RICARDO GUTIRREZ CALDERN+ Abril , 2004

Expectativas
Qu es COSO-ERM? Cmo inici el concepto Administracin de Riesgos? Cmo pueden medir los auditores el impacto de los riesgos? Cmo podemos ayudar a los gerentes a entender qu son riesgos y controles?

Qu es COSO?
Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985. Es una organizacin del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la tica de negocio, controles internos eficaces y gobierno corporativo. Treadway Commission on Fraudulent Financial Reporting 1987 Marco Integrado de Control Interno publicado en 1992

Por qu es Importante COSO?

COSO proporciona un marco integral del control interno y herramientas de evaluacin para sistemas de control Proporciona una terminolologa utilizada comunmente y principios usados como gua para desarrollar una arquitectura efectiva para la administracin de riesgos Proporciona una visin integral del sistema de control institucional

Cmo se Inici ERM?

ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas Por qu ah? En estas industrias los riesgos estn bien documentados y medidos; comnmente se utilizan sofisticados modelos estadsticos; existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos

Cmo se Inici ERM?

Los Auditores Internos utilizan ERM porque La metodologa tradicional de muestreo usualmente no es suficiente para obtener los resultados deseados La metodologa tradicional es a menudo ineficaz y costosa El enfoque cambi de auditora basada en control Se enfoca en el riesgo para determinar qu es importante y seleccionar la muestra de control La auditora basada en riesgo es ahora la norma del IIA Control Interno Marco Integral Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables El nuevo marco COSO descansa en los primeros conceptos de control interno y refleja lo valioso de ERM

Conceptos Clave sobre ERM

Todas las entidades existen para darle valor a sus accionistas Todas las entidades enfrentan la incertidumbre, por lo tanto, cunta es aceptable? La incertidumbre puede ser un riesgo o una oportunidad ERM no se refiere a controles, se refiere a desempeo

Valor
El valor es creado, preservado o erosionado por las decisiones de la Direccin. Diariamente la Direccin toma decisiones sobre estrategias y operaciones. Las organizaciones agregan valor cuando se derivan beneficios que satisface a: - Accionistas - Clientes o usuarios - Gobierno Aplicacin de recursos (gente, capital, tecnologa, nombre comercial) a modo que los beneficios sean mayores que los recursos utilizados.

Valor
Ampliar y preservar la calidad, capacidad, satisfaccin del cliente. Equilibrio entre crecimiento, riesgo y retorno basados en objetivos y estrategias Ms que el valor financiero o econmico.

Incertidumbre
Globalizacin, tecnologa, reglamentos, reestructuracin, fusiones, adquisiciones, mercados cambiantes, competencia. No se puede determinar con precisin la probabilidad de que ocurrirn eventos potenciales y sus resultados.

Qu es Riesgo?

Riesgo - Oportunidad
Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos. Ninguna entidad opera en un ambiente libre de riesgos. Existe tambin el riesgo de que no se aproveche la ventaja de una oportunidad.

Riesgo-Reglamentacin
Comercio domstico e Internacional Financieras, tanto pblicas como (incluyendo leyes sobre valores) privadas

Relaciones laborales, incluyendo contrataciones, compensaciones y beneficios, sindicatos, condiciones de trabajo, igualdad de oportunidades y liquidacin Medio ambiente peligrosos) (agua, aire y materiales

Impuestos (sobre: utilidades, propiedades, activos, ventas, valor agregado, etc.) Bancarrotas

Riesgo-Cultura
Profundamente arraigada e influye en la dinmica organizacional tica de trabajo Perspectiva de relaciones jerrquicas Educacin Perspectiva sobre tica incluyendo: Nepotismo Cohechos o mordidas Fraude

Definicin de ERM
La Administracin de Riesgo Empresarial es un proceso, realizado por el consejo directivo de una entidad, la administracin y otro personal, aplicado en el establecimiento de estrategias para toda la empresa, diseada para identificar eventos potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su propensin al riesgo y proporcionar una seguridad razonable referente al logro de objetivos.

Definiciones
Control Interno
Control Interno es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, designado para proporcionar seguridad razonable referente al logro de objetivos en las siguientes categoras: Efectividad y eficacia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con las leyes y reglamentos aplicables

Administracin de Riesgos Empresariales

La administracin de riesgos empresariales es un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su propensin al riesgo, proporcionar seguridad razonable referente al logro de objetivos .

Qu no es ERM
Una herramienta para la toma de decisiones Una tcnica de clasificacin para dar seguimiento a controles internos El nico seguro al respecto El trabajo de unos cuantos

Qu ha Cambiado?
MARCO COSO MARCO COSO ERM

Qu ha Cambiado?
MARCO COSO MARCO COSO ERM

Supervisin
Informacin y Comunicacin Actividades de Control Evaluacin del Riesgo Ambiente de Control

Ambiente Interno Establecer Objetivos Identificacin de Eventos Evaluacin del Riesgo Respuesta al Riesgo Actividades de Control Informacin y Comunicacin Supervisin

Ambiente Interno
AMBIENTE INTERNO
Filosofa Propensin Admon.Riesgo al Riesgo

Valor Comun. Palabra/Acc

Valor Cuantitativo Cualitativo Vinculado a estrategia

Integridad y Valores ticos Cdigo Cond. Independen- IndepenPrerequisitos dencia. cia Ejemplo Dir. Activa Activa Involucrada Involucrada Incentivos Cultura Riesgo Asig. Autoridad y Responsab. Pol. y Proc de R.H.

Consejo Admn.

Compentencia Personal Conocimientos Habilidades Trade Off

Diferencia en Ambiente Preferencias Formal Vs Informal Lineas Resporte Facultamiento Evaluacin Conserv. Vs. Agres. Centraliz./ Desc. Rendicin de Entrenamiento Juicios de Valor Compensacin Estilos de Matriz/Funcional/ cuentas Alineada administracin Incentivos y Geogrfica disciplina Estructura Orgnica

Filosofa . Admva. Y Operacional

Ambiente Interno
Fundamento para todos los dems componentes de ERM Influye en estrategia y objetivos. Influye en diseo de actividades de control, sistemas de informacin y comunicacin, y supervisin de actividades. Incluye valores ticos, competencia del personal, estilo de operacin, asignacin de autoridad y responsabilidad, y estructura organizacional. La Direccin se reconoce responsable de los riesgos y de ella emana la filosofa y estilo gerencial e integra y promueve el ERM

Ambiente Interno
Evidencia de la cultura organizacional: Acuerdos con sus empleados Trato a clientes y a otros externos La incidencia de violaciones a leyes y reglamentos El tono desde lo alto Prudencia financiera La calidad de los productos y servicios ofrecidos Sus respuestas a las crisis Su imagen pblica

Ambiente Interno
Las culturas organizacionales cambian en el transcurso del tiempo Jvenes en su entusiasmo vs compaas ms maduras Conforme maduran las empresas, sus estructuras de control interno deben madurar tambin Las empresas con dificultades financieras, a menudo minimizan costos en formas tales que reducen los controles internos

Establecimiento de Objetivos
ESTABLECIMIENTO DE OBJETIVOS Objetivos Estratgicos Metas estratgicas Misin/Visin Eleccin de estrategia Objetivos Relacionados Operacin Informacin Cumplimiento Salvaguarda Objetivos Seleccionados Alineacin y apoyo Decisiones de la Admn. Propensin al Riesgo Crecimiento, riesgo y entorno Asig. Recursos Gente, procesos e Infraestructura Tolerancia al Riesgo Variaciones aceptables Mtrica de Medicin de Objetivos.

Establecimiento de Objetivos
Deben existir objetivos antes de que la administracin pueda identificar eventos que potencialmente afecten su logro. Alinear misin/visin con objetivos Tipos: Estratgicos: relacionados con metas de alto nivel Reportes: confiabilidad en los mecanismos de reportes Cumplimiento: con leyes y reglamentos aplicables

Establecimiento de Objetivos
Aquellos involucrados en el pensamiento estratgico deberan tener esta informacin: - Tendencias econmicas generales y en la industria especfica
- Desarrollo de nuevos productos y procesos - Tendencias tecnolgicas - Desarrollos en habilidades clave - Marcos competitivos de desempeo - Planes y metas estratgicas internas - Resultados histricos de desempeo - Oportunidades para incrementar el potencial de productos o mercados - Disponibilidad de recursos - Asuntos regulatorios - Asuntos ambientales - Efectos en empleados

Identificacin de Eventos
IDENTIFICACIN DE EVENTOS Factores Influy. Eventos Estrat. y Objs. Incidental Internos Externos Impacto positivo y/o negativo Metodologa Eventos Inter- Categoras y tcnicas dependientes de Eventos Eventos Durante Grupos Peridico precursores de riesgo Pasado y (reacciones en por cadena) Futuro proceso Interrelacionados y/o funcin Riegos y Oportunidades
Imp. Neg: Riesgo Imp. Pos: Oport. Disminucin del riesgo

Evaluacin de Riesgos
EVALUACIN DE RIESGOS Riesgo Inherente y Residual Probabilidad e Impacto Metodologas y Tcnicas Cualitativas Cuantitativas Correlacin Secuencia de eventos Categoras Escenarios

Esperadas Accs. Admvas. Previas Horizonte de tiempo Accs. Admvas. Post. Esperadas e Inesperadas Mtrica de medicin Datos observables

Evaluacin de Riesgos
- Condiciones que pueden crear un riesgo adicional

- Diseo u operacin inadecuada del control interno - Metas y planeacin fuera de la realidad - Actividades no autorizadas - Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares - Acciones correctivas pobremente planeadas o implementadas

Evaluacin de Riesgos
- Se asegura el Consejo o el Comit de Auditora de que se reportan
los hallazgos relativos a los riesgos? - El Director Ejecutivo, el Director Financiero y el Director de AI conocen de la efectividad de los controles internos? - El Director de Auditora acta con independencia y proporciona reportes tiles y competentes? - Se rene peridicamente el Comit de Auditora con la gerencia de primer nivel, el Director de Auditora y los auditores externos? - Tiene el Consejo por lo menos un experto financiero?

Evaluacin de Riesgos
- Considerar los riesgos a largo plazo. - Riesgo inherente: riesgo para la entidad en ausencia de cualquier accin realizada por la administracin para alterar la probabilidad o el impacto. - Riesgo residual: riesgo remanente despus de la accin realizada por la administracin para alterar su probabilidad o impacto.
Riesgo Inherente Respuesta al Riesgo

(control interno)
Riesgo Residual

Evaluacin de Riesgos
1. Tormenta de ideas sobre riesgos y oportunidades 2. Identificar de raz las causas y las correlaciones 3. La mejor forma es tener sesiones de facilitacin 4. Calcular el impacto del riesgo usando la misma medida de los objetivos 5. Calcular los escenarios mnimo, mximo y probable 6. Preparar un programa de riesgo 7. Priorizar riesgos y oportunidades basados en su valor ponderado 8. Identificar los riesgos clave que requieren atencin estratgica Tormenta de Ideas Peso/Clculo Priorizar

Respuesta al Riesgo
RESPUESTA AL RIESGO Identificacin de Respuestas Evadir Compartir Reducir rAceptar Evaluacin Posibles Respuestas Impacto Probabilidad Costo Vs. Beneficio Respuestas Innovativas Eleccin de Respuesta Toma de decisiones Visin Integral Nivel entidad Nivel Unidad de negocio Base Inherente y residual

Respuesta al Riesgo
- Opciones y su efecto en la probabilidad e impacto de un evento. - Relacin con: tolerancia al riesgo, costo vs. beneficio. - Seleccin e implantacin. - Seleccionar respuestas que traern la probabilidad e impacto de un evento denro de la tolerancia al riesgo de la entidad. - Cuatro Tipos de Respuesta al Riesgo - Evasin - Reduccin - Compartir - Aceptacin - Redimensionar el riesgo sobre una base residual. - Siempre existirn niveles de riesgo residual.

Actividades de Control
ACTIVIDADES DE CONTROL Integradas a las Respuestas Tipos de Control Controles Generales Admon. TI Infraestructura TI Admon. Seguridad Desarrollo y Mantenimiento de software Controles de Aplicacin Especficos Estrategias y Integridad objetivos Exactitud especficos Autorizacin Ambiente Validacin Operacional Complejidad de la entidad

Implcitas en los Polticas Procedimientos procesos del Preventivos negocio Detectivos Manuales Automatizados

Actividades de Control

Las actividades de control tambin incluyen sistemas, procesos, iniciativas, tcnicas, programas, proyectos y otras formas de lograr los objetivos Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones

Informacin y Comunicacin

INFORMACIN Y COMUNICACIN Informacin Interna Externa Manual Computarizada Formal Informal Arquitectura Sist. Inf. Sistemas Estratgicos e Integrados Estratgica Operacional Pasada y presente Nivel detalle Periodicidad Calidad Comunicacin Interna Externa Nivel entidad Expectativas y responsabilidades Formatos Medios de transmisin

Informacin y Comunicacin
De fuentes internas y externas Identifica, captura, analiza y comunica a quienes lo necesitan Forma y tiempo til para llevar a cabo responsabilidades Fluye hacia abajo, hacia arriba y a lo largo de la organizacin Intercambio con partes externas: clientes, proveedores, legisladores, accionistas til para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos

Informacin y Comunicacin
Informacin relevante Uso de datos histricos y actuales. Identifica correlaciones, tendencias, utiliza el conocimiento para ayudar a pronosticar el desempeo futuro. Prevencin temprana. Estado actual para evaluar si se est dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensin al riesgo. Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administracin. Riesgo de reportes sesgados Canales de comunicacin Tradicionales vs No-tradicionales.

Supervisin
SEGUIMIENTO Y EVALUACIN Durante las Operaciones Tiempo real Implcito Operaciones da a da Evaluaciones Independientes Alcance Frecuencia Autoevaluacin (facilitacin Auditores Internos) Ampliamente documentada Reporte Deficiencias Durante las Operaciones Entidades externas Protocolos Canales alternos

Supervisin

Verificar que los componentes estn presentes y funcionando, y su calidad en el curso del tiempo Dos caminos: Evaluaciones sobre la marcha o independientes. La documentacin vara con el tamao y complejidad de la organizacin La falta de documentacin no significa que los componentes no existan o no puedan ser probados. La documentacin hace que la supervisin sea ms efectiva. Tambin es importante respaldar las aseveraciones sobre la calidad de ERM.

Supervisin
Reportar las deficiencias a quienes pueden tomar la accin apropiada. La deficiencia se puede percibir, sea potencial o real. Tambin la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos. Mecanismo para reportar actos delicados, ilegales o impropios Resultados de la informacin y de la evaluacin Quin, qu, cundo, dnde, cmo, por qu

Eficacia del ERM

Un estado o condicin en un momento dado Eficacia: todos los ocho componentes estn presentes y funcionando Puede haber diferentes niveles de eficacia entre entidades, industrias y combinaciones de componentes, debido tambin a diferentes culturas, tamaos, filosofas administrativas. Conceptos aplicables a todas las entidades sin importar su tamao y niveles de formalidad. Deben considerarse las relaciones externas (inversin conjunta, asociaciones) que no estn bajo un control directo.

Limitaciones de ERM
ERM no garantiza que la entidad ser exitosa y lograr todos sus Objetivos Limitaciones: - Cambios en polticas o programas del Gobierno - Competencia - Condiciones econmicas - Malas decisiones - Errores y equivocaciones - Gerentes incompententes - Omisin o debilitamiento de control interno, colusin, ignorar el ERM ERM no refleja una adecuada relacin costo-beneficio .

Papeles y Responsabilidades

- Consejo de Administracin: Direccin, Estrategia, Tono en la Cumbre, propensin/aversin al riesgo, Respuestas de ERM - Administracin: Responsables de ERM, tono en la cumbre, liderazgo, delegacin apropiada de responsabilidades, influencia a lo largo de unidades organizacionales - Director Ejecutivo de Riesgos (CRO): mantener la administracin efectiva del riesgo, supervisar avances, reportar informacin relevante al Consejo de Administracin y a la Gerencia.

Papeles y Responsabilidades

-Auditores Internos: Apoyar la evaluacin y supervisin del ERM y la calidad del desempeo. Asesorar a la Administracin, al Consejo y al Comit de Auditora y haciendo recomendaciones que agreguen valor a la gestin. - Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen informacin til para el ERM.

Papeles y Responsabilidades
Proporcionan informacin til para ERM, pero no son responsables de ERM Auditores Internos Auditores Externos Auditores del Legislativo Agencias reguladoras (CNBV-CNSF y otros) Clientes Analistas Financieros Medios de comunicacin

Consideraciones para el xito

1. Compromiso del Consejo de A. Directores Generales y Directores Ejecutivos 2. Adoptar e implantar el sistema ERM desde la base hacia arriba 3. Debe ser dirigido y respaldado desde arriba hacia abajo 4. Debe existir un lenguaje comn 5. Proporcionar suficiente entrenamiento a fin de que todos los empleados entiendan completamente cmo participan en el ERM y como el control interno lo apoya

Mitos sobre ERM

Es un cralo-todo con el que se pueden tomar decisiones basados en informacin 100% confiable y basada en informacin sin margen de error. Slo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organizacin Con l, las auditoras sern infalibles ERM es sobre seguros Es un proceso independiente y aislado del resto de la organizacin Cuesta demasiado implementarlo.

Beneficios de ERM
Alinea la propensin al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversin Ampla las decisiones de respuesta al riesgo. Minimiza sorpresas y prdidas operacionales. Identifica y administra riesgos a lo largo de toda la organizacin. Proporciona respuestas integradas a los mltiples riesgos. Toma ventaja de las oportunidades. Mejora la asignacin de capital.

Beneficios de ERM
Se relaciona con la gobernabilidad corporativa -Proporciona informacin al Consejo Directivo s/riesgos -Se conecta con el desempeo de la Administracin Ayuda a organizaciones a lograr objetivos y evitar prdidas Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos Ayuda a evitar daos en la reputacin

Preguntas

Bibliografa

Root, Steven. Beyond COSO: Internal control to enhance corporate governance. John Wiley & Sons. New York, NY. 1998. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management Framework Exposure Draft for Public Comment (July 2003)

Gracias

Por su Asistencia