COSO II ERM [1] (2)

CI CI C Ames C Ames 11

UNIVERSIDAD NACIONALDEL CALLAOUNIVERSIDAD NACIONALDEL CALLAOFACULTAD DE CIENCIAS CONTABLESFACULTAD DE CIENCIAS CONTABLES

OFICINA DE COOPERACION INTERNACIONAL OFICINA DE COOPERACION INTERNACIONAL

ENSEÑANZA CONTABLEENSEÑANZA CONTABLE

CONTROL INTERNO - COSO IICONTROL INTERNO - COSO II

Enterprise Risk Management Enterprise Risk Management Framework (ERM).Framework (ERM).

César Ames César Ames

20052005


CONTENIDOCONTENIDO

Introducción¿Cómo se inicio el COSO-ERM?¿Definición de COSO-ERM? Beneficios COSO-ERM Eficacia COSO-ERM Limitaciones COSO-ERM Diferencia entre Coso I y Coso II Componentes COSO-ERM Papeles y responsabilidades Mitos del COSO - ERM Bibliografía


IntroducciónIntroducción

El 15 de julio de 2003, el Comité de las Organizaciones Patrocinadoras de la Comisión Treadway (COSO), ha emitido el borrador de su nuevo informe Enterprise Risk Management Framework (ERM).El trabajo fue efectuado con la información disponible a través de Internet, a raíz del lanzamiento mundial del Marco de Gestión de Riesgo empresarial (ERM COSO II) con fecha 29 de setiembre de 2004. Toma en cuenta las experiencias prácticas de trabajos de consultoría en administración de riesgos basadas en diversas metodologías disponibles, las opiniones y consideraciones aquí vertidas son entonces responsabilidad de los autores. El trabajo busca facilitar la información disponible al público interesado.


¿Cómo se Inició COSO II ERM?¿Cómo se Inició COSO II ERM?

Los Auditores Internos utilizan COSO ERM porque: La metodología tradicional de muestreo usualmente no

es suficiente para obtener los resultados deseados. La metodología tradicional es a menudo ineficaz y

costosa El enfoque cambió de auditoria basada en control Se enfoca en el riesgo para determinar qué es

importante y seleccionar la muestra de control Control Interno – Marco Integral

Efectividad y eficacia de las operaciones Confiabilidad en los informes financieros Cumplimiento con las leyes y reglamentos aplicables


Definición de COSO II ERMDefinición de COSO II ERM

Es un proceso, realizado por el consejo directivo de una entidad, la administración y otro personal, aplicado en el establecimiento de estrategias para toda la empresa, diseñada para identificar eventos potenciales que puedan afectar a la entidad, y administrar los riesgos para mantenerse dentro de su propensión al riesgo y proporcionar una seguridad razonable referente al logro de objetivos.


¿Qué no es COSO- ERM ¿Qué no es COSO- ERM

Una herramienta para la toma de

decisiones

Una técnica de clasificación para

dar seguimiento a controles

internos

El único seguro al respecto

El trabajo de unos cuantos


Beneficios de COSO ERMBeneficios de COSO ERMRelaciona crecimiento, riesgo y retorno de la inversión

Amplía las decisiones de respuesta al riesgo.

Minimiza sorpresas y pérdidas operacionales.

Identifica y administra riesgos a lo largo de toda la empresa.

Proporciona respuestas integradas a los múltiples riesgos.

Toma ventaja de las oportunidades.

Mejora la asignación de capital.


Se relaciona con la gobernabilidad corporativa

Proporciona información al Consejo Directivo s/riesgos

Se conecta con el desempeño de la Administración

Ayuda a organizaciones a lograr objetivos y evitar pérdidas

Ayuda a asegurar reportes efectivos

Ayuda a asegurar el cumplimiento con leyes y reglamentos

Ayuda a evitar daños en la imagen o reputación

Beneficios de COSO ERMBeneficios de COSO ERM


Eficacia del COSO ERMEficacia del COSO ERM

Eficacia: todos los (8) ocho componentes están presentes y funcionando

Puede haber diferentes niveles de eficacia entre entidades, actividades y combinaciones de componentes, debido también a diferentes culturas y filosofías administrativas.

Conceptos aplicables a todas las entidades sin importar su tamaño y niveles de formalidad.

Deben considerarse las relaciones externas (inversión conjunta, asociaciones) que no están bajo un control directo.


Limitaciones de COSO ERMLimitaciones de COSO ERM

ERM no garantiza que la entidad será exitosa y logrará todos sus Objetivos

Limitaciones: - Cambios en políticas o programas del Gobierno- Competencia- Condiciones económicas- Malas decisiones- Errores y equivocaciones- Gerentes incompetentes- Omisión o debilitamiento de control interno, colusión,

ignorar el ERM. ERM no refleja una adecuada relación costo-beneficio .


COSO I COSO II - ERM

Ope

raci

ones

Reporte

s

Finan

cier

osCum

plimie

ntoSupervisión

Información y Comunicación

Actividades de Control

Evaluación del Riesgo

Ambiente de Control

Activid

ad 1

Activ id

ad 1

Pro

ceso 1

Pro

ceso 1

Un

idad

BU

nid

ad B

Un

idad

AU

nid

ad A

Estra

tégic

oOper

acio

nes

Operac

iones

Reporte

s

Reporte

sCum

plim

ient

o

Cumpl

imie

nto

Ambiente InternoAmbiente Interno

Identificación de Eventos


Respuesta al Riesgo

Establecer Objetivos



Supervisión

Su

bsid

iariaU

nid

ad d

e Neg

ocio

Divisió

n

Nivel-E

ntid

ad

¿Qué ha Cambiado?¿Qué ha Cambiado?


COMPONENTES DEL COSO IICOMPONENTES DEL COSO II

Estraté

gico

Operaciones

Operaciones

Reportes

Reportes

Cumplimiento

Cumplimiento




Respuesta al Riesgo

Establecer Objetivos



Supervisión

Su

bs

idia

ria

Un

ida

d d

e N

ego

cio

Divisió

n

Nive

l-En

tidad


AMBIENTE INTERNO

FilosofíaAdmin.Riesgo

Propensiónal Riesgo

CulturaRiesgo

ConsejoAdmin.

Integridad y Valores Éticos

CompentenciaPersonal

•Valor•Comun. Palabra/Acc

•Valor•Cuantitativo•Cualitativo•Vinculado a estrategia

Independencia •Activa•Involucrada

•Indepen-dencia.•Activa•Involucrada

•Código Cond.•Pre requisitos•Ejemplo Dir.•Incentivos

•Conocimientos•Habilidades•Trade Off



Ambiente InternoAmbiente Interno Fundamento para los demás

componentes de ERM

Influye en estrategia y objetivos.

Influye en diseño de actividades de control, información y comunicación, y supervisión.

Incluye valores éticos, competencia del personal, estilo de operación, asignación de autoridad.

La Dirección se reconoce responsable de los riesgos y de ella emana la filosofía y estilo gerencial e integra y promueve el ERM


Evidencia de la cultura organizacional:

• Acuerdos con sus empleados

• Trato a clientes y a otros externos

• La incidencia de violaciones a leyes y reglamentos

• El tono desde lo alto

• Prudencia financiera

• La calidad de los productos y servicios ofrecidos

• Sus respuestas a las crisis

• Su imagen pública



ObjetivosEstratégicos

ObjetivosRelacionados

ObjetivosSeleccionados

Propensiónal Riesgo

Tolerancia al Riesgo

•Metas estratégicas•Misión/Visión•Elección de estrategia

•Operación•Información•Cumplimiento•Salvaguarda

•Alineación y apoyo•Decisiones de la Admón.

•Crecimiento, riesgo y entorno•Asig. Recursos•Gente, procesos e Infraestructura

•Variaciones aceptables•Métrica de Medición de Objetivos.

ESTABLECIMIENTO DE OBJETIVOS

Establecimiento de Objetivos


Deben existir objetivos antes de que la administración pueda identificar eventos que potencialmente afecten su logro.

Alinear misión/visión con objetivos Tipos: Estratégicos: relacionados

con metas de alto nivel Reportes: confiabilidad en los

mecanismos de reportes Cumplimiento: con leyes y

reglamentos aplicables

Establecimiento de Objetivos


Eventos Factores Influy.Estrat. y Objs.

Metodologíay técnicas

Categoríasde Eventos

Riegos yOportunidades

•Incidental•Impacto positivo y/o negativo

•Internos•Externos

•Durante•Periódico•Pasado y Futuro

•Grupos de riesgo por proceso y/o función

•Imp. Neg: Riesgo•Imp. Pos: Oport.•Disminución del riesgo

IDENTIFICACIÓN DE EVENTOS

Eventos Inter-dependientes

•Eventos precursores (reacciones en cadena)•Interrelacionados



Identificación de EventosIdentificar eventos potenciales que afectan la Identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos implementación de la estrategia o el logro de los objetivos distinguiendo Riesgos y Oportunidadesdistinguiendo Riesgos y Oportunidades

Los eventos con un impacto negativo representan riesgos.Los eventos con un impacto negativo representan riesgos.

Los eventos con un impacto positivo representan Los eventos con un impacto positivo representan oportunidadesoportunidades

Técnicas de Identificación de EventosTécnicas de Identificación de EventosExisten técnicas de diverso grado de sofisticaciónExisten técnicas de diverso grado de sofisticaciónEjemplos:Ejemplos:– Inventarios de eventosInventarios de eventos– Análisis de información histórica (de la empresa/sector)Análisis de información histórica (de la empresa/sector)– Indicadores de excepciónIndicadores de excepción– Entrevistas y cesiones grupales guiadas por facilitadoresEntrevistas y cesiones grupales guiadas por facilitadores


Riesgo Inherentey Residual

Probabilidad eImpacto

Metodologías yTécnicas Correlación

•Accs. Admvas. Previas•Accs. Admvas. Post.•Esperadas e Inesperadas

•Cualitativas•Cuantitativas

•Secuencia de eventos•Categorías•Escenarios

EVALUACIÓN DE RIESGOS

•Esperadas•Horizonte de tiempo•Métrica de medición•Datos observables

Evaluación de Riesgos


Evaluación de Riesgos Evaluación de Riesgos

Condiciones que pueden crear un riesgo adicional

Diseño u operación inadecuada del control interno

Metas y planeación fuera de la realidad

Actividades no autorizadas

Entendimiento insuficiente de nuevas inversiones, productos, iniciativas y actividades de negocio similares

Acciones correctivas pobremente planeadas o implementadas


Respuesta al Riesgo

(control interno)

- Considerar los riesgos a largo plazo.

- Riesgo inherente: riesgo para la entidad en ausencia de cualquier

acción realizada por la administración para alterar la

probabilidad o el impacto.

- Riesgo residual: riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto.

RiesgoInherente

RiesgoResidual

Evaluación de Riesgos Evaluación de Riesgos


Identificación deRespuestas

Evaluación PosiblesRespuestas

Elección de Respuesta Visión Integral

•Evadir•Compartir•Reducir•rAceptar

•Toma de decisiones

•Nivel entidad•Nivel Unidad de negocio•Base Inherente y residual

RESPUESTA AL RIESGO

•Impacto•Probabilidad•Costo Vs. Beneficio•Respuestas Innovativas

Respuesta al RiesgoRespuesta al Riesgo


Respuesta al RiesgoRespuesta al Riesgo

Opciones y su efecto en la probabilidad e impacto de un evento.

Relación con: tolerancia al riesgo, costo vs. beneficio.

Selección e implantación. Seleccionar respuestas que traerán la

probabilidad e impacto de un evento dentro de la tolerancia al riesgo de la entidad.

Cuatro Tipos de Respuesta al Riesgo Evasión Compartir Aceptación Reducción

Redimensionar el riesgo sobre una base residual.

Siempre existirán niveles de riesgo residual.


Integradas a lasRespuestas

Tipos deControl Específicos

•Implícitas en los procesos del negocio

•Admon. TI•Infraestructura TI•Admon. Seguridad•Desarrollo y Mantenimiento de software

•Estrategias y objetivos específicos•Ambiente Operacional•Complejidad de la entidad

ACTIVIDADES DE CONTROL

•Políticas•Procedimientos•Preventivos•Detectivos•Manuales•Automatizados

Controles deAplicación

•Integridad•Exactitud•Autorización•Validación

Controles Generales

Actividades de ControlActividades de Control


Actividades de ControlActividades de Control

Las actividades de control también incluyen sistemas, procesos, iniciativas, técnicas, programas, proyectos y otras formas de lograr los objetivos

Los controles internos que son efectivos bajo un conjunto de circunstancias, pueden no ser efectivos cuando cambian las condiciones


Información

•Interna•Externa•Manual•Computarizada•Formal•Informal•Arquitectura Sist. Inf.

•Estratégica•Operacional•Pasada y presente•Nivel detalle•Periodicidad•Calidad

INFORMACIÓN Y COMUNICACIÓN

Comunicación

•Interna•Externa•Nivel entidad•Expectativas y responsabilidades•Formatos•Medios de transmisión

Sistemas Estratégicose Integrados

Información y ComunicaciónInformación y Comunicación


De fuentes internas y externas

Identifica, captura, analiza y comunica a quienes lo necesitan

Forma y tiempo

Útil para llevar a cabo responsabilidades

Fluye hacia abajo, hacia arriba y a lo largo de la organización

Intercambio con partes externas: clientes, proveedores, legisladores, accionistas

Útil para identificar, evaluar y responder a riesgos, mover la entidad y lograr los objetivos



Información relevanteUso de datos históricos y actuales. Identifica correlaciones, tendencias, utiliza

el conocimiento para ayudar a pronosticar el desempeño futuro.

Prevención temprana.Estado actual para evaluar si se está

dentro de las tolerancias establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.

Esencial al Consejo para realizar sus responsabilidades de vigilancia sobre los riesgos y su administración.

Riesgo de reportes sesgadosCanales de comunicación Tradicionales vs

No-tradicionales.



Verificar que los componentes están presentes y funcionando, y su calidad en el curso del tiempo

Dos caminos: Evaluaciones sobre la marcha o independientes.

La documentación varía con el tamaño y complejidad de la organización

La falta de documentación no significa que los componentes no existan o no puedan ser probados. La documentación hace que la supervisión sea más efectiva. También es importante respaldar las aseveraciones sobre la calidad de ERM.

SupervisiónSupervisión


Durante las Operaciones

•Tiempo real•Implícito•Operaciones día a día

•Alcance•Frecuencia•Autoevaluación (facilitación Auditores Internos)•Ampliamente documentada

SEGUIMIENTO Y EVALUACIÓN

Reporte Deficiencias

•Durante las Operaciones•Entidades externas•Protocolos•Canales alternos

Evaluaciones Independientes



Reportar las deficiencias a quienes pueden tomar la acción apropiada.

La deficiencia se puede percibir, sea potencial o real. También la oportunidad para fortalecer el proceso, para aumentar la probabilidad del logro de objetivos.

Mecanismo para reportar actos delicados, ilegales o impropios

Resultados de la información y de la evaluación

Quién, qué, cuándo, dónde, cómo, por qué



Papeles y ResponsabilidadesPapeles y Responsabilidades

Consejo de Administración: Dirección, Estrategia, Tono en la Cumbre, propensión/aversión al riesgo, Respuestas de ERM

Administración: Responsables de ERM, tono en la cumbre, liderazgo, delegación apropiada de responsabilidades, influencia a lo largo de unidades organizacionales

Director Ejecutivo de Riesgos (CRO): mantener la administración efectiva del riesgo, supervisar avances, reportar información relevante al Consejo de Administración y a la Gerencia.


Auditores Internos: Apoyar la evaluación y supervisión del ERM y la calidad del desempeño. Asesorar a la Administración, al Consejo y al Comité de Auditoría y haciendo recomendaciones que agreguen valor a la gestión.

Otro Personal: ERM es responsabilidad de cada uno. Todos los empleados utilizan, producen o tienen información útil para el ERM.



Proporcionan información útil para ERM, pero no son responsables de ERM

Auditores Internos

Auditores Externos

Auditores del Legislativo

Agencias reguladoras (CNBV-CNSF y otros)

Clientes

Analistas Financieros

Medios de comunicación



Mitos sobre ERMMitos sobre ERM

Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error.

Sólo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización

Con él, las auditorias serán infalibles

ERM es sobre seguros

Es un proceso independiente y aislado del resto de la organización

Cuesta demasiado implementarlo.


Bibliografía Bibliografía

Ames, César. Ames, César. Vivas Soto, Sara.Vivas Soto, Sara. MET 2002B 6 Callao Peru 2004MET 2002B 6 Callao Peru 2004

Root, Steven. Beyond COSO: Internal control to enhance Root, Steven. Beyond COSO: Internal control to enhance corporate governance. John Wiley & Sons. New York, NY. 1998.corporate governance. John Wiley & Sons. New York, NY. 1998.

The Committee of Sponsoring Organizations of the Treadway The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management Framework – Commission (COSO), Enterprise Risk Management Framework – Exposure Draft for Public Comment (July 2003)Exposure Draft for Public Comment (July 2003)

[email protected]@yahoo.com www.coso.orgwww.coso.org www.erm.coso.orgwww.erm.coso.org

Documents

COSO II ERM [1] (2)