0 penilaian0% menganggap dokumen ini bermanfaat (0 suara)
83 tayangan80 halaman
Este documento presenta una introducción al Modelo Integrado de Administración del Riesgo Empresarial de COSO II. Explica que COSO desarrolló este nuevo marco para abordar las necesidades emergentes de administrar el riesgo en las empresas. El marco integra la administración del riesgo con los controles internos de una organización. Además, destaca los beneficios de la administración del riesgo corporativo como alinear el apetito de riesgo con la estrategia, asociar el crecimiento con el riesgo y el
Este documento presenta una introducción al Modelo Integrado de Administración del Riesgo Empresarial de COSO II. Explica que COSO desarrolló este nuevo marco para abordar las necesidades emergentes de administrar el riesgo en las empresas. El marco integra la administración del riesgo con los controles internos de una organización. Además, destaca los beneficios de la administración del riesgo corporativo como alinear el apetito de riesgo con la estrategia, asociar el crecimiento con el riesgo y el
Este documento presenta una introducción al Modelo Integrado de Administración del Riesgo Empresarial de COSO II. Explica que COSO desarrolló este nuevo marco para abordar las necesidades emergentes de administrar el riesgo en las empresas. El marco integra la administración del riesgo con los controles internos de una organización. Además, destaca los beneficios de la administración del riesgo corporativo como alinear el apetito de riesgo con la estrategia, asociar el crecimiento con el riesgo y el
COSO II COSO Managua, Nicaragua COSO Pgina No. 2 Introduccin a COSO La nueva visin. Da 1 COSO Pgina No. 3 Introduccin a COSO Hace ms de una dcada, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) emiti un documento denominado Control Interno Marco Integrado con el objetivo de apoyar a negocios y a otras entidades evaluar y fortalecer sus sistemas de controles interno. Desde entonces ha sido incorporado como poltica, reglas y regulaciones por miles de empresas Estas empresas buscan como controlar mejor sus actividades con miras a alcanzar los objetivos que se han establecido En aos recientes se ha dado mayor importancia a la administracin de riesgo, por lo que ha surgido la necesidad de contar con un marco robusto para identificar, evaluar y administrar el riesgo. COSO Pgina No. 4 Introduccin a COSO Durante el ao 2001, se inici el desarrollo de un nuevo modelo que tomara en consideracin las nuevas necesidades. Este periodo estuvo marcado por una serie de escndalos (Enron, WorldCom, etc.) que hicieron an ms necesario contar con un modelo que proporcionara principios, conceptos (un lenguaje comn y claro) que proporcionaran direccin y gua a los equipos de gerencia. El COSO cree que con este reporte satisface el vaco que exista. Este modelo integrado de administracin de riesgo expande el concepto actual de control interno y proporciona un enfoque ms extensivo y robusto acerca del tema de administracin del riesgo corporativo.
COSO Pgina No. 5 Introduccin a COSO Un aspecto importante de destacar es que siempre ser un reto para los equipos gerenciales determinar cuanto riesgo est preparada la entidad para aceptar y cuanto riesgo est aceptando durante el proceso de creacin de valor.
COSO Pgina No. 6 Importancia de la administracin de riesgos La nueva visin. COSO Pgina No. 7 Importancia de la administracin de riesgos La premisa bsica de la administracin del riesgo corporativo es que cada entidad (ya sea con o sin fines de lucro o de gobierno) existe para agregar valor a sus inversores. Todas las entidades afrontan incertidumbre y el resto para la gerencia es determinar cuanta incertidumbre est la entidad preparada para aceptar durante el proceso de creacin de valor. La incertidumbre viene acompaada de riesgo y oportunidad, lo que conlleva a potencial para agregar o destruir valor. El marco de administracin de riesgo corporativo proporciona a la gerencia con un modelo efectivo que le permitir administrar la incertidumbre y los riesgos y oportunidades asociadas y por lo tanto incrementar su capacidad para agregar valor. COSO Pgina No. 8 Importancia de la administracin de riesgos Qu se entiende por incertidumbre? Las empresas operan en ambientes donde factores externos (globalizacin, tecnologa, regulacin, competencia, etc.) crean incertidumbre. La incertidumbre emana de la falta de capacidad para determinar con precisin eventos potenciales que ocurrirn y los posibles resultados (probabilidad de ocurrencia, magnitud del impacto). La incertidumbre tambin se presenta y es creada por las estrategias implementadas por las empresas. Por ejemplo una empresa que decide expandir sus operaciones con una nueva planta en otro pas. Qu oportunidades y riesgos se presentan con esta estrategia seleccionada?
COSO Pgina No. 9 Importancia de la administracin de riesgos Qu significa agregar valor? El valor se crea, preserva o destruye por las decisiones gerenciales en todas y cada una de las actividades (desde la formulacin de la estrategia hasta las actividades diarias). Se crea valor cuando al invertir recursos (incluyendo capital, gente tecnologa) se obtiene un beneficio mayor que los recursos utilizados. Las entidades preservan el valor cuando se enfocan en la gente, procesos, sistemas y acciones para crear valor sostenible en el tiempo. (p.e. calidad de productos, satisfaccin al cliente). Las entidades destruyen valor cuando actan con base en informacin no adecuada acerca de riesgos y oportunidades o por un diseo y ejecucin pobre de su estrategia. COSO Pgina No. 10 Importancia de la administracin de riesgos Cmo aplicara este concepto para Gobierno? Cmo aplicara este concepto para ONG?
COSO Pgina No. 11 Importancia de la administracin de riesgos Cmo se mide el valor? Para identificar creacin de valor, se deben considerar indicadores financieros y no financieros. Algunos indicadores financieros son: Retorno ajustado al riesgo (Costo de capital promedio ponderado). Retorno total de los inversionistas. Para todos estos indicadores se asumen que se debe cumplir con un costo de capital antes de crear riesgo. Algunos indicadores no financieros son: Porcentaje de la poblacin con acceso a servicios de salud de calidad. Porcentaje de la poblacin con acceso a la educacin. COSO Pgina No. 12 Importancia de la administracin de riesgos Beneficios de la Administracin del riesgo corporativo: Alinea el apetito de riesgo con la estrategia Asocia el crecimiento al riesgo y al retorno Fortalece las decisiones de respuesta al riesgo Minimiza las sorpresas y prdidas operativas Identifica y administra riesgos a travs de la entidad Proporciona respuestas integradas a mltiples riesgos Identificar y explotar oportunidades Raciona el capital
COSO Pgina No. 13 Importancia de la administracin de riesgos Alinea el apetito de riesgo con la estrategia El apetito de riesgo es el grado de riesgo, que una entidad o empresa est dispuesta a aceptar durante la bsqueda de sus objetivos. La gerencia considera su apetito de riesgo inicialmente al evaluar sus alternativas estratgicas alineadas con los objetivos y al desarrollar los mecanismos para administrar los riesgos asociados. Por ejemplo, una compaa farmacutica tiene un apetito de riesgo relativamente bajo con relacin al valor de su marca. Con tal de proteger la marca, invierte sumas cuantiosas en la etapa de investigacin y desarrollo de productos y en el cumplimiento con los protocolos requeridos previo a su lanzamiento. Todo lo anterior con el objetivo de contribuir con la creacin de valor.
COSO Pgina No. 14 Importancia de la administracin de riesgos Asocia el crecimiento al riesgo y al retorno. Las entidades aceptan riesgos como parte del proceso de creacin de valor y preservacin. Por lo anterior esperan un retorno asociado con su riesgo. La administracin del riesgo corporativo les permite identificar y evaluar los riesgos, as como establecer niveles de riesgo aceptables y alineados con los objetivos de crecimiento y retorno. Por ejemplo, la gerencia de una compaa de seguros integra los planes de negocio y proyecciones de crecimiento y retorno de las distintas unidades. Los riesgos asociados con los objetivos de cada unidad son identificados y considerados, las respuestas son seleccionadas, los planes de negocio son modificados y se asigna capital a las distintas unidades con base en los objetivos de la compaa.
COSO Pgina No. 15 Importancia de la administracin de riesgos Fortalece las decisiones de respuesta al riesgo La administracin del riesgo corporativo, proporciona el rigor para identificar y seleccionar diferentes alternativas para responder a los riesgos: evitar el riesgo, reducirlo, compartirlo y aceptarlo. Por ejemplo, la gerencia de una compaa que utilizar sus propios vehculos reconoce un riesgo inherente en su proceso de entrega (costos por daos al vehculo y a su personal). Algunas alternativas seran reducir el riesgo a travs de un proceso de reclutamiento de conductores entrenados, evitar el riesgo a travs de outsourcing, transferir el riesgo a travs de la compra de plizas de seguro o bien, aceptar el riesgo. La administracin del riesgo corporativo proporciona la metodologa y tcnicas para tomar estas decisiones.
COSO Pgina No. 16 Importancia de la administracin de riesgos Identifica y administra riesgos a travs de la entidad La entidad enfrenta una serie de riesgos que afectan diferentes componentes de la organizacin. La gerencia no slo deber administrar el riesgo individual, pero entender los impactos por interrelaciones. Por ejemplo, un banco se enfrenta a una variedad de riesgos en las actividades financieras, por lo que han desarrollado un sistema de informacin que analiza las transacciones y la informacin del mercado. Adems, proporciona una visin general de los riesgos asociados con las actividades financieras y permite evaluar a nivel de departamento, cliente y/o producto el nivel de riesgo con base en los niveles de apetito de riesgo previamente definido.
COSO Pgina No. 17 Importancia de la administracin de riesgos Proporciona respuestas integradas a mltiples riesgos Los procesos de negocios conllevan muchos riesgos inherentes y la gerencia debe proporcionar soluciones integradas para administrar estos riesgos. Por ejemplo un distribuidor que identific riesgos asociados con su inventario (exceso de algunos productos y falta de otros lo que obligaba a llevar a cabo compras a precios ms caros para hacer frente a la demandada). Como estrategia diseo un sistema de administracin de inventario justo a tiempo integrado con el sistema de rdenes de sus proveedores a quienes tambin dio la responsabilidad de mantener el inventario en los niveles establecidos.
COSO Pgina No. 18 Importancia de la administracin de riesgos Identificar y explotar oportunidades Al considerar una serie de eventos potenciales, en vez de slo los riesgos la administracin gana un entendimiento de cmo ciertos eventos representan oportunidades. Por ejemplo, una compaa de comida al evaluar los eventos potenciales que podran afectar sus objetivos de crecimiento, identific que sus consumidores principales eran cada vez ms conscientes de la salud alimenticia. Como resultado desarrollo productos para este nuevo segmento de mercado mientras mantuvo el anterior.
COSO Pgina No. 19 Importancia de la administracin de riesgos Raciona el capital Ms y mejor informacin acerca del riesgo permite a la gerencia evaluar de manera ms efectiva los requerimientos de capital y la distribucin del mismo. Por ejemplo una institucin financiera se enter de una nueva regulacin que incrementara los requerimientos de capital a menos que la gerencia calculara con mayor exactitud los niveles de riesgo de crdito, operativo y los requerimientos de capital. La institucin evaluar el riesgo en trminos de los costos de desarrollo de un sistema versus el costo del capital y tomo una decisin (con base en informacin) para administrar el riesgo y evitar mayores costos por requerimientos de capital.
COSO Pgina No. 20 Importancia de la administracin de riesgos En resumen, el marco de administracin de riesgo asiste a las entidades a llevar donde quieren llevar y evitar cadas y sorpresas en el camino. COSO Pgina No. 21 Introduccin al marco de administracin de riesgos La nueva visin. COSO Pgina No. 22 Un objetivo crtico de este marco es asistir a la gerencia para tratar mejor con riesgos inherentes que se presentan cuando se pretende alcanzar ciertos objetivos. Pero la administracin del riesgo corporativo tiene diferentes significados para diferentes personas, por lo que es importante integrar las diferentes concepciones en un marco comn. Antes de definir marco de administracin de riesgos es importante definir lo siguiente: Riesgo: Evento con un impacto potencial negativo. Riesgo: La posibilidad que un evento pueda ocurrir y afectar adversamente el cumplimiento de los objetivos. Oportunidad: Evento con un impacto potencial positivo.
Marco de administracin de riesgos COSO Pgina No. 23 La definicin de la administracin del riesgo corporativo es la siguiente: Administracin del riesgo corporativo es un proceso, afectado por la Junta Directiva, la gerencia y dems personal, aplicado en la formulacin de la estrategia y a travs de toda la organizacin, diseado para identificar eventos potenciales que puedan afectar la entidad, y administrar el riesgo para que est dentro del rango de tolerancia definido, para proporcionar seguridad razonable relacionada con el cumplimiento de los objetivos de la entidad.
Marco de administracin de riesgos COSO Pgina No. 24 Es un proceso Afectado por personas Es aplicado en la formulacin de la estrategia Es aplicado a travs de toda la entidad Est diseado para identificar eventos que puedan afectar a la entidad y para administrar el riesgo dentro del rango de tolerancia definido Proporciona seguridad razonable a la gerencia de una entidad y a su Junta Directiva Se enfoca en el cumplimiento de los objetivos en una o ms categoras separadas a nivel de unidad pero integradas a nivel de institucin.
Marco de administracin de riesgos COSO Pgina No. 25 La administracin del riesgo corporativo consiste de ocho componentes interrelacionados. Ellos se derivan de la manera en como la gerencia administra el negocio, y son integrados con los procesos gerenciales Los ocho componentes son:
Marco de administracin de riesgos COSO Pgina No. 26 Marco de administracin de riesgos COSO Pgina No. 27 Existe una relacin directa entre los objetivos (que es lo que una entidad quiere alcanzar) y los componentes de administracin de riesgo que representan lo que es necesario para alcanzarlos. La relacin se presenta en la matriz tridimensional que vimos anteriormente en forma de cubo:
Marco de administracin de riesgos Categoria: 4 objetivos Categoria: 8 componentes de administracin de riesgos Categoria: Entidad y sus unidades COSO Pgina No. 28 Los objetivos de la entidad pueden clasificarse en 4 categoras:
Estratgicos relacionado con metas de largo plazo, alineadas con y dando soporte a la misin de la entidad. Operativos relacionado a la efectividad y eficiencia del uso de los recursos de la entidad. Reportes relacionado con la confianza de los reportes de la entidad. Cumplimiento relacionado con el cumplimiento por parte de la entidad con las leyes y regulaciones aplicables.
Marco de administracin de riesgos COSO Pgina No. 29 Ambiente interno La nueva visin. COSO Pgina No. 30 El ambiente interno agrupa el tono de la organizacin, influenciando la conciencia hacia el riesgo de su personal, y es el fundamento para el resto de los componentes del marco de administracin de riesgos, proporcionando disciplina y estructura.
Ambiente interno Factores del ambiente interno incluyen la filosofa de la entidad, su tolerancia y cultura hacia el riesgo, supervisado por la Junta Directiva; valores ticos y competencias de su gente; filosofa y estilo operativo de la gerencia; la manera en cmo esta asigna autoridad y responsabilidad y, cmo organiza y desarrolla a su gente. COSO Pgina No. 31 Filosofa de administracin del riesgo refleja los valores que la entidad desea alcanzar desde una perspectiva de administracin del riesgo empresarial e influye cmo los componentes de administracin del riesgo son aplicados. Tolerancia al riesgo Es el nivel de riesgo que la entidad est dispuesta a aceptar durante el proceso de creacin de valor. Cultura de riesgo Es el conjunto de actitudes, valores y prcticas que son compartidas en el da a da y que caracterizan como la entidad considera el riesgo. Junta Directiva La independencia de la Junta Directiva de la gerencia, su experiencia y autoridad de sus miembros, y su minusiocidad juegan un papel importante. Integridad y valores ticos La reputacin es valiosa por que lo se debe sobrepasar el mero cumplimiento de las leyes. La administracin de compaas exitosas han aceptado que el compotamiento tico es un buen negocio. Ambiente interno COSO Pgina No. 32 Compromiso con la competencia Reflejan el conocimiento y habilidades necesarios para llevar a cabo ciertas tareas. Filosofa de la gerencia y estilo de operacin La filosofa de operacin y el estilo de la gerencia afectan la manera en cmo una entidad es administrada, incluyendo los tipos de riesgos que son aceptados. Estructura organizacional La estructura organizacional proporciona un marco para planificar, ejecutar, controlar y monitorear las actividades. Una estructura organizacional relevante incluye la definicin de reas crticas de autoridad y responsabilidad y establece lneas adecuadas de reportes. Asignacin de autoridad y responsabilidad incluye el nivel al cual los individuos y equipos estn autorizados y motivados para utilizar la iniciativa para enfrentar situaciones y resolver problemas as como limitar su autoridad. Ambiente interno COSO Pgina No. 33 Polticas y prcticas de recursos humanos Relaconado con reclutamiento, orientacin, entrenamiento, evaluacin, consejera, promocin, compensacin, tomar acciones correctivas y enviar mensajes a los empleados acerca de cmo se espera que vivan los valores ticos y de excelencia.
Ambiente interno COSO Pgina No. 34 Ambiente interno Preferencias de la gerencia Juicios Estilo de la gerencia Calificado Entrenado Compensacin Incentivos Disciplina Responsabilidad Confiabilidad Lineas de reporte Centralizado vrs. Descentralizado Matriz / funcin / geografia Formal vrs. Informal Conservador vrs. Agresivo Alineado Diferencias en el ambiente Polticas y prcticas de recursos humanos Asignacin de autoridad y responsabilidad Estructura organizacional Filosofa de la gerencia y estilo administrativo Preferencias de la gerencia Juicios Estilo de la gerencia Calificado Entrenado Compensacin Incentivos Disciplina Responsabilidad Confiabilidad Lineas de reporte Centralizado vrs. Descentralizado Matriz / funcin / geografia Formal vrs. Informal Conservador vrs. Agresivo Alineado Diferencias en el ambiente Polticas y prcticas de recursos humanos Asignacin de autoridad y responsabilidad Estructura organizacional Filosofa de la gerencia y estilo administrativo Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Actividades de control Actividades de control Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Compromiso con la competencia Valores ticos e integridad Junta Directiva Cultura de riesgo Apetito de riesgo Filosofa de administraci n del riesgo Conocimiento Habilidades Estandares de comportamien to Ejemplo del CEO Incentivos Independiente Activo Involucrado Independiente Activo Involucrado Valores Cuantitativo Cualitativo Alineado con la estrategia Valores Comunicacin verbal y con acciones Ambiente interno Compromiso con la competencia Valores ticos e integridad Junta Directiva Cultura de riesgo Apetito de riesgo Filosofa de administraci n del riesgo Conocimiento Habilidades Estandares de comportamien to Ejemplo del CEO Incentivos Independiente Activo Involucrado Independiente Activo Involucrado Valores Cuantitativo Cualitativo Alineado con la estrategia Valores Comunicacin verbal y con acciones Ambiente interno COSO Pgina No. 35 Establecimiento de objetivos La nueva visin. COSO Pgina No. 36 El establecimiento de objetivos es una condicin previa a la de identificacin de eventos, evaluacin del riesgo y respuesta al riesgo. Primero deben existir objetivos antes de que la gerencia pueda identificar riesgos para tomar las acciones necesarias para administrar estos riesgos. Establecimiento de objetivos Objetivos estratgicos Son metas de alto nivel, alineadas con y soportadas por la visin/misin de la entidad. Los objetivos estratgicos reflejan la opcin de la gerencia acerca de cmo tratarn de agregar valor para los inversores.
COSO Pgina No. 37 Establecimiento de objetivos Misin Objetivos estratgicos Estrategias Objetivos relacionados - Operaciones COSO Pgina No. 38 Objetivos relacionados Sub-objectivos establecidos a travs de toda la organizacin para diferentes reas y actividades. Por ejemplo: ventas, produccin, infraestructura. Objetivos seleccionados Deben estar alineados con la visin y misin de la organizacin. Estos objetivos no son dictados por la Junta Directiva, sino que son el producto de un proceso de seleccin y alineacin basado en marco de administracin del riesgo. Apetito al riesgo Expresa el balance adecuado entre riesgo, crecimiento, retorno establecido por la gerencia y confirmado por la Junta Directiva. Tolerancia al riesgo Son los niveles aceptables de variacin relativa al cumplimieto de los objetivos. Establecimiento de objetivos COSO Pgina No. 39 Establecimiento de objetivos Definicin de objetivos Variacin aceptable Unidad de medicin de los objetivos Crecimiento, riesgo y retorno Distribucin de recursos Personas, procesos e infraestructura Alineados y soporte Decisiones de la gerencia Operaciones Reportes Cumplimiento Salvaguarda de activos Metas de alto nivel Soportan la visin y la misin Opciones estratgicas Tolerancia al riesgo Apetito de riesgo Objetivos seleccionados Objetivos relacionados Objetivos estratgicos Definicin de objetivos Variacin aceptable Unidad de medicin de los objetivos Crecimiento, riesgo y retorno Distribucin de recursos Personas, procesos e infraestructura Alineados y soporte Decisiones de la gerencia Operaciones Reportes Cumplimiento Salvaguarda de activos Metas de alto nivel Soportan la visin y la misin Opciones estratgicas Tolerancia al riesgo Apetito de riesgo Objetivos seleccionados Objetivos relacionados Objetivos estratgicos Identificacin de eventos Identificacin de eventos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Actividades de control Actividades de control Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Ambiente interno Ambiente interno COSO Pgina No. 40 Identificacin de eventos La nueva visin. COSO Pgina No. 41 Evento Es un incidente u ocurrencia que emana de fuentes externas o internas que pueden afectar la implementacin de la estrategia o el cumplimiento de los objetivos. Los eventos pueden tener impactos positivos, negativos o ambos. Identificacin de eventos Comparte de la identificacin de eventos, la gerencia reconoce que la incertidumbre existe, pero no sabe cuando un evento puede ocurrir o si puede tener un impacto. Para evitar que no se evalen posibles eventos de importancia, como parte de la evaluacin del riesgo se sopesa la probabilidad de ocurrencia. Sin embargo, an eventos potenciales con una posibilidad remota de que se cumplan no deben ser ignorados si es que la magnitud de su impacto podra ser significativa. COSO Pgina No. 42 Factores que influyen en la estrategia y los objetivos Como parte del marco de administracin de riesgos, el personal reconoce la importancia de entender los factores internos y externos y los tipos de eventos que pueden emanar de los mismos.
Econmicos y de negocios Medio ambiente Poltica Social Tecnolgico Identificacin de eventos COSO Pgina No. 43 Metodologa y tcnicas para identificacin de eventos Las tcnicas son muy variadas y de diferente grado de sofisticacin. Algunas son especficas para ciertas industrias, sin embargo la mayora son el resultado de un enfoque comm:
Inventario de eventos Anlisis interno Talleres y entrevistas Indicadores de eventos Informacin histrica Anlisis de procesos
Identificacin de eventos COSO Pgina No. 44 Interdependencia de los eventos Los eventos no ocurren de manera aislada. Un evento puede originar en otro. Durante la identificacin de eventos, la gerencia debe entender como se interrelacionan. Por ejemplo, la decisin de expandir el entrenamiento en el rea de mercado puede incrementar la frecuencia y el volumen de las rdenes de los clientes. Identificacin de eventos COSO Pgina No. 45 Categora de los eventos Es til agrupar los eventos potenciales en diferentes categoras. Horizontalmente a travs de la entidad Verticalmente dentro de las unidades operativas.
Identificacin de eventos Categora de eventos Factores internos Factores externos Infraestructura Personal Procesos Tecnologa Econmicos De negocios Tecnolgicos Medio ambiente Polticos Sociales COSO Pgina No. 46 Riesgos y oportunidades Los eventos pueden tener un impacto negativo, positivo o ambos. Riesgo es la posibilidad que un evento ocurra y afecte adversamente el cumplimiento de los objetivos. Los eventos que representan oportunidades son canalizados para ser evaluados en el proceso estratgico (objetivos, estrategias), para que se puedan formular las acciones correspondientes para aprovechar las oportunidades. Eventos con un impacto negativo potencial son considerados por la administracin para propsitos de administracin del riesgo y elaboracin de estrategias de respuesta.
Identificacin de eventos COSO Pgina No. 47 Identificacin de eventos Definicin de objetivos Definicin de objetivos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Actividades de control Actividades de control Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Ambiente interno Ambiente interno Riesgos y oportunida- des Categora de los eventos Interdepen- dencia de eventos Metodologa y tcnicas Factores influencian- do las estrategias y los objetivos Eventos Impacto negativo: riesgo Impacto positivo: oportunidad Agrupaciones comnes Interrelaciona- dos Continuo Peridico Pasado Futuro Herramientas de soporte Interno Externo Incidente Impacto positivo o negativo Identificacin de eventos Riesgos y oportunida- des Categora de los eventos Interdepen- dencia de eventos Metodologa y tcnicas Factores influencian- do las estrategias y los objetivos Eventos Impacto negativo: riesgo Impacto positivo: oportunidad Agrupaciones comnes Interrelaciona- dos Continuo Peridico Pasado Futuro Herramientas de soporte Interno Externo Incidente Impacto positivo o negativo Identificacin de eventos COSO Pgina No. 48 Evaluacin del riesgo La nueva visin. COSO Pgina No. 49 A pesar de que algunos factores son comunes a todas las compaas en una industria, muchos son particulares para la entidad, ya sea por sus objetivos y acciones pasadas. En evaluacin del riesgo, la gerencia considera la mezcla de eventos futuros potenciales relevante para la entidad y sus actividades. Evaluacin del riesgo Esto conlleva a examinar factores - tales como el tamao de la entidad, complejidad de sus operaciones y nivel de regulaciones que afectan el perfil de riesgo de la entidad e influyen en la metodologa que se utiliza para evaluar el riesgo. COSO Pgina No. 50 La gerencia considera tanto los riesgo inherentes como residuales durante el proceso de evaluacin de riesgo. El riesgo inherente es el riesgo que podran afectar una entidad tomando en consideracin una ausencia total de acciones por parte de la gerencia que puedan alterar la probabilidad de ocurrencia o la magnitud del impacto del riesgo. El riesgo residual es el riesgo que resulta despus de considerar la respuesta de la gerencia. Muchos eventos son rutinarios y recurrentes, y estn contemplados en los programas de la gerencia. Otros eventos son inesperados, y normalmente tienen una baja probabilidad de ocurrencia, pero pueden tener un impacto significativo. Evaluacin del riesgo COSO Pgina No. 51 Tcnicas cuantitativas y cualitativas - La incertidumbre de eventos potenciales es evaluada desde dos perspectivas probabilidad de ocurrencia y magnitud del impacto. Las estimaciones de probabilidad de ocurrencia y magnitud del impacto puede ser determinada utilizando datos histricos de eventos anteriores. Se deber considerar en la metodologa una combinacin de tcnicas cuantitativas y cualitativas. Las tcnicas cuantitativas tpicamente brindan mayor precisin y se utilizan para soportar mejor los modelos cualitativos: Benchmarking Modelos probabilsticos Modelos no probabilsticos
Evaluacin del riesgo COSO Pgina No. 52 Correlacin de eventos - La gerencia puede evaluar como los eventos se correlacionan, donde se combinan e interactan para crear probabilidades o impactos diferentes. Aunque el impacto de un solo evento sea bajo, la secuencia de eventos relacionados puede tener un impacto mayor. Se puede utilizar pruebas de estrs para evaluar el impacto de eventos extremos y utilizar anlisis de escenario para evaluar los efectos de eventos mltiples. Monitorear las interrelaciones de la probabilidades de ocurrencia y magnitud de impactos es una responsabilidad clave de la gerencia.
Evaluacin del riesgo COSO Pgina No. 53 Evaluacin del riesgo Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Respuesta al riesgo Respuesta al riesgo Actividades de control Actividades de control Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Ambiente interno Ambiente interno Consecuencia de eventos Categoras Pruebas de estrs Escenarios Cualitativo Cuantitativo Base inherente y residual Esperadas, peor escenario, distribucin Ubicado en el tiempo Unidad de medida Data observable Antes de las acciones de la gerencia Despus de las acciones de la gerencia Esperadas e inesperadas Correlacin Metodologas y tcnicas cuantitativas y cualitativas Ocurrencia e impacto Riesgo inherente y residual Valoracin de riesgo Consecuencia de eventos Categoras Pruebas de estrs Escenarios Cualitativo Cuantitativo Base inherente y residual Esperadas, peor escenario, distribucin Ubicado en el tiempo Unidad de medida Data observable Antes de las acciones de la gerencia Despus de las acciones de la gerencia Esperadas e inesperadas Correlacin Metodologas y tcnicas cuantitativas y cualitativas Ocurrencia e impacto Riesgo inherente y residual Valoracin de riesgo COSO Pgina No. 54 Respuesta al riesgo La nueva visin. COSO Pgina No. 55 Identificando la respuesta al riesgo Evitarlo Accin tomada para salir de las actividades que originan el riesgo. Reducirlo Accin tomada para reducir la probabilidad de ocurrencia, magnitud del impacto o ambas. Respuesta al riesgo Compartirlo Accin tomada para reducir la probabilidad de ocurrencia o impacto transfirindolo o de otra manera compartindolo. Aceptarlo No se toma ninguna accin.
COSO Pgina No. 56 Evaluando posibles respuestas al riesgo El riesgo inherente se analiza y las respuestas son evaluadas en un intento de alinear el riesgo residual con la tolerancia al riesgo de la entidad. Las respuestas al riesgo pueden cubrir diferentes riesgos. Evaluando el efecto de las respuestas en la magnitud del impacto y la probabilidad de ocurrencia La gerencia debe considerar los efectos tanto de probabilidad de ocurrenci como de magnitud de impacto y entender como una respuesta puede afectar de distintas maneras a la organizacin. Evaluar costo versos beneficio Los recursos son siempre limitados, y la entidades deben considerar los costos relacionados con los beneficios de las diferentes opciones de respuestas a los riesgos.
Respuesta al riesgo COSO Pgina No. 57 Respuestas seleccionadas - Una vez que los efectos de las respuestas han sido evaluados, la gerencia decido como administrar el riesgo, por lo que deber desarrollar un plan de implementacin para ejecutar la respuesta y recalibrar el riesgo sobre la base del residual. Adicionalmente, se requieren procedimientos que permitan a la gerencia una efectiva implementacin de las acciones. Estos procedimientos representan actividades de control. La gerencia reconoce que algn nivel de riesgo residual siempre existir, no porque los recursos sean limitados, pero porque la incertidumbre inherente en el futuro siempre existir en todas las actividades. Respuesta al riesgo COSO Pgina No. 58 Visin del Portafolio La gerencia considera el riesgo desde una perspectiva de entidad o portafolio. La gerencia puede adoptar un enfoque en el cual el gerente responsable para cada departamento, funcin o unidad desarrollar una evaluacin de riesgo para esa unidad. Con esta visin individual, la gerencia el riesgo general de la entidad y determinar si las diferentes unidades estn dentro del rango de tolerancia al riesgo de la entidad. Igualmente se pueden determinar reas donde el apetito al riesgo sea demasiado bajo, por lo que se tendr que motivar a los empleados de la unidad para que acepten mayor riesgos en reas crticas que cumplir con los objetivos de crecimiento y retorno. Respuesta al riesgo COSO Pgina No. 59 Respuesta al riesgo Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Valoracin del riesgo Valoracin del riesgo Actividades de control Actividades de control Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Ambiente interno Ambiente interno Nivel de entidad Unidad de negocio Basa en riesgo inherente y residual Decisiones de la gerencia Impacto Ocurrencia Costo vrs. Beneficio Respuestas innovadoras Evitar Reducir Compartir Aceptar Visin de portafolio Seleccionar respuestas Evaluar posibles respuestas al riesgo Identificar respuestas a riesgos Respuesta al riesgo Nivel de entidad Unidad de negocio Basa en riesgo inherente y residual Decisiones de la gerencia Impacto Ocurrencia Costo vrs. Beneficio Respuestas innovadoras Evitar Reducir Compartir Aceptar Visin de portafolio Seleccionar respuestas Evaluar posibles respuestas al riesgo Identificar respuestas a riesgos Respuesta al riesgo COSO Pgina No. 60 Actividades de control La nueva visin. COSO Pgina No. 61 Actividades de control son polticas y procedimientos, que son las acciones que las personas deben implementar, para asistir a la gerencia en el aseguramiento de que las respuestas al riesgo son llevadas a cabo. Actividades de control Las actividades de control son aplicadas con respecto a las cuatro categoras de los objetivos estratgicos, operativos, reportes y cumplimiento. Aunque algunas actividades de control se relacionan nicamente a un rea, usualmente abarcan otras reas. Dependiendo de las circunstancias, un control particular puede asistir a satisfacer los objetivos de la entidad en ms de una categora. COSO Pgina No. 62 Integracin con respuesta al riesgo La respuesta al riesgo ayuda a enforcar la atencin en las actividades de control necesarias para asegurarse de que las respuestas al riesgo son llevadas a cabo de manera apropiada y oportuna. Las actividades de control son parte del proceso por medio del cual la organizacin lucha por alcanzar sus objetivos de negocio. Las actividades de control no se llevan a cabo simplemente porque sean lo apropiado por hacer, sino porque estas actividades pueden servir como mecanismo para administrar el logro de los objetivos.
Actividades de control COSO Pgina No. 63 Tipos de actividades de control Existen distintos tipos de descripciones de actividades de control, que pueden ser catalogadas dependiendo de su objetivo como por ejemplo asegurar la integridad y exactitud de la informacin procesada: Actividad directa o funcional de la gerencia Procesamiento de informacin Controles fsicos Indicadores de rendimiento Polticas y procedimientos Las actividades de control usualmente involucran dos elementos: el establecimiento de una poltica acerca de lo que debe llevarse a cabo y los procedimientos para que tome efecto la poltica. Actividades de control COSO Pgina No. 64 Controles Generales Incluyen controles relaciondos con tecnologa. Estos controles se aplican a todos los sistemas desde servidores hasta computadores personales.
Administracin de la tecnologa de informacin Infraestructura tecnolgica de informacin Administracin de la seguridad Adquisicin, desarrollo y mantenimiento de software
Las mejoras a los sistemas de informacin ayudan a establecer controles dentro de los procesos de una organizacin. Estas iniciativas incluyen mejoramiento de los procesos, administracin de la calidad e identificacin de defectos. Actividades de control COSO Pgina No. 65 Controles de aplicacin Estn diseados para asegurar la exactitud, integridad, autorizacin y validez de la informacin capturada y procesada.
Actividades de balanceo de controles Verificacin de dgitos Lista de datos predefinidos Prueba de razonabilidad de datos Pruebas lgicas Actividades de control COSO Pgina No. 66 Especficos de la entidad En vista de que la entidad tiene su propio grupo de objetivos y enfoques de implementacin, existirn diferencias en las respuestas al riesgo y las actividades de control. Aunque dos entidades tengan los mismos objetivos, tendrn diferentes enfoques de administrar el riesgo.
Actividades de control COSO Pgina No. 67 Actividades de control Objetivos y estrategias especficas de la entidad Ambiente operativo Complejidad de las operaciones Integridad Exactitud Autorizacin Validez Administracin de la tecnologa de informacin Infraestructura de la tecnologa de informacin Administracin de la seguridad Desarrollo y mantenimiento de software Polticas Procedimientos Preventivos Detectores Manuales Automticos Construidos directamente en el proceso gerencial Interrelacionado Especficos de la entidad Controles de aplicacin Controles generales Tipos de actividades de control Integracin con respuesta al riesgo Actividades de control Objetivos y estrategias especficas de la entidad Ambiente operativo Complejidad de las operaciones Integridad Exactitud Autorizacin Validez Administracin de la tecnologa de informacin Infraestructura de la tecnologa de informacin Administracin de la seguridad Desarrollo y mantenimiento de software Polticas Procedimientos Preventivos Detectores Manuales Automticos Construidos directamente en el proceso gerencial Interrelacionado Especficos de la entidad Controles de aplicacin Controles generales Tipos de actividades de control Integracin con respuesta al riesgo Actividades de control Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Informacin y comunicacin Informacin y comunicacin Monitoreo Monitoreo Ambiente interno Ambiente interno COSO Pgina No. 68 Informacin y comunicacin La nueva visin. COSO Pgina No. 69 Toda entidad identifica y captura informacin financiera y no financiera - relacionada con eventos internos y externos. Esta informacin es enviada al personal en la firma y oportunidad que les permita llevar a cabo sus responsabilidades.
Informacin y comunicacin Informacin La informacin es necesaria a todos los niveles de la organizacin para identificar, evaluar y responder a riesgos o de otra manera administrar la entidad para lograr los objetivos. La informacin financiera no es utilizada nicamente para elaborar estados financieros, sino para tomar decisiones operativas, monitorear el rendimiento y distribuir los recursos. COSO Pgina No. 70 La informacin se obtiene de diferentes fuentes: internas y externas, y de forma cuantitativa y cualitativa. El resto para la gerencia es procesar y refirmar altos volmenes de informacin para que sea til en la toma de decisiones. Eeste reto se cumple estableciendo un sistema de informacin para generar, capturar, procesar, analizar y reportar informacin que sea relevante. Los sistemas de informacin pueden ser formales o informarles. Conversaciones con clientes, proveedores, reguladores y personal proveen informacin necesaria para identificar riesgos y oportunidades. Similarmente, atender a seminarios y membresas profesionales proporciona informacin valiosa.
Informacin y comunicacin COSO Pgina No. 71 Sistemas estratgicos e integrados En la medida en que las empresas se han convertido en ms colaboradoras e integradas con los clientes, socios y reguladores, la divisin entre la arquitectura de los sistemas de informacin es cada vez ms compatible. Como resultado, el procesamiento de datos y su administracin comunmente se convierte en una responsabilidad compartida. En esos casos, la arquitectura de los sistemas de informacin de una organizacin deben ser lo suficientemente flexible y efectivo para integrarse con los nuevos clientes y socios de negocios.
Iniciativas estratgicas de soporte a sistemas Integracin con operaciones Informacin precisa y oportuna Calidad de la informacin
Informacin y comunicacin COSO Pgina No. 72 Comunicacin La comunicacin es inherente en los sistemas de informacin. La comunicacin trata con expectativas, responsabilidades de individuos, grupos y otros asuntos importantes. Por lo anterior se deber considerar los siguiente:
Externo Interno Mtodos de transmisin
Informacin y comunicacin COSO Pgina No. 73 Informacin y comunicacin Actividades de control Actividades de control Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Monitoreo Monitoreo Ambiente interno Ambiente interno Comunicacin Sistemas estratgicos e integrados Informacin Informacin y comunicacin Interna Externa A travs de toda la entidad Expectativas y responsabilidades Marco Mtodos de transmisin Estratgico Operativo Pasado y corriente Nivel de detalle Oportunidad Calidad Interno Externo Manual Computarizado Formal Informal Arquitectura de los sistemas de informacin Comunicacin Sistemas estratgicos e integrados Informacin Informacin y comunicacin Interna Externa A travs de toda la entidad Expectativas y responsabilidades Marco Mtodos de transmisin Estratgico Operativo Pasado y corriente Nivel de detalle Oportunidad Calidad Interno Externo Manual Computarizado Formal Informal Arquitectura de los sistemas de informacin COSO Pgina No. 74 Monitoreo La nueva visin. COSO Pgina No. 75 Monitoreo Actividades de control Actividades de control Definicin de objetivos Definicin de objetivos Identificacin de eventos Identificacin de eventos Valoracin de riesgo Valoracin de riesgo Respuesta al riesgo Respuesta al riesgo Ambiente interno Ambiente interno Informacin y comunicacin Informacin y comunicacin Reportando las deficiencias Evaluaciones separadas Continua Monitoreo Continuo Terceros externos Protocolos Canales alternativos Alcance Frecuencia Autoevaluacin Auditores internos Extensivo de la documentacin En tiempo real Operaciones del da a da Reportando las deficiencias Evaluaciones separadas Continua Monitoreo Continuo Terceros externos Protocolos Canales alternativos Alcance Frecuencia Autoevaluacin Auditores internos Extensivo de la documentacin En tiempo real Operaciones del da a da COSO Pgina No. 76 Limitaciones del marco de administracin de riesgos La nueva visin. COSO Pgina No. 77 Primero, el riesgo se refiere al futuro, lo cual es inherente e incierto. Segundo, la administracin del riesgo corporativo an los ms efectivos operan a diferentes niveles con respecto a diferentes objetivos. Para objetivos estratgicos y de operaciones, la administracin del riesgo corporativo puede ayudar a la gerencia y a la junta directiva en su fucnin de supervisin de manera oportuna, slo en lo que abarca al cumplimiento de los objetivos. Pero no puede proporcionar seguridad razonable que los objetivos sern alcanzados. Tercero, la administracin del riesgo corporativo, no puede proporcionar seguridad absoluta con respecto a ninguno de los objetivos de las categoras.
Limitaciones COSO Pgina No. 78 Roles y responsabilidades La nueva visin. COSO Pgina No. 79 Cada persona tiene alguna responsabilidad dentro del marco de administracin de riesgo. El CEO es el principal responsable y debe asumir dicha responsabilidad. Otros gerentes deben dar soporte a la filosofa de riesgo, promover el cumplimiento con el apetito de riesgo y administrar la efectividad de las funciones de todos los componentes del marco de administracin de riesgo dentro de sus rea de responsabilidad consistente con la cultura de riesgo. Otro personal es responsable de la ejecucin de acuerdo con las polticas y protocolos establecidos por el marco de administracin de riesgo. La Junta Directiva proporciona una visin (supervisin) importante. Un nmero de terceros externos proporcionan informacin valiosa que afecta el marco de administracin del riesgo. Sin embargo, estos terceros externos no son responsables por la efectividad del marco de administracin de riesgos de la entidad. Roles y responsabilidades COSO Pgina No. 80 Conclusin La nueva visin.