Aplicacin practica de la implantacin de la Gestin

Integral de Riesgos (ERM) - COSO II- en una empresa y el

rol de Auditora Interna.

XIII Jornadas de Auditora Interna Ahciet

Ecuador 10 y 11 de Octubre 2006

Juan Ignacio Ruiz Zorrilla CIA.

Secretario General IAI Espaa.

1
ndice:
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad
Evolucin e impacto de los modelos ERM COSO II
El Cubo de COSO II ERM
COSO I vs COSO II
Responsabilidad del modelo ERM
Beneficios COSO II ERM
Fases de elaboracin de un Mapa de Riesgos
Mapa de Riesgos
Objetivos Riesgo Controles
Auditora Interna en el Control y la Gestin de Riesgos
Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA

2
 Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (I)

La Gestin de Riesgos Corporativos es un proceso efectuado por el

Consejo de Administracin de una entidad, su Direccin y restante
personal, aplicable a la definicin de estrategias en toda la empresa y
diseado para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.

* COSO (Committee of Sponsoring Organization of the Treadway Commission)

3
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (II)

La Gestin de Riesgos Corporativos (ERM) dentro una empresa o

Grupo de empresas permite:

Identificar aquellos acontecimientos que puedan impactar en

la organizacin impidindole alcanzar sus objetivos.
Realizar una valoracin de los riesgos de la compaa y
gestionar su tratamiento en funcin del riesgo aceptado en la
misma.
Integrar la gestin de riesgos en los procesos de planificacin
estratgica de la compaa, en el control interno y en la
operativa diaria de la misma.
Disponer del portafolio de riesgos a nivel global de la
compaa y para cada una de sus divisiones y/o funciones.

4
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (III)

Por qu surge la necesidad de disponer de una Gestin de estas caractersticas?

Existe una gran diversidad de riesgos presentes y potenciales en la actividad de

los negocios, todo ello debido a la creciente complejidad del entorno
empresarial y los variados intereses involucrados en la empresa.

Entorno de la Empresa
Obligaciones / Compromisos Estrategia Legal y Regulatorio
Incertidumbre asociada a Fusiones y Mercado
Pasivos contratados Compliance
adquisiciones Cambios en variables macroeconmicas
Reclamaciones Optimizacin fiscal
Estrategia y Planes de negocio Cambios en volmenes
Responsabilidad de producto
Valor para el accionista y Stakeholders Actividades de los competidores
Pasivos ticos
Obligaciones legales Reputacin
Producto Marketing Cambios de marca / impacto en el mercado

Branding ENTIDAD Seguridad alimentaria

Cartera
Atractividad Clientes
Innovacin Investigacin
Fidelidad del cliente

Finanzas Recursos humanos

Gestin de ingresos Cambios en el equipo gestor
Cash flow Produccin Recursos y perfiles
Sistemas de Informacin
Acceso a fondos/tipos de inters Logsitica Integridad y fiabilidad del personal
Confidencialidad
Procurement y pagos Trazabilidad Motivacin
Integridad Corporate Governance
Cambio de divisas Planificacin y programacin Salud, seguridad e higiene
Disponibilidad Proyectos e Inversiones
Fiabilidad de la contabilidad Configuracin Relaciones con los sindicatos
Value for money Plannig and budgeting
Control de crdito Inventarios y repuestos
Seguridad Estructura organizativa
E-Business Ciclo de vida
Comunicacin
Reporting
5
Gestin de Riesgos Corporativos (ERM). Concepto y necesidad (IV)

Por qu surge la necesidad de disponer de una Gestin de estas caractersticas?

Existencia de nuevos marcos regulatorios como consecuencia de dichos escndalos

financieros. Todos ellos pivotan alrededor de un Modelo de Riesgos incorporado en
los procesos de gestin y direccin de la empresa.

The Sarbanes-Oxley
Act of 2002

Ley de Transparencia
26/2003

Orden Ministerial
3722/2003

6
Evolucin e impacto de los Modelos ERM (I)
VISIN TRADICIONAL
Funcin soporte.
Concepto exclusivo de riesgo
como peligro.
Comunicacin del riesgo slo a
travs de una prdida o una
noticia negativa para la
Compaa.
Coste del riesgo no entendido
o capturado para su
consideracin financiera.
VISIN ACTUAL
Funcin dedicada a la gestin
activa y por anticipado de los
riesgos de negocio.
Proceso proactivo que integra la
gestin de riesgos en la
estrategia de la empresa.
Presin de los stakeholders
para entender el rango de riesgos
que est afrontando la empresa.
El conocimiento de los riesgos
subyacentes permite gestionar
ms adecuadamente la
asignacin del capital,
permitiendo incrementar el valor
para los stakeholders.
7
Evolucin e impacto de los Modelos ERM (II)

Impacto de los modelos ERM

Nivel de compromiso

ERM es una de mis

prioridades

ERM es una prioridad En estos momentos

del Consejo
ERM es uno de los
proyectos
ERM es una prioridad
de la Compaa
prioritarios de la Alta
Direccin de las
Tengo la informacin que Compaas...
necesito para gestionar
riesgos a nivel empresa

Terminologa y estndares
comunes para gestionar
los riesgos

Totalmente Algo Fuente: 7 Encuesta Global de CEOs

de acuerdo en desacuerdo de PWC
Algo Totalmente
de acuerdo en desacuerdo
8
Evolucin e impacto de los Modelos ERM (III)

Impacto de los modelos ERM

Para cundo?

Ya dispongo de ERM
eficiente y eficaz

Dentro de 1 ao ...ms del 85%

piensan tener en
Dentro de 2 aos funcionamiento un
Modelo de Gestin
de Riesgos antes de
Dentro de 3 aos
tres aos...

Ms de 3 aos

No espero
implantar ERM

No sabe /
No contesta Fuente: 7 Encuesta Global de CEOs
de PWC

9
Evolucin e impacto de los Modelos ERM (IV)

Impacto de los modelos ERM

Impactos

Reputacin

Reduccin de costes
...que les ayudar a
Objetivos
mejorar, de una
estratgicos
forma significativa
Menor coste su reputacin,
capital
rentabilidad y
Inversin I+D confianza de la
direccin ejecutiva...
Actividades F&A
Muy positivo

Rentabilidad
Positivo

Confianza de la Negativo
Direccin
Muy Negativo
Fuente: 7 Encuesta Global de CEOs
de PWC

10
El Cubo ERM: Objetivos, componentes y niveles de la organizacin (I)
En el marco de Gestin Integral de Riesgos desarrollado por COSO II, existe una
relacin directa entre los OBJETIVOS (aquellos que la organizacin trata de
alcanzar), los COMPONENTES de gestin del riesgo de la compaa
(representan las herramientas necesarias para el logro de dichos objetivos), as
como con cada uno de los NIVELES de la organizacin. La relacin se
representa con el siguiente cubo:

OBJETIVOS

NIVELES DE LA
COMPONENTES
ORGANIZACIN

11
El Cubo ERM: Objetivos, componentes y niveles de la organizacin (II)

El presente Modelo de Gestin de Riesgos Corporativos est orientado a

alcanzar los OBJETIVOS de la Compaa, que se pueden clasificar en
cuatro categoras:

ESTRATGICOS: referidos a metas de alto nivel, alineadas y dando

soporte a la misin / visin de la organizacin.
OPERATIVOS: referidos a la eficiencia y eficacia de las actividades
de la organizacin, incluyendo los objetivos de rentabilidad y
desempeo.
INFORMACIN: referidos a la fiabilidad de la informacin
suministrada por la organizacin, que incluye datos internos y
externos, as como informacin financiera y no financiera.
CUMPLIMIENTO: referidos al cumplimiento de las leyes y normas y
leyes aplicables.

12
El Cubo ERM: Objetivos, componentes y niveles de la organizacin (III)
El modelo de Gestin de Riesgos Corporativos consta de ocho COMPONENTES
relacionados entre s, que se derivan de la manera en que la direccin conduce la
empresa y cmo estn integrados en el proceso de gestin.

Ambiente Interno
Filosofa de la gestin de riesgos Cultura de riesgos Consejo de Administracin /
Direccin - Integridad y valores ticos Compromiso de competencia Estructura organizativa
Asignacin de autoridad y responsabilidad Polticas y prcticas en materia de recursos
humanos

Establecimiento de objetivos
Objetivos estratgicos Objetivos relacionados Objetivos seleccionados
Riesgo aceptado Tolerancia al riesgo

Identificacin de acontecimientos
Acontecimientos Factores de influencia estratgica y de objetivos -
Metodologas y tcnicas Acontecimientos independientes Categoras de
Acontecimientos Riesgos y oportunidades

Evaluacin de riesgos
Riesgo inherente y residual Probabilidad e impacto -
Tcnicas de evaluacin Correlacin entre acontecimientos

13
El Cubo ERM: Objetivos, componentes y niveles de la organizacin (IV)

Respuesta a los riesgos

Evaluacin de posibles respuestas Seleccin de respuestas -
Perspectiva de cartera

Actividades de control
Integracin de la respuesta al riesgo Tipos de actividades de control Polticas y
procedimientos Controles de los sistemas de informacin Controles
Especficos de la entidad

Informacin y comunicacin
Informacin - Comunicacin

Supervisin
Actividades permanentes de supervisin Evaluaciones independientes
Comunicacin de deficiencias

14
El Cubo ERM: Objetivos, componentes y niveles de la organizacin (V)

La Gestin de Riesgos Corporativos considera actividades a todos los NIVELES

DE LA ORGANIZACIN:

- NIVEL CORPORATIVO
- LNEA DE NEGOCIO / PAS
- EMPRESA
- UNIDAD

15
 COSO II
COSO I vs. COSO II (I)
OBJETIVOS (4)
ESTRATGICOS
OPERATIVOS
INFORMACIN
COMPONENTES
OBJETIVOS (3/4)
(3/4) CUMPLIMIENT O
EFICACIA Y EFICIENCIA OPERACIONES
INFORMACIN FINANCIERA
NORMATIVA
SALVAGUARDA ACTIVOS (*)

COMPONENTES (8)
AMBIENTE INTERNO
EST ABLECIMIENTO DE OBJETIVOS
IDENTIFICACIN DE EVENT OS

EVALUACIN DE LOS RIESGOS

RESPUEST A A LOS RIESGOS
ACT IVIDADES DE CONT ROL

COSO I INFORMACIN Y COMUNICACIN

SUPERVISIN

COMPONENTES (5)
ENTORNO DE CONTROL

EVALUACIN DE RIESGOS

ACT IVIDADES DE CONT ROL

COMPONENTES
INFORMACIN Y COMUNICACIN
SUPERVISIN
16
 Responsabilidades del Modelo ERM
Todas las personas que integran una Compaa tienen alguna
responsabilidad en la Gestin de Riesgos Corporativos.

PRESIDENTE / CONSEJERO DELEGADO: responsable ltimo.

OTROS DIRECTIVOS: apoyan la filosofa de gestin de riesgos de la entidad,
gestionan los riesgos dentro de sus reas de responsabilidad en conformidad con
la tolerancia al riesgo.
DIRECTOR DE RIESGOS, FINANCIERO, AUDITOR INTERNO: desempean
responsabilidades claves de apoyo y supervisin del Modelo de Gestin de
Riesgos.
PERSONAL RESTANTE: responsable de ejecutar la gestin de riesgos
corporativos de acuerdo con las directrices establecidas.
CONSEJO DE ADMINISTRACIN / COMISIN DE AUDITORA Y CONTROL:
desarrolla una importante supervisin de la gestin de riesgos corporativos, es
consciente del riesgo aceptado por la Sociedad y est de acuerdo con l.
TERCEROS (clientes, proveedores, auditores externos, reguladores y analistas
financieros): proporcionan a menudo informacin til para el desarrollo del ERM,
aunque no son responsables de su eficacia en la entidad.

17
Beneficios del ERM

Permite a la Direccin de la empresa poseer una visin global del riesgo

y accionar los planes para su correcta gestin.
Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de
los controles implantados, lo que permite su adecuada gestin. Toma de
decisiones ms segura, facilitando la asignacin del capital.
Alinea los objetivos del Grupo con los objetivos de las diferentes
unidades de negocio, as como los riesgos asumidos y los controles
puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y
control interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de
nuevas prcticas de Gobierno Corporativo.
Fomenta que la gestin de riesgos pase a formar parte de la cultura del
Grupo.

18
Fases de elaboracin del Mapa de Riesgos.-

Experiencia practica en TPI

ENTENDIMIENTO
ELABORACIN ENTREVISTAS VALIDACIN DE LA FIJACIN CON EL CEO
DE LA SITUACIN MAPA DE RIESGOS
PERFIL DE RIESGOS COMIT DIRECCIN INFORMACIN TOLERANCIA AL RIESGO

Se analiza la
En base a Se les enva
Estrategia, la El CEO marca
Se identifican entrevistas, los datos
normativa Con toda la para cada uno
los se identifican obtenidos en
vigente, informacin de los 4
principales Riesgos y se la entrevista
rganos de se elabora el objetivos de
Riesgos y los Valoran en para que
control, Mapa de COSO el Nivel
Controles base a su validen datos
procesos que Riesgos aceptado de
existentes Impacto y de Riesgos y
controlan Riesgo
Probabilidad. Controles.
Riesgos

19
Mapa de Riesgos.- sin identificar apetito al riesgo

Ejemplo no real de Riesgos:

E Competencia
O Flexibilidad al cambio
R- Comunicacin interna
C Regulacin.

20
Mapas de Riesgos.- con indicacin de apetito al riesgo.

21
 Objetivos Riesgos Controles

C
O
N
T
R
O
L RENTABILIDAD

CREACIN DE
VALOR PARA EL
RIESGOS PRINCIPALES DE LAS EMPRESAS ACCIONISTA
DE TELECOMUNICACIONES
CUOTA DE
Satisfaccin del cliente Liderazgo
MERCADO
Recursos Humanos Eficiencia
Desarrollo de productos MEJORA DE LA
Fijacin de precios
CALIDAD DEL
Competencia Regulacin
SERVICIO
Planificacin Estratgica Infraestructuras
Imagen Obsolescencia PRODUCTIVIDAD
Facturacin/Perdida Ingresos

22
Auditora Interna en la gestin y control de riesgos

Definicin de Auditora Interna:

La auditora interna es una actividad independiente y objetiva de aseguramiento y

consulta, concebida para agregar valor y mejorar las operaciones de una organizacin.
Ayuda a una organizacin a cumplir sus objetivos, aportando un enfoque sistemtico y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos,
control y gobierno.

Normas Internacionales para el ejercicio profesional de la Auditora

Interna:

2120 Control.- La actividad de auditora interna debe ayudar a la organizacin en el

mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y
eficiencia de los mismos y promoviendo su mejora continua.

2110 Gestin de Riesgos.- La actividad de auditora interna debe ayudar a la

organizacin mediante la identificacin y evaluacin de las exposiciones
significativas a los riesgos, y la contribucin a la mejora de los sistemas de
gestin de riesgos y control.

23
Auditora Interna en la gestin y control de riesgos

2110. A1 La actividad de auditora interna debe supervisar y evaluar la eficacia

del sistema de gestin de riesgos de la organizacin.

2110. A2 La actividad de auditora interna debe evaluar las exposiciones al

riesgo referidas a gobierno, operaciones y sistemas de informacin de la
organizacin, con relacin a lo siguiente:

Fiabilidad e integridad de la informacin financiera y operativa;

Eficacia y eficiencia de las operaciones;
Proteccin de activos, y
Cumplimiento de leyes, regulaciones y contratos.

2110. C1 Durante los trabajos de consultora, los auditores internos deben

considerar los riesgos relacionados con los objetivos del trabajo y estar atentos a
la existencia de otros riesgos significativos.

2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultora en el proceso de identificacin y
evaluacin de las exposiciones a riesgos significativos en la organizacin.

24
El Rol de la Auditora Interna en la Gestin de Riesgo Empresarial

El Institute of Internal Auditors (IIA), ha publicado un documento sobre su posicin

sobre el Rol de la Auditora Interna en la Gestin de Riesgo Empresarial. El
documento sugiere formas para que los auditores internos mantengan la objetividad
e independencia requerida por las Normas cuando provean servicios de
aseguramiento y consulta.

El rol fundamental de la auditora interna respecto al ERM es proveer aseguramiento

objetivo al Consejo (Board) sobre la efectividad de las actividades de ERM en una
organizacin, para ayudar a asegurar que los riesgos claves de negocio estn
siendo gestionados apropiadamente y que el sistema de control interno esta siendo
operado efectivamente.

El Instituto enfatiza que las organizaciones deben entender completamente que la

gerencia mantiene la responsabilidad de la gestin de riesgo. Los auditores internos
deben proveer consejo, y motivar las decisiones gerenciales sobre riesgos, en vez
de realizar decisiones sobre gestin de riesgo.

25
Rol de Auditora Interna en la Gestin de Riesgos, posicin the IIA

26