control interno y gestión de riesgos

CONTROL INTERNO Y GESTIÓN DE RIESGOS

Esteban Olivares Arellano

• Introducción

• Control Interno

• Gestión de Riesgos

ACTUALIZACIÓN EN AUDITORÍA

2

Contexto

• Entorno más complejo- Clientes más empoderados

- Más información disponible

- Comunicaciones instantáneas

- Reguladores más activos

• Productos y procesos más complejos

• Gran dependencia de la tecnología


INTRODUCCIÓN

3

Rol de la auditoría

• Gobierno Corporativo y Auditoría

• ¿Auditores internos consultores?

• Rol y desempeño de los auditores externos

4

¿y qué pasa con los fiscalizadores?

INTRODUCCIÓN


Novedades

• Avances en la difusión de la gestión de riesgos como parte relevante de la gestión de organizaciones

• ISO 31000:2009, Gestión de Riesgo – Principios y Lineamientos

5

INTRODUCCIÓN


Novedades

• Basilea y las tres líneas de defensa

• Nueva Versión del Informe COSO

6

INTRODUCCIÓN


Novedades

• Actualización Normas de Auditoría Interna 2013

• Actualización ISO 9001

7

INTRODUCCIÓN


CONTROL INTERNO

Definición tradicional

Informe COSO Control Interno (1992)

Actualización Informe COSO Control Interno (2013)


“Conjunto de normas, métodos, medidas, prácticas adecuadas yprocedimientos incorporados en cada fase de la operación queadopta una organización con el fin de permitir el logro de losobjetivos y resultados presupuestados por la Administración.”

El objetivo antes mencionado, se cumplirá a través del logro de los siguientesobjetivos intermedios:

• La protección de los activos

• La obtención de información adecuada

• Promover la eficiencia operativa

• Estimular la adhesión a las políticas de la Dirección

¿Qué es el Control Interno?


COSO: Committee of SponsoringOrganizations of the Treadway Commission.

Objetivo del Informe Coso

Definir un nuevo marco conceptual delControl Interno capaz de integrar lasdiversas definiciones y conceptos que hastaese momento se habían venido utilizandosobre este tema.

Informe COSO


Informe Coso

COSO – Publicaciones sobre Control Interno

1992 2006 2009 2013


Informe Coso (1992)

CONTROL INTERNO

El Control Interno es un proceso efectuado por el directorio,la dirección y el resto del personal de una entidad, diseñadocon el objeto de proporcionar un grado de seguridadrazonable en cuanto a la consecución de los objetivos dentrode las siguientes categorías:

• Eficiencia de las operaciones

• Fiabilidad de la información financiera

• Cumplimiento de la leyes y normas aplicables


• Al ser realizado por personas, es falible.

• La colusión puede hacer fallar un proceso de control interno.

• En general, las labores asociadas al control no son consideradasde primer nivel.

• La preocupación por los riesgos y el control se intensificasiempre después de un evento relevante. Es decir no siemprees permanente.

Consideraciones sobre el CI


Gobierno Corporativo

Gestión de Riesgos

Control Interno

La gestión de riesgos es un concepto más amplio que el control interno

El control interno es una parte integral de la gestión de riesgos de la empresa

La gestión de riesgos es parte del proceso general de gobierno corporativo.

Consideraciones


¿Por qué actualizar este trabajo? Se ha convertido en la más ampliamente aceptada estructura de control.

COSO (2013)

Estructura

OriginalCOSO Control Interno – Estructura Integrada (Edición 1992)

Actualización

de Objetivos

Estructura

Actualizada COSO Control Interno – Estructura Integrada (Edición 2013)

Aplicación más ampliaClarifica

requerimientos

Articulación de

principios para

facilitar un CI efectivo

Actualizar contexto y

entornoMejoras

Reflejar cambios en los

negocios y entornos

operacionales

Expandir los objetivos

de Operaciones y

Reporte


CONTROL INTERNO

El control interno es un proceso, efectuado por elDirectorio, la gerencia y otro personal de laorganización, diseñado para proporcionar unaseguridad razonable sobre el logro de los objetivosrelacionados con las operaciones, la elaboración deinformes y el cumplimiento.

Informe Coso (2013)


OBJETIVOS

Categorías de Objetivos

El informe agrupa los objetivos del control interno en trestipos

Esto clarifica el aporte del Control Interno al cumplimientode los objetivos de la entidad

Operaciones Reportes Cumplimiento

Informe Coso (2013)


Componentes

El concepto se grafica como un cubo, considerando:

•Componentes

•Objetivos

•Espectro de acción

Informe Coso (2013)


Conceptos de Riesgos


20

• Contingencia o proximidad de un daño. Diccionario de la Real

Academia de la Lengua, Ed.2001

• Efecto de la incertidumbre en los objetivos. El efecto puede ser positivo o negativo. ISO 31000

• Cualquiera de las variables relevantes deincertidumbre que puede interferir con el logrode los objetivos de una empresa.

Instituto de Auditores Internos

• El riesgo es la combinación de la probabilidad de un evento y su consecuencia. Ésta puede ser positiva o negativa.

Instituto de Gestión de Riesgos (IRM)

Definiciones de RIESGO

Esteban Olivares A.


21

Definiciones de RIESGO – Según ERM COSO

• Desarrollo de productos

• Nuevos canales de ventas

• Venta a créditoCrear Valor

• Fraudes, ineficiencias

• Demandas, Multas

• Reclamos, Errores

Resguardar Valor

VALOR

Rie

sgo

sO

po

rtu

nid

ades

Profesor: Esteban Olivares A.


22

Riesgos no retribuidos

Resultados oimpactos negativosque erosionan valor.

Ejemplos:incumplimientos deleyes laborales,regulaciones, fraudes,siniestros, etc.

Riesgos Retribuidos

Riesgos que se tomande manera informadapara obtenerbeneficios o ventajacompetitiva.

Desarrollo nuevosproductos, entrar anuevos mercados.

Esteban Olivares A.


23Esteban Olivares A.

Riesgo Inherente

Es el riesgo propio de la actividad, proceso o producto.Está asociado a su naturaleza.

El riesgo inherente se asocia tradicionalmente al riesgopuro, sin la aplicación de medidas de mitigación delmismo.



Control/Mitigación

Es la acción de corregir o reducir laincertidumbre de los eventos significativos deriesgo a través de la administración, latransferencia o eliminación del mismo.

¿La mitigación es preventiva o

detectiva?



Riesgo Residual/Exposición

Es el riesgo que persiste una vez aplicadas oimplementadas las medidas de mitigación.

Posibilidad de materialización de los riesgosaún después de haber ejecutado lasactividades de mitigación y control.

Exposición = Ri - C



Medición de los Riesgos

Los riesgos, en especial los operacionales, semiden en función de su probabilidad deocurrencia (frecuencia) y el impacto(severidad) de su materialización.

Impacto

Probabilidad

MUY ALTO

ALTO

MEDIO

BAJO


27

Pro

bab

ilid

ad

Impacto

Mermas

Reclamos

Desastres naturales

Terrorismo

Ineficiencias

Rotación personal Corte

energia

Litigios

Grandes fraudes

Esteban Olivares A.



Apetito/Tolerancia al Riesgo

Corresponde a la exposición que laorganización decide asumir.

En general, se habla de Apetito cuandoestamos frente a riesgos retribuidos y deTolerancia frente a los riesgos no retribuidos.


Modelos Gestión de Riesgos

Esteban Olivares A.

ERM COSO define la gestión de riesgos como “… un procesoefectuado por el directorio de una entidad, su dirección yrestante personal, aplicable a la definición de estrategias en todala empresa y diseñado para identificar eventos potenciales quepuedan afectar a la organización, gestionar sus riesgos dentro delimites aceptados y proporcionar una seguridad razonable sobreel logro de los objetivos”.

COSO - Gestión de Riesgos

Esteban Olivares A.

ASPECTOS A DESTACAR DE LA DEFINICIÓN

Está directamente relacionado con el establecimiento y elseguimiento de la estrategia corporativa.

Está diseñado para identificar eventos potenciales que, deocurrir, afectarían a la entidad y para gestionar los riesgos dentrodel nivel de riesgo aceptado.

Su objetivo es proporcionar una seguridad razonable alDirectorio y a la dirección de una entidad.

Es orientado al logro de objetivos de la organización dentro dedistintas categorías.


Esteban Olivares A.

ESTRATEGIA

OPERACIONES

INFORMACIÓN

CUMPLIMIENTO

CATEGORIAS DE OBJETIVOS DE LAS EMPRESAS

La idea subyacente de la gestión de riesgos corporativos, esproporcionar un grado de seguridad razonable sobre el logro delos objetivos organizacionales.


Esteban Olivares A.

Ambiente Interno

Establecimiento de Objetivos

Identificación de Eventos

Evaluación de Riesgos

Respuesta al Riesgo

Actividades de Control

Información y Comunicación

Supervisión/Monitoreo

Según COSO, la gestión de riesgos corporativos está conformada por ocho componentes relacionados entre sí


Esteban Olivares A.

ISO 31000:2009ISO International Organization for Standarization

• Federación mundial que coordina a los

Organismos Nacionales de Estandarización

• Encargado de promover el desarrollo de Normas Internacionales de fabricación (tanto de productos y servicios), comercio y comunicación para las industrias

• Su objetivo es estandarizar normas de productos y seguridad para las organizaciones a nivel internacional


ISO 31000:2009

• Todas las actividades de una organización involucran riesgo

• Las organizaciones gestionan sus riesgos identificándolos y analizándolos. Luego determinan el tratamiento y controles apropiados para satisfacer los criterios de riesgo

• ISO 31000 establece en detalle este proceso, de una manera sistemática y lógica

35

LA GESTIÓN DEL RIESGO SE PUEDE APLICAR A TODA ORGANIZACIÓN, EN TODAS SUS ÁREAS

Y NIVELES, ASÍ COMO TAMBIÉN A FUNCIONES ESPECÍFICAS, PROYECTOS O ACTIVIDADES

Esteban Olivares A.

ISO 31000:2009

ISO 31000 Gestión del Riesgo – Campo de aplicación

• La norma entrega principios y directrices generales para lagestión del riesgo

• Puede ser usada por toda empresa, asociación, grupos oindividuos. La norma no es específica para una industria

• Puede ser aplicada a lo largo de la vida de la organización y entodo tipo de actividades, incluyendo estrategias y decisiones,operaciones, procesos, proyectos, productos, servicios y activos.


ISO 31000:2009

El modelo de gestión de riesgos ISO 31000 propone elementos centrales

Se establecen principios comunes para todos los riesgos

Se establece, documenta y comunica el marco de trabajo. (Políticas, Gobierno, Metodologías, Procedimientos y Responsables)

Se aplican, de manera periódica, las metodologías definidas para la evaluación de los riesgos y definir u tratamiento

Esteban Olivares A.

Principios de Gestión de Riesgos

La gestión de riesgos se basa en ciertos principios que deben ser conocidos y aceptados. Se contemplan 11 principios, comunes a todos los tipos de riesgos, destacándose:

Crea y protege valor

Es parte de la toma de decisiones

Es parte de los procesos organizacionales

Administra la incertidumbre

Se adapta a la organización

La Gestión de Riesgos

ISO 31000:2009Principios

Esteban Olivares A.

Marco de Trabajo

Implica el establecimiento, documentación y comunicación de:

Gobierno

Políticas

Metodologías

Procedimientos

Responsables

Esteban Olivares A.

ISO 31000:2009Marco de Trabajo

Evaluación de Riesgos

Mo

nit

ore

o y

rev

isió

n

Tratamiento de riesgos

Evaluación de

riesgos

Análisis de riesgo

Identificación de

riesgos

Establecer el contexto

Co

mu

nic

ació

n y

Co

msu

lta

Cada tipo de riesgo tiene un proceso distinto, contando con metodologías diferenciadas en la identificación, análisis y evaluación.

ISO 31000:2009Proceso de Gestión

El Control Interno y la Gestión de Riesgos:

•Son actividades complementarias con mucho en común pero no son lo mismo

•Disciplinas que operan en distintos ámbitos

•Actividades muy necesarias en las organizaciones de hoy

•Aspectos no siempre de primer orden en las empresas

Finalmente

Los riesgos y el control interno

42

Risk and Control StructureEstructura de Riesgo y Control

Riesgos

Riesgos Clave

Diseño de Test

Estrategia

Sub-process-

Objetivos de Control

Actividades de Control

Ejecución Test

Resultados & Análisis

Risk Assessment /

Mapa de Riesgos Agregados

Escalamiento & Seguimiento

Planes de Acción correctivos / mitigatorios

Indicadores de Riesgos

Métricas/ Tendencias

Límite/ Apetito

Resultados & Análisis

MonitoreoRiesgos Claves

Control

InternoGestión de

Riesgos

Objetivos de Negocio

CONTROL INTERNO Y GESTIÓN DE RIESGOS


control interno y gestión de riesgos

Documents