Descargar - Auditores Externos
Download
Report
Transcript Descargar - Auditores Externos
Riesgos
Apunte de referencias
Parte 1
Profesor Sr Carlos Valdivieso Valenzuela
1
2
Introducción
• Este apunte se ha preparado para ayudar en labores académicas.
• La palabra riesgos ha aparecido para quedarse desde hace ya años.
• Se puede encontrar en: libros, documentos normativos, frameworks,
etc., tanto en Chile como en el extranjero. Son muchas páginas, a
veces en términos áridos, donde cuesta visualizar en términos
simples los conceptos básicos.
• La mayoría de las publicaciones está en inglés.
• Al escribir este apunte sencillo en este tema al cual he estado ligado
por unos 20 años tanto profesional como académicamente,
pretendo citar definiciones y usos cuyas referencias se indican para
que los alumnos tengan un marco de contexto que les facilite sus
lecturas y análisis; es por tanto algo introductorio que no tiene otra
ambición; de ahí que este documento se llama simplemente Apunte.
Nota : La ISO 31.000 y la Guía 73 se pueden comprar en la dirección
que indico
•
•
•
•
UNIDAD VENTA DE NORMAS - INN
Matías Cousiño 64 - Piso 5 - Santiago Centro - Chile
Horario de atención: Lunes a Viernes de 9:00 a 16.30 horas, horario continuado
www.inn.cl
2
3
ALGUNAS DEFINICIONES
• Riesgo «Efecto de la incertidumbre sobre los objetivos «
• Nota 1 «Un efecto es una desviación positiva y / o negativa respecto
a lo previsto»
• Nota 2 «Los objetivos pueden tener diferentes aspectos ( tales como
financieros, de salud y de seguridad o ambientales ) y se pueden
aplicar a diferentes niveles ( tales como ,nivel estratégico, nivel de
un proyecto , de un producto, de un proceso o de una organización
completa».
• Fuente : Guía 73 de ISO 31.000
___________________________________________
• Comentarios
• 1. Antes se asociaba riesgos sólo a pérdidas y aspectos negativos; hoy
también involucra desviaciones positivas las que deben evaluarse.
• Riesgos aparece asociado con los objetivos de la empresa; el orden es
Misión, de ahí derivan los objetivos y de ahí los riesgos primarios, los
subjetivos los riesgos secundarios, los factores de riesgos, los eventos de
riesgos y las actividades de control
• Sin asumir riesgos, suele no haber negocios
Fuente profesor Carlos Valdivieso
3
4
ALGUNAS DEFINICIONES
• Gestión de riesgos « Actividades coordinadas para dirigir y
controlar una organización en lo relativo al riesgo.»
• Fuente : Guía 73 de ISO 31.000
• Proceso de gestión de riesgos “Aplicación sistemática de
políticas, procedimientos y prácticas de gestión a las actividades de
comunicación , consulta, establecimiento del contexto e
identificación , análisis , valoración , tratamiento , monitoreo y
revisión del riesgo”
• Fuente : Guía 73 de ISO 31.000
__________________________________-• Comentarios
• Concepto de proceso como una secuencia de actividades que tienen
un producto , teniendo sistematización , etapas, roles, sistemas y
encargados, ej. proceso de crédito hipotecario. El concepto de
proceso tuvo su origen hace años en Ingeniería Química.
• Gestión de riesgos debe administrarse como un proceso que tiene
que estar documentado.
• Fuente profesor Carlos Valdivieso
4
5
ALGUNAS DEFINICIONES
• Política de gestión de riesgos. "Declaración de intenciones y
orientaciones globales de una organización en relación con la
gestión del riesgo.»
• Fuente : Guía 73 de ISO 31.000
• Comentarios
• Debe estar por escrito y preferentemente aprobada por el Directorio.
• Requiere sea conocida por todo el personal.
• Está en la base de la Administración de la Empresa.
• Fuente profesor Carlos Valdivieso
5
6
ALGUNAS DEFINICIONES
• Apetito de riesgo. « cantidad y tipo de riesgo que una
organización está dispuesta a buscar o retener «
• Fuente : Guía 73 de ISO 31.000
• Comentarios
• Debe ser cuantitativo y para cada riesgo primario , ejemplo . Una
Compañía de Seguros de Vida puede definir que NO tiene apetito de
riesgo en tener inversiones en Renta Variable ( acciones ) y otra que
sí tiene apetito con este riesgo y por tanto invierte en acciones.
• Aquella que invierte acota su apetito por ejemplo hasta el 10 % de
sus inversiones .
• La tolerancia suele ( no siempre ) cuantificar hasta cuánto puede
exceder el límite fijado; ej. hasta 12 %
• Si no se cuantifica para cada riesgo, el apetito , no da luces y
dificulta su control.
• He ayudado a definir apetitos para todos los riesgos primarios y he
visto cómo el Comité de Riesgos revisa cada cierto tiempo los
apetitos reales. Esto es necesario y posible.
• Fuente profesor Carlos Valdivieso
6
7
ALGUNAS DEFINICIONES
• Matriz de Riesgos
• «Herramienta que permite clasificar y visualizar los riesgos
mediante la definición de categorías de consecuencias y de su
probabilidad «
• Fuente : Guía 73 de ISO 31.000
• Comentarios
• La definición está para entendidos, es más simple recordar lo que es
una matriz, son filas y columnas, en las filas están los riesgos
primarios y en las columnas los secundarios, luego se definen y se
pesan.
• Lo importante es que cada empresa defina sus riesgos primarios y
los secundarios.
• Se acompaña un ejemplo teórico de un banco; el Excel es uno que
uso en clases.
• Fuente profesor Carlos Valdivieso
7
8
ALGUNAS DEFINICIONES
• Matriz de Riesgos
Va un ejercicio de matriz teórica para darse una idea de un Banco X:
en la primera fila van los riesgos primarios, en las columnas los
secundarios y en cada un de estos deben luego explicitarse los
elementos de riesgos.
La valorización requiere de una metodología que veremos en clase; por
ahora son valores inventados; todo lo cual debe dar 100%
Por mientras, lo importante es que se queden con una idea lo más
clara posible de lo que es una Matriz de Riesgos.
Para abrir el excel pongan tecla Esc y luego abran ; o sea, no lo pueden
hacer con pantalla completa.
Fuente : Profesor Carlos Valdivieso
8
9
VEAMOS OTRA LISTA DE RIESGOS
• Ejemplo la de SVS en su Norma de Carácter General 325 para
Compañías de Seguros.
• http://www.svs.gob.cl/normativa/ncg_325_2011.pdf
• Otro ejemplo de SVS en su Norma de Carácter General 309 para
Compañías de Seguros.
• http://www.svs.cl/normativa/ncg_309_2011.pdf
• Otro ejemplo es el Comité de Basilea para Bancos cuando tiene tres
categorías de riesgos primarios :Crédito, Mercado y Operacional y
este lo desglosa.
• http://sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf
• Veremos en clases ejercicios de cada cual en función de la empresa
en que trabajan que hagan un intento inicial de su Matriz de
Riesgos.
9
10
ALGUNAS DEFINICIONES
• Riesgo residual
« Riesgo remanente después del tratamiento del riesgo»
Fuente : Guía 73 de ISO 31.000
Comentarios
• Es el que queda después de aplicar los controles; suele llamarse
riesgo no mitigado.
• Veremos en clases un modelo cuantitativo para pesar los riesgos, los
procesos, los eventos de riesgos y los controles.
• Como resultado, se obtiene un riesgo residual cuantitativo de cada
proceso y consolidadamente de la empresa como un todo.
• Ej. el riesgo residual total es 18 %
• Fuente profesor Carlos Valdivieso
10
11
ALGUNAS DEFINICIONES
• Monitoreo
« Verificación, supervisión ,observación crítica o determinación del
estado con objeto de identificar de una manera continua los cambios
que se pueden producir en el nivel de desempeño requerido o
esperado «
Fuente : Guía 73 de ISO 31.000
Comentarios
• Es cada vez más indispensable hacerlo con aplicaciones
informáticas.
• Ej. un Banco mediano en Chile suele tener unas 5 millones de
transacciones computacionales diarias.
• Según consulté directamente a un conocido mío brasilero , el que
tiene más en Latinoamérica es un Banco brasilero que tiene unas
100 millones de transacciones computacionales diarias.
• Hacer un monitoreo eficiente, requiere y así lo usan ahí, de una
aplicación informática.
• Fuente profesor Carlos Valdivieso
11
12
ALGUNAS DEFINICIONES
• Auditoría de la gestión del riesgo
• « Proceso sistemático, independiente y documentado destinado a
obtener evidencias y evaluarlas objetivamente a fin de determinar el
grado de adecuación y de eficacia del marco de trabajo de la
gestión del riesgo «
• Fuente : Guía 73 de ISO 31.000
• Comentarios
• Es indispensable tener de auditor en cada proceso a alguien que lo
conozca bien.
• Es recomendable tener levantados los mapas de riesgo, los eventos
de riesgos y los controles.
• Mi experiencia es que, para un mayor alcance se recomienda el
autocontrol y revisiones selectivas de auditoría sobre esos
autocontroles.
• Fuente profesor Carlos Valdivieso
12
13
COSO 2013 Y COSO ERM 2004 Y LOS RIESGOS
• Ambos son complementarios.
• COSO ERM tiene mejor enfoque y amplitud para riesgos,
incluyendo la respuesta a los riesgos.
• COSO si bien trata los riesgos ,es mejor solución para el control
interno.
• Fuente profesor Carlos Valdivieso
13
14
COSO ERM Y COSO
•
COSO ERM ( 2004 )
COSO ( 2013 )
14
COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MARCADOS CON ROJO )
Control Environment
Risk Assessment
Control Activities
Information &
Communication
Monitoring Activities
1.
2.
3.
4.
5.
Demonstrates commitment to integrity and ethical values
Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability
6.
7.
8.
9.
Specifies suitable objectives
Identifies and analyzes risk
Assesses fraud risk
Identifies and analyzes significant change
10. Selects and develops control activities
11. Selects and develops general controls over technology
12. Deploys through policies and procedures
13. Uses relevant information
14. Communicates internally
15. Communicates externally
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
15
COSO 2013 Y SUS PRINCIPIOS DE RIESGO
( MAYOR DETALLE )
Risk Assessment
6. The organization specifies objectives with
sufficient clarity to enable the identification and
assessment of risks relating to objectives.
7. The organization identifies risks to the
achievement of its objectives across the entity
and analyzes risks as a basis for determining
how the risks should be managed.
8. The organization considers the potential for
fraud in assessing risks to the achievement of
objectives.
9. The organization identifies and assesses
changes that could significantly impact the
system of internal control.
16
17
PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS
RESPECTO A COSO 1992
• La identificación de los objetivos relevantes, es una
precondición para la evaluación de riesgos .El orden es MISIÓN,
y objetivos para cumplir la Misión . De dichos objetivos derivan los
primeros riesgos.
• Establece la relación de los riesgos con las
operaciones , informes y cumplimiento ( compliance)
• Especifica que deben contemplarse la identificación
de los riesgos, el análisis y sus respuestas .
• Incluye las tolerancias al riesgo, como prerequisito.
• Contempla que deben entenderse los cambios significativos
tanto de origen interno como externo y sus relaciones con los
sistemas de control interno.
• Considera el riesgo de fraude y sus relaciones con los informes ,
como parte de la administración de riesgos.
17
18
COSO ERM
• Data del año 2004 , su definición dice:
• “The Enterprise Risk Management—Integrated Framework
defines enterprise risk management as a process, effected by an
entity’s board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and to manage
risk to be within its risk appetite, to provide reasonable assurance
regarding the achievement of entity objectives”
Comentarios
• Pone énfasis en la estrategia, la identificación de los
riesgos, su administración como un proceso, el
establecimiento de los apetitos de riesgos y lograr la
seguridad razonable para alcanzar los objetivos.
18
19
COSO ERM Y COSO-RELACIONES
• COSO ERM es fundamentalmente para Administración de riesgos,
incluyendo a COSO en lo relativo a Control interno.
• COSO ERM es más amplio que COSO incluye las estrategias ( parte superior
del cubo ) como algo previo y a un nivel superior y su relación con los
objetivos de la empresa y tiene que ver con la misión y visión de la
empresa. COSO no se involucra con las estrategias.
• En COSO ERM,debe determinarse los apetitos de riesgos y la
tolerancia.Esto debe hacerse en forma precisa.
• COSO ERM incluye una desagregación de los objetivos estratégicos para
llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO
no lo hace.
• En COSO ERM, en event identification, conviene hacer un análisis FODA
para a visualizar aspectos positivos que pueden ayudar en los negocios
como las amenazas y posibles cursos de acción.
• En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con
separar riesgos en : evitar, transferir y administrar.
19
20
COSO ERM Y COSO-RELACIONES
• En risk response, debe tenerse con precisión como se atiende cada
riesgo y esto tiene que ver con los controles; COSO es más general.
• En Risk assessment, debe determinarse los riesgos y trabajar con
metodologías de riesgo inherente y riesgo residual .COSO no tiene
este foco detallado.
• En entorno de control COSO ERM menciona el rol de los Directores
independientes.
• COSO ERM trabaja con riesgos interrelacionados; COSO no lo
menciona.
• COSO es más amplio en control de actividades y las relaciones con
tecnología.
• En información y comunicaciones COSO ERM tiene un enfoque más
amplio y de gestión, incluyendo proyecciones. COSO es más fuerte
en la calidad y precisión de la información.
• En monitoreo ,COSO ERM incluye más precisión e involucra a entes
externos.
20
21
COSO ERM Y RISK RESPONSE ( Respuestas )
• COSO ERM agrega un elemento que es las respuestas a los riesgos.
• Esto significa que formulados los riesgos primarios , conviene
desagregarlos en eventos de riesgos y determinar lo que se acepta y
lo que no se acepta y de lo que se acepta, qué se transfiere y lo que
se mitiga.
• De lo que se mitiga , para cada evento de riesgo debe haber uno o
más controles, verificando su existencia y funcionamiento.
• Mi consejo y experiencia es trabajar conjuntamente con COSO y
COSO ERM.
• COSO es más profundo en Control Interno y COSO ERM en
administración y control de riesgos.
21
22
APETITO DE RIESGO Y TOLERANCIA AL RIESGO
• COSO ERM es explícito.
• El apetito de riesgo debe cuantificarse por cada riesgo; ya lo vimos.
• Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comité de Auditoría.
22
23
RIESGOS Y UBICACIÓN DE CONTEXTO
• El tema es parte del Gobierno Corporativo.
• Se recomienda comprar la ISO 31.000
• Veremos y analizaremos en clase algunas diapositivas de contexto y
cómo se inscribe el tema de riesgos.
• Con la ISO 31.000 pueden hacer un levantamiento de cada punto,
la comparación con la situación existente y los planes de acción.
23
24
TRES ENTIDADES RELACIONADAS
Adm y
Control
de
Riesgos
ISO
31.000
MATRIZ
de
Riesgos
Ayudan al
Gobierno Corporativo
Fuente Profesor Carlos Valdivieso
24
25
Fuente: ISO 31000 – Traducción libre al español del profesor Carlos Valdivieso
25
DONDE
EN TERRENO
MONITOREO
Visión Contable
AUTOCONTROL
INCIDENTES
ENFOQUE
AUDIRE
EXTENSIÓN
Visión
de Procesos
Fuente: Profesor Sr Valdivieso
Visión de
RRHH
Visión de
Clientes
Visión de
Entorno de Control
26
27
Ranking IIA 2013- Analicemos en clases porqué en Latinoamérica
Riesgos ocupa este lugar a diferencia del resto del mundo.
Aquí hay un tema pendiente
Fuente: Insitute of Internal Auditors respuestas de 1700 auditores en 111 países en el mundovarios temas, ( Seleccionado Riesgos para nuestro curso ) Año 2013 publicado en abril 2013 -Tope
Five Areas of increased focus 2012-2013 Ranking
Tema
Risk Management Effectivines
Operational
Information Technology
Compliance / Regulatory
Business Strategy
Corporate Governance
Cost Reduction / Containmemt
Fraud
Total todos los
Latin
North
Africa Asia-. Pacífico Europe
continentes
America America
1
2
3
4
5
1
5
3
2
4
2
1
3
4
2
4
5
3
1
5
4
2
1
3
4
1
2
5
5
3
27
28
PARA COMPARTIR EXPERIENCIAS EN CLASES
1.
2.
3.
4.
5.
6.
7.
8.
La Administración de riesgos no es ni una ciencia ni una técnica
que de certeza :los negocios y la naturaleza humana tienen de
imprevisible; con todo, da una guía de navegación.
La cultura de la empresa en administración de riesgos es esencial,
empezando desde el Directorio con sus definiciones y políticas
escritas.
La parte ética ayuda y mucho.
Los incentivos económicos deben estar alineados con la
administración de riesgos.
Cada Gerencia y sus unidades deben manejar y controlar sus
riesgos.
El riesgo financiero incluyendo derivados, ha mostrado en la
historia, grandes pérdidas; debe tenerse límites y controlarse.
La segregación de funciones entre lo comercial, lo operativo y la
auditoría interna son indispensables.
Use los frameworks : COSO- COSO ERM-ISO 31.000 y otros como
ayudas, pero las decisiones las toman seres humanos.
28