Upload
resmon123
View
161
Download
3
Tags:
Embed Size (px)
Citation preview
CI CI C Ames C Ames 11
UNIVERSIDAD NACIONALDEL CALLAOUNIVERSIDAD NACIONALDEL CALLAOFACULTAD DE CIENCIAS CONTABLESFACULTAD DE CIENCIAS CONTABLES
OFICINA DE COOPERACION INTERNACIONAL OFICINA DE COOPERACION INTERNACIONAL
ENSEÑANZA CONTABLEENSEÑANZA CONTABLE
CONTROL INTERNO - COSO IICONTROL INTERNO - COSO II
Enterprise Risk Management Enterprise Risk Management Framework (ERM).Framework (ERM).
César Ames César Ames
20052005
CI CI C Ames C Ames 22
CONTENIDOCONTENIDO
Introducción¿Cómo se inicio el COSO-ERM?¿Definición de COSO-ERM? Beneficios COSO-ERM Eficacia COSO-ERM Limitaciones COSO-ERM Diferencia entre Coso I y Coso II Componentes COSO-ERM Papeles y responsabilidades Mitos del COSO - ERM Bibliografía
CI CI C Ames C Ames 33
IntroducciónIntroducción
El 15 de julio de 2003, el Comité de las Organizaciones Patrocinadoras de la Comisión Treadway (COSO), ha emitido el borrador de su nuevo informe Enterprise Risk Management Framework (ERM).El trabajo fue efectuado con la información disponible a través de Internet, a raíz del lanzamiento mundial del Marco de Gestión de Riesgo empresarial (ERM COSO II) con fecha 29 de setiembre de 2004. Toma en cuenta las experiencias prácticas de trabajos de consultoría en administración de riesgos basadas en diversas metodologías disponibles, las opiniones y consideraciones aquí vertidas son entonces responsabilidad de los autores. El trabajo busca facilitar la información disponible al público interesado.
CI CI C Ames C Ames 44
¿Cómo se Inició COSO II ERM?¿Cómo se Inició COSO II ERM?
Los Auditores Internos utilizan COSO ERM porque: La metodología tradicional de muestreo usualmente no
es suficiente para obtener los resultados deseados. La metodología tradicional es a menudo ineficaz y
costosa El enfoque cambió de auditoria basada en control Se enfoca en el riesgo para determinar qué es
importante y seleccionar la muestra de control Control Interno – Marco Integral
Efectividad y eficacia de las operaciones Confiabilidad en los informes financieros Cumplimiento con las leyes y reglamentos aplicables
CI CI C Ames C Ames 55
Definición de COSO II ERMDefinición de COSO II ERM
Es un proceso, realizado por el consejo directivo de una entidad, la administración y otro personal, aplicado en el establecimiento de estrategias para toda la empresa, diseñada para identificar eventos potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su propensión al riesgo y proporcionar una seguridad razonable referente al logro de objetivos.
CI CI C Ames C Ames 66
¿Qué no es COSO- ERM ¿Qué no es COSO- ERM
Una herramienta para la toma de
decisiones
Una técnica de clasificación para
dar seguimiento a controles
internos
El único seguro al respecto
El trabajo de unos cuantos
CI CI C Ames C Ames 77
Beneficios de COSO ERMBeneficios de COSO ERMRelaciona crecimiento, riesgo y retorno de la inversión
Amplía las decisiones de respuesta al riesgo.
Minimiza sorpresas y pérdidas operacionales.
Identifica y administra riesgos a lo largo de toda la empresa.
Proporciona respuestas integradas a los múltiples riesgos.
Toma ventaja de las oportunidades.
Mejora la asignación de capital.
CI CI C Ames C Ames 88
Se relaciona con la gobernabilidad corporativa
Proporciona información al Consejo Directivo s/riesgos
Se conecta con el desempeño de la Administración
Ayuda a organizaciones a lograr objetivos y evitar pérdidas
Ayuda a asegurar reportes efectivos
Ayuda a asegurar el cumplimiento con leyes y reglamentos
Ayuda a evitar daños en la imagen o reputación
Beneficios de COSO ERMBeneficios de COSO ERM
CI CI C Ames C Ames 99
Eficacia del COSO ERMEficacia del COSO ERM
Eficacia: todos los (8) ocho componentes están presentes y funcionando
Puede haber diferentes niveles de eficacia entre entidades, actividades y combinaciones de componentes, debido también a diferentes culturas y filosofías administrativas.
Conceptos aplicables a todas las entidades sin importar su tamaño y niveles de formalidad.
Deben considerarse las relaciones externas (inversión conjunta, asociaciones) que no están bajo un control directo.
CI CI C Ames C Ames 1010
Limitaciones de COSO ERMLimitaciones de COSO ERM
ERM no garantiza que la entidad será exitosa y logrará todos sus Objetivos
Limitaciones: - Cambios en políticas o programas del Gobierno- Competencia- Condiciones económicas- Malas decisiones- Errores y equivocaciones- Gerentes incompetentes- Omisión o debilitamiento de control interno, colusión,
ignorar el ERM. ERM no refleja una adecuada relación costo-beneficio .
CI CI C Ames C Ames 1111
COSO I COSO II - ERM
Ope
raci
ones
Reporte
s
Finan
cier
osCum
plimie
ntoSupervisión
Información y Comunicación
Actividades de Control
Evaluación del Riesgo
Ambiente de Control
Activid
ad 1
Activ id
ad 1
Pro
ceso 1
Pro
ceso 1
Un
idad
BU
nid
ad B
Un
idad
AU
nid
ad A
Estra
tégic
oOper
acio
nes
Operac
iones
Reporte
s
Reporte
sCum
plim
ient
o
Cumpl
imie
nto
Ambiente InternoAmbiente Interno
Identificación de Eventos
Evaluación del Riesgo
Respuesta al Riesgo
Establecer Objetivos
Actividades de Control
Información y Comunicación
Supervisión
Su
bsid
iariaU
nid
ad d
e Neg
ocio
Divisió
n
Nivel-E
ntid
ad
¿Qué ha Cambiado?¿Qué ha Cambiado?
CI CI C Ames C Ames 1212
COMPONENTES DEL COSO IICOMPONENTES DEL COSO II
Estraté
gico
Operaciones
Operaciones
Reportes
Reportes
Cumplimiento
Cumplimiento
Ambiente InternoAmbiente Interno
Identificación de Eventos
Evaluación del Riesgo
Respuesta al Riesgo
Establecer Objetivos
Actividades de Control
Información y Comunicación
Supervisión
Su
bs
idia
ria
Un
ida
d d
e N
ego
cio
Divisió
n
Nive
l-En
tidad
CI CI C Ames C Ames 1313
AMBIENTE INTERNO
FilosofíaAdmin.Riesgo
Propensiónal Riesgo
CulturaRiesgo
ConsejoAdmin.
Integridad y Valores Éticos
CompentenciaPersonal
•Valor•Comun. Palabra/Acc
•Valor•Cuantitativo•Cualitativo•Vinculado a estrategia
Independencia •Activa•Involucrada
•Indepen-dencia.•Activa•Involucrada
•Código Cond.•Pre requisitos•Ejemplo Dir.•Incentivos
•Conocimientos•Habilidades•Trade Off
Ambiente InternoAmbiente Interno
CI CI C Ames C Ames 1414
Ambiente InternoAmbiente Interno Fundamento para los demás
componentes de ERM
Influye en estrategia y objetivos.
Influye en diseño de actividades de control, información y comunicación, y supervisión.
Incluye valores éticos, competencia del personal, estilo de operación, asignación de autoridad.
La Dirección se reconoce responsable de los riesgos y de ella emana la filosofía y estilo gerencial e integra y promueve el ERM
CI CI C Ames C Ames 1515
Evidencia de la cultura organizacional:
• Acuerdos con sus empleados
• Trato a clientes y a otros externos
• La incidencia de violaciones a leyes y reglamentos
• El tono desde lo alto
• Prudencia financiera
• La calidad de los productos y servicios ofrecidos
• Sus respuestas a las crisis
• Su imagen pública
Ambiente InternoAmbiente Interno
CI CI C Ames C Ames 1616
ObjetivosEstratégicos
ObjetivosRelacionados
ObjetivosSeleccionados
Propensiónal Riesgo
Tolerancia al Riesgo
•Metas estratégicas•Misión/Visión•Elección de estrategia
•Operación•Información•Cumplimiento•Salvaguarda
•Alineación y apoyo•Decisiones de la Admón.
•Crecimiento, riesgo y entorno•Asig. Recursos•Gente, procesos e Infraestructura
•Variaciones aceptables•Métrica de Medición de Objetivos.
ESTABLECIMIENTO DE OBJETIVOS
Establecimiento de Objetivos
CI CI C Ames C Ames 1717
Deben existir objetivos antes de que la administración pueda identificar eventos que potencialmente afecten su logro.
Alinear misión/visión con objetivos Tipos: Estratégicos: relacionados
con metas de alto nivel Reportes: confiabilidad en los
mecanismos de reportes Cumplimiento: con leyes y
reglamentos aplicables
Establecimiento de Objetivos
CI CI C Ames C Ames 1818
Eventos Factores Influy.Estrat. y Objs.
Metodologíay técnicas
Categoríasde Eventos
Riegos yOportunidades
•Incidental•Impacto positivo y/o negativo
•Internos•Externos
•Durante•Periódico•Pasado y Futuro
•Grupos de riesgo por proceso y/o función
•Imp. Neg: Riesgo•Imp. Pos: Oport.•Disminución del riesgo
IDENTIFICACIÓN DE EVENTOS
Eventos Inter-dependientes
•Eventos precursores (reacciones en cadena)•Interrelacionados
Identificación de Eventos
CI CI C Ames C Ames 1919
Identificación de EventosIdentificar eventos potenciales que afectan la Identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos implementación de la estrategia o el logro de los objetivos distinguiendo Riesgos y Oportunidadesdistinguiendo Riesgos y Oportunidades
Los eventos con un impacto negativo representan riesgos.Los eventos con un impacto negativo representan riesgos.
Los eventos con un impacto positivo representan Los eventos con un impacto positivo representan oportunidadesoportunidades
Técnicas de Identificación de EventosTécnicas de Identificación de EventosExisten técnicas de diverso grado de sofisticaciónExisten técnicas de diverso grado de sofisticaciónEjemplos:Ejemplos:– Inventarios de eventosInventarios de eventos– Análisis de información histórica (de la empresa/sector)Análisis de información histórica (de la empresa/sector)– Indicadores de excepciónIndicadores de excepción– Entrevistas y cesiones grupales guiadas por facilitadoresEntrevistas y cesiones grupales guiadas por facilitadores
CI CI C Ames C Ames 2020
Riesgo Inherentey Residual
Probabilidad eImpacto
Metodologías yTécnicas Correlación
•Accs. Admvas. Previas•Accs. Admvas. Post.•Esperadas e Inesperadas
•Cualitativas•Cuantitativas
•Secuencia de eventos•Categorías•Escenarios
EVALUACIÓN DE RIESGOS
•Esperadas•Horizonte de tiempo•Métrica de medición•Datos observables
Evaluación de Riesgos
CI CI C Ames C Ames 2121
Evaluación de Riesgos Evaluación de Riesgos
Condiciones que pueden crear un riesgo adicional
Diseño u operación inadecuada del control interno
Metas y planeación fuera de la realidad
Actividades no autorizadas
Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares
Acciones correctivas pobremente planeadas o implementadas
CI CI C Ames C Ames 2222
Respuesta al Riesgo
(control interno)
- Considerar los riesgos a largo plazo.
- Riesgo inherente: riesgo para la entidad en ausencia de cualquier
acción realizada por la administración para alterar la
probabilidad o el impacto.
- Riesgo residual: riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto.
RiesgoInherente
RiesgoResidual
Evaluación de Riesgos Evaluación de Riesgos
CI CI C Ames C Ames 2323
Identificación deRespuestas
Evaluación PosiblesRespuestas
Elección de Respuesta Visión Integral
•Evadir•Compartir•Reducir•rAceptar
•Toma de decisiones
•Nivel entidad•Nivel Unidad de negocio•Base Inherente y residual
RESPUESTA AL RIESGO
•Impacto•Probabilidad•Costo Vs. Beneficio•Respuestas Innovativas
Respuesta al RiesgoRespuesta al Riesgo
CI CI C Ames C Ames 2424
Respuesta al RiesgoRespuesta al Riesgo
Opciones y su efecto en la probabilidad e impacto de un evento.
Relación con: tolerancia al riesgo, costo vs. beneficio.
Selección e implantación. Seleccionar respuestas que traerán la
probabilidad e impacto de un evento dentro de la tolerancia al riesgo de la entidad.
Cuatro Tipos de Respuesta al Riesgo Evasión Compartir Aceptación Reducción
Redimensionar el riesgo sobre una base residual.
Siempre existirán niveles de riesgo residual.
CI CI C Ames C Ames 2525
Integradas a lasRespuestas
Tipos deControl Específicos
•Implícitas en los procesos del negocio
•Admon. TI•Infraestructura TI•Admon. Seguridad•Desarrollo y Mantenimiento de software
•Estrategias y objetivos específicos•Ambiente Operacional•Complejidad de la entidad
ACTIVIDADES DE CONTROL
•Políticas•Procedimientos•Preventivos•Detectivos•Manuales•Automatizados
Controles deAplicación
•Integridad•Exactitud•Autorización•Validación
Controles Generales
Actividades de ControlActividades de Control
CI CI C Ames C Ames 2626
Actividades de ControlActividades de Control
Las actividades de control también incluyen sistemas, procesos, iniciativas, técnicas, programas, proyectos y otras formas de lograr los objetivos
Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones
CI CI C Ames C Ames 2727
Información
•Interna•Externa•Manual•Computarizada•Formal•Informal•Arquitectura Sist. Inf.
•Estratégica•Operacional•Pasada y presente•Nivel detalle•Periodicidad•Calidad
INFORMACIÓN Y COMUNICACIÓN
Comunicación
•Interna•Externa•Nivel entidad•Expectativas y responsabilidades•Formatos•Medios de transmisión
Sistemas Estratégicose Integrados
Información y ComunicaciónInformación y Comunicación
CI CI C Ames C Ames 2828
De fuentes internas y externas
Identifica, captura, analiza y comunica a quienes lo necesitan
Forma y tiempo
Útil para llevar a cabo responsabilidades
Fluye hacia abajo, hacia arriba y a lo largo de la organización
Intercambio con partes externas: clientes, proveedores, legisladores, accionistas
Útil para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos
Información y ComunicaciónInformación y Comunicación
CI CI C Ames C Ames 2929
Información relevanteUso de datos históricos y actuales. Identifica correlaciones, tendencias, utiliza
el conocimiento para ayudar a pronosticar el desempeño futuro.
Prevención temprana.Estado actual para evaluar si se está
dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.
Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administración.
Riesgo de reportes sesgadosCanales de comunicación Tradicionales vs
No-tradicionales.
Información y ComunicaciónInformación y Comunicación
CI CI C Ames C Ames 3030
Verificar que los componentes están presentes y funcionando, y su calidad en el curso del tiempo
Dos caminos: Evaluaciones sobre la marcha o independientes.
La documentación varía con el tamaño y complejidad de la organización
La falta de documentación no significa que los componentes no existan o no puedan ser probados. La documentación hace que la supervisión sea más efectiva. También es importante respaldar las aseveraciones sobre la calidad de ERM.
SupervisiónSupervisión
CI CI C Ames C Ames 3131
Durante las Operaciones
•Tiempo real•Implícito•Operaciones día a día
•Alcance•Frecuencia•Autoevaluación (facilitación Auditores Internos)•Ampliamente documentada
SEGUIMIENTO Y EVALUACIÓN
Reporte Deficiencias
•Durante las Operaciones•Entidades externas•Protocolos•Canales alternos
Evaluaciones Independientes
SupervisiónSupervisión
CI CI C Ames C Ames 3232
Reportar las deficiencias a quienes pueden tomar la acción apropiada.
La deficiencia se puede percibir, sea potencial o real. También la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos.
Mecanismo para reportar actos delicados, ilegales o impropios
Resultados de la información y de la evaluación
Quién, qué, cuándo, dónde, cómo, por qué
SupervisiónSupervisión
CI CI C Ames C Ames 3333
Papeles y ResponsabilidadesPapeles y Responsabilidades
Consejo de Administración: Dirección, Estrategia, Tono en la Cumbre, propensión/aversión al riesgo, Respuestas de ERM
Administración: Responsables de ERM, tono en la cumbre, liderazgo, delegación apropiada de responsabilidades, influencia a lo largo de unidades organizacionales
Director Ejecutivo de Riesgos (CRO): mantener la administración efectiva del riesgo, supervisar avances, reportar información relevante al Consejo de Administración y a la Gerencia.
CI CI C Ames C Ames 3434
Auditores Internos: Apoyar la evaluación y supervisión del ERM y la calidad del desempeño. Asesorar a la Administración, al Consejo y al Comité de Auditoría y haciendo recomendaciones que agreguen valor a la gestión.
Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen información útil para el ERM.
Papeles y ResponsabilidadesPapeles y Responsabilidades
CI CI C Ames C Ames 3535
Proporcionan información útil para ERM, pero no son responsables de ERM
Auditores Internos
Auditores Externos
Auditores del Legislativo
Agencias reguladoras (CNBV-CNSF y otros)
Clientes
Analistas Financieros
Medios de comunicación
Papeles y ResponsabilidadesPapeles y Responsabilidades
CI CI C Ames C Ames 3636
Mitos sobre ERMMitos sobre ERM
Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error.
Sólo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización
Con él, las auditorias serán infalibles
ERM es sobre seguros
Es un proceso independiente y aislado del resto de la organización
Cuesta demasiado implementarlo.
CI CI C Ames C Ames 3737
Bibliografía Bibliografía
Ames, César. Ames, César. Vivas Soto, Sara.Vivas Soto, Sara. MET 2002B 6 Callao Peru 2004MET 2002B 6 Callao Peru 2004
Root, Steven. Beyond COSO: Internal control to enhance Root, Steven. Beyond COSO: Internal control to enhance corporate governance. John Wiley & Sons. New York, NY. 1998.corporate governance. John Wiley & Sons. New York, NY. 1998.
The Committee of Sponsoring Organizations of the Treadway The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management Framework – Commission (COSO), Enterprise Risk Management Framework – Exposure Draft for Public Comment (July 2003)Exposure Draft for Public Comment (July 2003)
[email protected]@yahoo.com www.coso.orgwww.coso.org www.erm.coso.orgwww.erm.coso.org