COSO II – ERM y el Papel del Auditor Interno

Rafael Ruano Diez

Socio - PricewaterhouseCoopers

TEMARIO DE LA SESIÓN

• Introducción a COSO II – ERM

• Enterprise Risk Management
– Premisas fundamentales
– Preguntas claves respecto a ERM
–¿Qué es Enterprise Risk Management?
– Beneficio de ERM
– Componentes claves de ERM
– ERM y otras prácticas de gestión y control de riesgos
• Roles y responsabilidades – El rol de Auditor Interno
• Conclusión
3 Š &

1
 Introducción a COSO II - ERM

• El nombre de COSO proviene del Committee of

Sponsoring Organizations of the Treadway Commission.

• En 1992, publicó un informe denominado Internal

Control – Integrated Framework (IC-IF), conocido
también como COSO I.

• Adoptado por el sector público y privado en USA, por el

Banco Mundial y el BID, y se extiende rápidamente por
todo Latino América.

Introducción a COSO II - ERM

• Debido al aumento de preocupación por la

administración de riesgos, The Committee of Sponsoring
Organisations of the Treadway Commission determinó la
necesidad de la existencia de un marco reconocido de
administración integral de riesgos.

• El proyecto se inició en enero de 2001 con el objeto de

desarrollar un marco global para evaluar y mejorar el
proceso de administración de riesgo, reconociendo que
muchas organizaciones están comprometidas en
algunos aspectos de la administración de riesgos.

2
 Introducción a COSO II - ERM

• En septiembre de 2004, se publica el informe

denominado Enterprise Risk Management – Integrated
Framework, el cual incluye el marco global para la
administración integral de riesgos.

• Enterprise Risk Management - Integrated Framework

incluye el control interno, por lo que en ningún caso
reemplaza a Internal Control - Integrated Framework.

Introducción a COSO II - ERM

Estructura del proyecto

COSO

COSO Grupo Asesor

• Compañías y Otras Otros Involucrados

Organizaciones
PricewaterhouseCoopers Importantes
Equipo de Proyecto
• Miembros de la organización Academia
COSO Asociaciones Profesionales
• Compañías medianas Profesionales de
• Grandes Compañías administración de riesgos
Abogados
• Industrias Asociadas
Reguladores
• Entidades gubernamentales y
Otros reguladores de industria
entidades sin fines de lucro

3
 Introducción a COSO II - ERM
El estándar COSO II – ERM, delinea los principios de
administración de riesgo
El marco conceptual proporciona:
– Una definición de Enterprise Risk
Management
– Los principios y componentes críticos
de un efectivo proceso de Enterprise
risk management
– Dirección para que las organizaciones
lo utilicen en la determinación de como
mejorar su administración de riesgo
– Criterio para determinar si su
administración de riesgo es efectiva, y
si no, que necesita.

Introducción a COSO II - ERM

El estándar COSO II – ERM, delinea los principios de
administración de riesgo
También proporciona aplicaciones técnicas:
– Ilustraciones de como los principios
críticos pueden ser observados en una
organización.
– Una perspectiva de un proceso de
implementación.
– Ilustraciones que consideran una
variedad de organizaciones, en cuanto
a tamaño, Estrategia, Industria y
Complejidad

4
 Introducción a COSO II - ERM
COSO II – ERM, 4 categorías de objetivos, 8 componentes
y de alcance corporativo.
Alineado con
Los objetivos pueden ser vistos en el
contexto de cuatro categorías

Qué
Ocho componentes
interrelacionados

Dónde
Considera las actividades de
todos los niveles de la
organización

Premisas fundamentales

• La premisa principal de la administración corporativa de

riesgos es que cada entidad, con o sin fines de lucro,
existe para “crear valor a sus grupos de interés”.

• No obstante, todas las organizaciones encaran

incertidumbre…, el desafío para la administración es
determinar cuanta incertidumbre esta preparada para
aceptar en la búsqueda de aumentar el valor de los
grupos de interés.

5
 Premisas fundamentales

• Las incertidumbre proviene tanto del entorno como de

las decisiones dentro de la organización (fuentes
internas y externas) y esta se puede presentar como
riesgo y oportunidad, con el potencial de destruir o
generar valor.

• La administración de riesgos corporativos permite a la

administración manejar esa incertidumbre, su riesgo y
oportunidad asociado y, por lo tanto, incrementar la
capacidad de la organización para construir valor.

Premisas fundamentales

En una forma gráfica…

Stakeholders
Factores Riesgo
externos Impacto negativo
sobre objetivos
Objetivos
(creación
Negocio Incertidumbre Eventos
de valor)

Impacto positivo
Factores sobre objetivos
internos
Oportunidad

6
 Preguntas claves respecto a ERM

• ¿Cuales son los principales riesgos que afectan a

nuestra organización?
• ¿Existe una definición formal de nuestro apetito y
filosofía de administración de riesgo?. ¿Esta es
comunicada y conocida?
• ¿Tenemos una visión y lenguaje integrado de riesgos en
todas las unidades de negocio de la organización?

Preguntas claves respecto a ERM

• ¿Tenemos un proceso de gestión de riesgo, de acuerdo

a nuestro apetito y filosofía de administración de riesgo?
• ¿Cómo identificamos, evaluamos, comunicamos y
monitoreamos nuestros riesgos?
• ¿Nuestras personas entienden su rol como parte de la
administración de riesgos?
• ¿Quién asegura que el proceso de gestión de riesgo se
efectúe correctamente?

7
 ¿Qué es Enterprise Risk Management?

"La administración de riesgos corporativos es un proceso

efectuado por el directorio, administración y las personas
de la organización, es aplicado desde la definición
estratégica hasta las actividades del día a día, diseñado
para identificar eventos potenciales que pueden afectar a
la organización y administrar los riesgos dentro de su
apetito, a objeto de proveer una seguridad razonable
respecto del logro de los objetivos de la organización".
Enterprise risk management – Integrated Framework
COSO II
29 de septiembre de 2004

¿Qué es Enterprise Risk Management?

• Proceso continuo – es un medio para un fin, no un fin en si

mismo
• Efectuado por el personal en todos sus niveles (No sólo
políticas)
• Aplicado en la definición de la estrategia
• Aplicado en toda la organización – en cada nivel y unidad
• Diseñado para identificar eventos potenciales y gestionar
riesgos dentro del apetito al riesgo
• Provee seguridad razonable…logro de los objetivos –
estratégicos, operacionales, presentación de reporte y
cumplimiento.

8
 Beneficios de ERM

• Alinear el apetito al riesgo con la estrategia.

• Relacionar crecimiento, riesgo y retorno.
• Mejorar las decisiones de respuesta al riesgo.
• Reducir sorpresas y pérdidas operacionales.
• Identificar y gestionar la diversidad de riesgos por
compañía y grupo agregado.
• Aprovechar las oportunidades.
• Mejorar la asignación de capital.

Componentes claves de ERM

Entorno Interno

Definición y
comprensión de
objetivos

Identificación de
eventos

Actividades
Primarias de la Valoración del riesgo Dirección
Gestión de Riesgos y Soporte

Respuesta al riesgo

Actividades de control

Información y
comunicación

Monitoreo

9
 Componentes claves de ERM
Definición y • Estratégico
comprensión de Entorno Interno
• Operacionales
objetivos
• Reporte
• Cumplimiento • Filosofía Administración
de riesgo
• Apetito al riesgo
Identificación de Fuente Externa Fuente Interna • Supervisión de Directorio
eventos • Económicos • Proceso • Integridad, valores éticos
• Negocio • Personas y competencia del Dirección
• Sistemas personal y Soporte
• Tecnológicos
• Políticos • Infraestructura • Autoridad, roles y
responsabilidades y
• Sociales
estructura.
Actividades
Primarias de la • Técnicas cualitativas Información y
Valoración del riesgo comunicación
Gestión de • Técnicas cuantitativas
Riesgos
• Identificación y
capturación de datos
• Evitar • Datos internos y externos
Respuesta al riesgo
• Reducir • Datos históricos
• Compartir • Esquemas de reporte
• Aceptar

• Políticas y procedimientos Monitoreo

Actividades de control
• Preventivos
• Detectivios
• Correctivos • Actividades continuas
(KRI).
• Manuales
• Actividades esporádicas
• Automáticos

Componentes claves de ERM

Estrategia
Estrategia Qué hará la organización
Dirección
acerca de sus riesgos
(políticas) y la
Política responsabilidad de
gestión de los mismos.

Identificar

Actividades Procesos
Reportar Proceso de Analizar Cómo la organización
Primarias de la
Administración gestionará riesgos,
Gestión de procedimientos, prácticas
de Riesgos
Riesgos y herramientas
Monitorear Responder

Arquitectura
Mecanismos Qué personas, comités,
Estructura foros y técnicas son
de recursos Comunicaciones
Organizacional necesarias para apoyar,
humanos promover y conducir la
gestión del riesgo a
Medición del Educación en través de la organización
Aseguramiento
desempeño Gestión
Cultura
Cómo la cultura de las
Cultura organizaciones apoya una
conducta apropiada de toma
Soporte de riesgos

10
 ERM y otras prácticas de gestión

ERM – Relación con Governance, Risk and Compliance

Definición de objetivos y estrategia, políticas,

apetito al riesgo y responsabilidades.
Monitoreo del desempeño

Identificación y evaluación de riesgos que

pueden afectar la capacidad de lograr los
objetivos y determinar las estrategias de
respuesta al riesgo y actividades de control

Operación de acuerdo con los objetivos y

asegurando adherencia con las leyes y
regulaciones, políticas internas, procedimientos y
los compromisos de los stakeholders

ERM y otras prácticas de gestión

COSO II – ERM, Basilea II y Solvencia II

• Estipular cargos de capital que motiven a los

bancos hacia el desarrollo de modelos
cualitativos y cuantitativos de administración
del riesgo
• Crear un marco de supervisión que motive el
desarrollo de mejores prácticas
• Requerir a los bancos la apertura de
información en detalle de su estructura de
capital y exposiciones de riesgo

11
 ERM y otras prácticas de gestión

COSO II – ERM y Sarbanes - Oxley

– La Ley Sarbanes Oxley estableció un nuevo paradigma de

responsabilidad de las empresas. Definió claramente las
responsabilidades del Comité de Auditoría, del Director
General (CEO) y del Director Financiero (CFO) en niveles
superiores a los del pasado. Creó un nuevo estándar para
las compañías en relación con la presentación de
información, de la eficacia de los controles internos y eliminó
los obstáculos para el diseño, documentación y operación de
controles internos.

Los buenos controles internos han dejado de ser únicamente una mejor
práctica.....… ¡Son Ley!

Roles y responsabilidades
y Todas las personas en una entidad tienen alguna responsabilidad en la
administración del riesgo.
y El CEO es responsable en general y debe asumir su función.
y El resto de los gerentes o altos ejecutivos deben soportar la filosofía de
riesgos, promover el cumplimiento dentro del apetito al riesgo y administrar el
efectivo funcionamiento de los componentes de la administración del riesgo
dentro de su esfera de responsabilidad consistentemente con la cultura de
riesgos
y El personal es responsable por ejecutar sus actividades de acuerdo con las
directivas y protocolos previstos de riesgo.
y La Junta Directiva provee un significativo seguimiento de la administración del
riesgo.
y Externos proveen información para la administración del riesgo.
y Las partes externas no son responsables por la efectividad de la
administración del riesgo.

12
 Roles y responsabilidades

Otras partes
Responsables
involucradas

• Comité Ejecutivo • Auditores Externos

• Comités Delegados • Reguladores
• Gerentes
• Auditores Internos • Asociados con la valoración del
• Personal riesgo y el control interno

Outsourcing

Roles y responsabilidades

Junta Directiva
Comité de
Aprueba y aloca recursos Auditoría

Riesgos
Definiciones - Políticas - Reportes - Cuantificación

Coordinación y
1 Responsable 2 3 Aseguramiento
Monitoreo

Riesgo Operacional
Unidades de Negocio Auditoría Interna
Areas soporte
Auto-evaluaciones • Evalúa el proceso
Monitoreo de auto-evaluaciones
•Implementa cambios • Revisa las
• Análisis de indicadores
•Reporta internamente auto-evaluaciones
• Control planes
y a riesgos • Pruebas de controles
• Reportes

13
 Roles y responsabilidades

y Conoce claramente el proceso de administración del

riesgo implementado y hasta qué punto el mismo es
Junta
efectivo
Directiva y Identifica que el proceso está en línea con el apetito al
riesgo
y Compara el portafolio de riesgos con el apetito al
mismo
y Es informado de los principales riesgos y sus
respuestas y aprueba las mismas
y Delega funciones (las responsabilidades no se
delegan) en diversos Comités (ALCO, Créditos,
Riesgos, Auditoría, Compensaciones, Riesgo
Operacional, etc.)

Roles y responsabilidades

y Responsable por todas las actividades de la

organización
Administración y En el caso del CEO, su mayor responsabilidad es
establecer el ambiente interno
y También provee liderazgo y dirección a los gerentes y
así se crean los valores de la organización
y Definen los objetivos estratégicos y la estrategia
y Desarrollan el apetito al riesgo y su tolerancia
y Definen la estructura organizacional
y Analizan las respuestas al riesgo
y Monitorean a través del CRO la eficacia del proceso
de administración del riesgo

14
 Roles y responsabilidades
y Trabaja con los otros gerentes para establecer un
proceso de administración del riesgo
Risk y La autoridad y reporte es al CEO, puede integrar
subsidiarias
Officer y Algunas empresas le asignan la función al CFO,
Director de Auditoría o Director de Cumplimiento.
y Desarrolla las políticas
y Define roles y responsabilidades
y Asignación de resultados y capitales
y Asiste a toda la entidad y provee modelos de gestión
de riesgo y cuantificación
y Guía la integración de los riesgos
y Establece un lenguaje común
y Monitorea el grado de riesgo asumido por los diversos
negocios
y Reporta
y Sugiere acciones correctivas

Roles y responsabilidades

• Sus actividades cruzan todas las áreas de la

CFO organización
• Desarrollan presupuestos y planes y monitorean su
desempeño (operaciones, reporte y monitoreo)
• Responsable por los estados financieros y sus
procesos de control y reporte al exterior
• Su jerarquía no puede ser minimizada por los sectores
de negocios (deberá interpretar las reglas del juego y
estrategias y decidir sobre la metodología de
contabilización y reporte)

15
 Roles y responsabilidades

• Evalúan la efectividad y sugieren mejoras sobre el

proceso de administración del riesgo
• Los estándares establecidos por el Institute of Internal
Auditoría Interna Auditors especifican que el alcance de sus tareas
incluye la evaluación del proceso de administración
del riesgo y del control interno
• Estas tareas incluyen, la evaluación del repote, la
revisión de la efectividad y eficiencia de las
operaciones, salvaguarda de activos y cumplimiento
de normativas
• No es su responsabilidad primaria establecer y
mantener el proceso de administración del riesgo
(CEO)
• Debe asistir a la gerencia y al Comité de Auditoría a
monitorear, examinar y evaluar el proceso
• Sin embargo debe mantener su objetividad

Roles y responsabilidades

Auditoría
Interna

16
 Roles y responsabilidades

• La administración del riesgo es parte de las

responsabilidades de todos los empleados
Personal • Esto debe ser comunicado muy efectivamente….

• Deben proveer a la gerencia y al Comité Ejecutivo una

visión única, independiente y objetiva que contribuya
al logro de los objetivos de reporte financiero externo
• El Auditor puede firmar un balance limpio y la
administración del riesgo y el control interno no ser
Auditores adecuados
• Sus funciones se refieren a los estados financieros….
Externos
• Para emitir dicha opinión deberá hacer los ajustes
necesarios e invertir más tiempo en sus revisiones
• Su valor se observa en los hallazgos de auditoría y
recomendaciones

Roles y responsabilidades

• Requisitos de control interno y respuesta al riesgo

Reguladores • Revisiones in-situ y extra-situ

• Clientes
• Vendors
• Outsourcers
Otras partes
• Analistas financieros
• Agencias de Rating
• Medios de comunicación

17
 Conclusión
Riesgo es la posibilidad de que un ERM, es un proceso formal
evento futuro incierto ocurra y diseñado para identificar, evaluar,
afecte el logro de los objetivos responder, comunicar y
estratégicos, operativos y/o monitorear los riesgos a lo largo
financieros de la organización de toda la organización.
PROCESO DE
GESTION DE RIESGOS
Reducir las
“Amenazas” identificar reportar

Valor para
Manejar la stakeholders
“Incertidumbre”

analizar monitorear
Explotar la
“Oportunidad” responder

Conclusión - ERM
Tradicional ERM
(Gestión por silos) Transformación (Portfolio de riesgo)

• Coordinación entre las funciones de

riesgo para aumentar la cobertura de Global
Legal Auditoría
Seguridad RM
riesgos y disminuir los costos. IT Interna
Seguridad • Permitir un rápido entendimiento de los
IT EHS
riesgos de las iniciativas de negocios.
Auditoría
• Alineamiento con las estrategias de
EHS ERM BCP
Interna negocios, objetivos y proceso de toma Legal
Seguridad de decisiones
Física
• Procesos organizacionales
consistentes
Seguros BCP • Herramientas de gestión de riesgo de Legal Seguridad
Fisica
alto nivel.
• Enfoque en los riesgos que tienen
mayor probabilidad de impactar en el
Estrategia de Riesgo
valor de los accionistas. Y Marco
Riesgo

Riesgo Herramientas
Riesgo 1 Proceso RM de Gestión
Riesgo Riesgo Ingresos de Riesgo
Riesgo Riesgo 2 Evaluar riesgo
Riesgo Riesgo Riesgo 3 Fuentes de
Tratar riesgo Conocimiento
Seguridad Riesgo 4
Monitorear y
Riesgo 5 Reportar RiskWeb
Costos Riesgo 6
Proceso de Gestión de Riesgo
Medición y reporte

18
 Rafael Ruano Diez
rafael.ruano@cl.pwc.com

19