD b) Determinación de las principales actividades y porcentajes .

Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD c) Determinación de los principales elementos de control. grado de importancia y cumplimiento. .

C = 0.0 CP = 0.5 NC = 1.Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD d) Definición valoración de los grados de cumplimientos y grados de importancia de los elementos de control.0 1 = leve 2 = bajo 3 = norma 4 = alta 5 = crítica .

Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD .

40% 41% .10% 11% .423? Esto significa que el riesgo de la Unidad es de 42. Modelo de escala de riesgo: 0 % .3 %.20% 21% .60% = Riesgo bajo = Riesgo Medio Bajo = Riesgo Medio = Riesgo Medio Alto 61% .100% = Riesgo Alto .Metodología de Cuantificación del Riesgo CUANTIFICACION DEL RIESGO DE LA UNIDAD Y ahora ¿qué representa el 0.

Metodología de Cuantificación del Riesgo .

“Dar ejemplos no es la principal manera de influir en los demás. es la única manera” Albert Einstein GRACIAS POR SU ATENCIÓN .