Riesgos

Anuncio
Expositor : CPCC. Víctor Taboada Allende
CPCC. Víctor Taboada Bormioli
Tacna, 13 Oct 2012
Riesgos
¿Alguien que trabaje con riesgos?
Riesgos
Todos
trabajamos
con riesgo
¿Riesgo?
•
•
•
•
•
•
•
•
Riesgo crediticio
•
Riesgo de solvencia
•
Riesgo liquidez
•
Riesgo de financiamiento •
Riesgo eléctrico
•
Riesgo operativo
•
Riesgo informático
•
Riesgo laboral
•
Riesgo de cumplimiento
Riesgo estratégico
Riesgo de salud
Riesgo de logística
Riesgo de vida
Riesgo de oportunidad
Riesgo ambiental
Riesgo reputacional
Definiciones de Riesgo
Riesgo Inherente
• La susceptibilidad de que una afirmación
relevante contenga un error (ya sea por
error
o
fraude),
que
pueda
ser
significativa, individualmente o agregada
a otros errores, asumiendo que no
existe control
FIA ESSENTIALS / B / 3
Riesgo Operativo
• Corresponde al riesgo de pérdida debido a
la inadecuación o a la falla de los
procesos, del personal y de los sistemas
internos y/o de los controles internos
aplicables
o
bien
a
acontecimientos externos.
FIA ESSENTIALS / B / 3
causa
de
Riesgo de Fraude
• El
riesgo
de
que
las
relevantes,
relativas
a
financieros,
clases,
o
afirmaciones
los
estados
revelaciones
contengan errores debido a fraude que
podrían ser significativas individualmente
o agregadas a otros
FIA ESSENTIALS / B / 4
Riesgo Clave
• Son los riesgos que, a juicio del auditor,
requieren de especial consideración en la
auditoría por la naturaleza del riesgo, la
magnitud de la posibilidad de potenciales
errores y la posibilidad de que ocurra el
riesgo.
FIA ESSENTIALS / B / 5
Riesgo de control
• El riesgo de que un error que pudiera estar
presente en una afirmación y que podría ser
significativo, individualmente o agregado a
otros errores, no se prevenga o detecte y
corrija
oportunamente
interno de la Compañía.
FIA ESSENTIALS / B / 6
por
el
control
¿Que es el Riesgo?
• La palabra, comúnmente estaba asociada
con temor, miedo, peligro, pérdida.
• La palabra riesgo, desde sus orígenes
está mas bien asociada a atreverse a
hacer algo.
• La palabra riesgo, tiene su origen en el
latín: “risicare”, que significa atreverse, y
no siempre que Uds. se atreven el
resultado es adverso.
Enfoque del Riesgo en el tiempo
Apetito al Riesgo
Es así como la gerencia puede establecer la meta de un nivel aceptable
del riesgo (apetito del riesgo); los que excedan este nivel deben ser
reducidos utilizando controles más estrictos; los que se encuentran por
debajo de dicho nivel, se deben evaluar para determinar si se ésta
aplicando un control excesivo y si se pueden realizar ahorros en costos,
eliminado estos controles excesivos.
Conceptualizando…
-
Riesgo Residual
Tolerancia al Riesgo
Key Control
-
Gestión de Riesgo = Producción de Valor
(conocimiento, no azar)
Tolerancia al Riesgo
Riesgo: Causa e Efecto
¿Control?
La palabra control proviene del término
francés “contrôle” y significa comprobación,
inspección, fiscalización o intervención.
Es la contrastación de la realidad contra un
modelo previamente establecido.
Manual
Automático
Mixto
¿Control?
El control está en todas las actividades y
acciones que realizamos
Existe siempre alguien que ejerce control
sobre nosotros y también existe siempre
alguien a quien podemos controlar
•
El escándalo del Watergate, fue un escándalo político en los Estados
Unidos ocurrido hace casi 40 años, durante el mandato de Richard
Nixon, que culminó con la imputación de algunos consejeros muy cercanos
al presidente, y con su propia dimisión el 8 de agosto de 1974.
•
El escándalo comenzó con el arresto de cinco hombres por el
allanamiento de la sede del Partido Demócrata de los Estados Unidos, en
el complejo de oficinas Watergate, en Washington, D.C. el 17 de junio de
1972, este robo fue sólo una de las múltiples actividades ilegales
autorizadas y ejecutadas por el equipo de Nixon.
•
enorme alcance de los
fraude en la campaña,
El FBI, el comité Watergate, entre otros, revelaron el
crímenes y abusos, que incluían
espionaje político y sabotaje, intrusiones ilegales, auditorías de
impuestos falsas, escuchas ilegales a gran escala, y un fondo
secreto en México para pagar a quienes realizaban estas operaciones. Este
fondo también se usó para comprar el silencio de los cinco hombres que fueron
imputados por el robo.
•
•
•
•
Informe COSO
Committee
Of
Sponsoring
Organizations of the Treadway Commission
(Comité de Organizaciones Patrocinadoras de la Comisión Treadway)
•
•
•
•
El Instituto Americano de Contadores Públicos Certificados (AICPA)
La Asociación de Contabilidad de América (AAA)
Ejecutivos Financieros Internacionales (FEI)
Instituto de Auditores Internos (IIA)
•
Instituto de Gerencia Contable (IMA)
Internal Control - Integrated Framework
(Control Interno – Marco Integrado)
• Desde
entonces
ésta
metodología, sistema, se ha
incorporado en las políticas,
reglas y regulaciones, ha sido
utilizada por muchas compañías
privadas
y
organismos
gubernamentales, para mejorar
sus actividades de control hacia
el logro de sus objetivos.
Las normas de Control interno suman 34 y se
encuentran agrupadas en cinco (5) componentes
siguientes:
1.- Ambiente de Control
8
2.- Evaluación de
Riesgos
3.- Actividades de
Control Gerencial
4.-Información y
Comunicación
4
10
9
5.- Supervisión
3
Total
34
RESUMEN DE ÁMBIENTE DE CONTROL
RESUMEN:
Este componente comprende básicamente,
el compromiso que asume el titular de la
Entidad para con el Control Interno, así
como, la conducta de los funcionarios de la
organización y también propiciar la
generación de una cultura organizacional
basada en valores éticos.
RESUMEN DE LA EVALUACIÓN DE
RIEGOS
RESUMEN:
Este componente está relacionado con la
responsabilidad que tiene los funcionarios y
trabajadores de la organización, para identificar
y determinarlos riesgos internos y externos, que
puedan afectar el cumplimiento de metas y
objetivos.
Luego de determinados los riesgos, cuales son
las acciones adoptadas por la gestión de la
organización, para administrar los riesgos, de tal
forma que se minimicen los riesgos
determinados.
ACTIVIDADES DE CONTROL
RESUMEN:
Todas
las
organizaciones
generan
procedimientos para asegurar o contribuir al
cumplimiento de metas y objetivos, contribuir a la
fidelidad de la información, a la efectividad de las
operaciones, a la salvaguarda de los activos y al
cumplimiento de la normativa. Las actividades de
Control están inmersas en las propias
operaciones de las organizaciones, como
cuando se controla la asistencia del personal,
cuando se rinde cuenta de los viáticos recibidos.
Lo cierto es que debe efectuarse una revisión
periódica de dichas actividades, para evaluar su
vigencia.
SISTEMA DE INFORMAIÓN Y
COMUNICACIÓN
• RESUMEN:
El Sistema de Información y Comunicación - SIC,
está relacionado con las acciones que
la
Organización, adopte a efectos de asegurarse
sobre la fortaleza del SIC, de tal forma que la
carga de datos, haya sido debidamente validada
para la obtención de información fiable.
La organización se asegura
comunicación, es efectiva y
distorsiones importantes.
de
no
que la
muestra
ACTIVIDADES DE SUPERVISIÓN
RESUMEN:
Es preciso indicar que este componente,
además de su función de monitoreo y
Supervisión, que es el que contenía el Informe
Coso,
también,
recoge los nuevos
componentes que se han insertado en el
documento de Gestión de Riesgos Corporativos
- ERM, es decir, las Actividades de Previsión y
Monitoreo; el Seguimiento de Resultados; y los
Compromisos de Mejoramiento.
Marco de Madurez de Control Interno
NO CONFIABLE
(UNRELIABLE)
 Ambiente de
control
impredecible
donde no existen
actividades de
control
•
•
–
–
–
•
–
–
–
INFORMAL
 Existen actividades
de control
adecuadas pero no
están debidamente
documentadas.
ESTANDARIZADO
MONITOREADO
OPTIMIZADO
 Existen
actividades de
control adecuadas
y se encuentran
debidamente
documentadas.
 Existen actividades de
control adecuadas y
documentadas y se
realizan pruebas
periódicas para probar su
efectividad.
• Existen actividades
de control adecuadas
documentadas y la
administración
realiza un monitoreo
en tiempo real sobre
las mismas
Nivel 1 – No Confiable (Unreliable)
Ambiente de control impredecible donde no
existen actividades de control
Nivel 2 – Informal
Existen actividades de control adecuadas pero no
están debidamente documentadas.
No existe evidencia de la ejecución del control.
No hay entrenamiento formal sobre las
actividades de control y no son del conocimiento
del personal.
Nivel 3 – Estandarizado (Standardized)
Existen actividades de control adecuadas y se
encuentran debidamente documentadas.
El personal tiene conocimiento de las actividades
de control.
Desviaciones a la actividad de control no son
detectadas generalmente.
•
Nivel 4 – Monitoreado (Monitored)
– Existen actividades de control adecuadas,
documentadas y se realizan pruebas periódicas
para probar su efectividad.
– Automatización y herramientas pueden ser
utilizadas de forma limitada como soporte de la
actividad de control.
•
Nivel 5 – Optimizado (Optimized)
– Existen actividades de control adecuadas y
documentadas y la administración realiza un
monitoreo en tiempo real sobre las mismas.
– Automatización y herramientas que permitan a la
organización hacer cambios o correcciones
rápidas (de ser necesario) se requieren como
soporte de la actividad de control.
Enron Corporation
• Enron Corporation fue una empresa de energía
con sede en Houston, Texas que empleaba cerca
de 21.000 personas hacia mediados de 2001
(antes de su quiebra).
• Una serie de técnicas contables fraudulentas,
apoyadas por su empresa auditora, el entonces
prestigioso despacho Arthur Andersen,
permitieron a esta empresa estar considerada
como la séptima empresa de los Estados Unidos, y
se esperaba que siguiera siendo empresa
dominante en sus áreas de negocio.
• En lugar de ello, se convirtió en ese entonces en el
más grande fraude empresarial de la historia y
en el arquetipo de fraude empresarial planificado.
Grandes escándalos corporativos
• Enron fue el primero de una serie de
grandes escándalos corporativos que
involucraron a empresas como:
HealthSouth, WorldCom, Global Crossing,
Parmalat y Adelphia
Enterprise Risk Management - Integrated Framework
(Gestión Integral de Riesgo – Marco Integrado)
• Hacia fines de Septiembre de 2004, como respuesta a los
escándalos mencionados, e irregularidades que provocaron
pérdidas importante a inversionistas, empleados y otros grupos de
interés, nuevamente el Committee of Sponsoring
Organizations of the Treadway Commission, publicó el
Enterprise Risk Management - Integrated Framework
y sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno,
proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo.
• Este nuevo enfoque, no
intenta ni sustituye el
marco de control interno, sino que lo incorpora como
parte de él, permitiendo a las compañías mejorar sus prácticas de
control interno o decidir encaminarse hacia un proceso más
completo de gestión de riesgo.
COMPONENTES DEL SISTEMA DE CONTROL INTERNO Y
GESTION INTEGRAL DE RIESGOS – ENFOQUE COSO
Categoría
De
Objetivos
Ambiente
de
Aplicación
1.
2.
3.
4.
5.
Ambiente de Control
Evaluación de Riesgos
Actividades de Control
Información y comunicación
Monitoreo
1.
2.
3.
4.
5.
6.
7.
8.
Entorno Interno
Definición de Objetivos
Identificación de Eventos
Evaluación de Riesgos
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
Ambiente interno
•
•
Sirve como la base fundamental para los
otros componentes del ERM, dandole
disciplina y estructura.
Dentro de la empresa sirve para que los
empleados creen conciencia de los
riesgos que se pueden presentar en la
empresa
Establecimientos de objetivos.
• Es importante para que la empresa prevenga
los riesgo, tenga una identificación de los
eventos, una evaluación del riesgo y una clara
respuesta a los riesgos en la empresa.
• La empresa debe tener una meta clara que se
alineen y sustenten con su vision y mision, pero
siempre teniendo en cuenta que cada decision
con lleva un riesgo que debe ser previsto por la
empresa
Identificación de eventos
• Se debe identificar los eventos que afectan los
objetivos de la organización aunque estos sean
positivos, negativos o ambos, para que la
empresa los pueda enfrentar y proveer de la
mejor forma posible.
• La empresa debe identificar los eventos y debe
diagnosticarlos como oportunidades o riesgos.
Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
Evaluación del Riesgo
• La evaluación de riesgos permite a una entidad
considerar la amplitud con que los eventos
potenciales impactan en la consecución de
objetivos.
• La dirección evalúa estos acontecimientos
desde una doble perspectiva -probabilidad e
impacto- y normalmente usa una combinación
de métodos cualitativos y cuantitativos.
• Los riesgos se evalúan con un doble enfoque:
riesgo inherente y riesgo residual.
PROCESOS CORE
• Competencia distintiva,
también llamada competencia
básica, competencia esencial,
o competencia clave o también
"Giro del negocio" y conocida en
inglés por Core Business o Core
Competent, se refiere en gestión
empresarial, a aquella actividad
capaz de generar valor y que
resulta necesaria para
establecer una ventaja
competitiva beneficiosa para la
organización.
Un riesgo y el número de riesgo en la matriz de
evaluación del control interno.
Corresponde a la identificación de un control que se
encuentra funcionando adecuadamente y el número de
control en la matriz de evaluación del control interno.
Corresponde a la identificación de un control que se
encuentra débil o no está funcionando adecuadamente
y el número de control en la matriz de evaluación del
control interno.
Indica que no existe control implementado en la
compañía.
Evaluación de Riesgos
Evaluación de Riesgos
5
5
4
3
IMPACTO
IMPACTO
4
2
1
3
2
1
0
0
1
2
3
PROBABILIDAD
4
5
0
0
1
2
3
PROBABILIDAD
4
5
ACCION
INMEDIATA
Respuesta al riesgo
• Una vez evaluado el riesgo la gerencia identifica y
evalúa posibles repuestas al riesgo en relación al las
necesidades de la empresa.
• Las respuestas al riesgo pueden ser:
Respuesta al Riesgo:
Carro del Año
•
•
•
•
Evitarlo
Reducirlo
Compartirlo
Aceptarlo
Actividades de control
• Son las políticas y procedimientos para
asegurar que las respuesta al riesgo se
lleve de manera adecuada y oportuna.
• Tipo de actividades de control:
• Preventiva, detectivas, manuales,
computarizadas o controles gerenciales
Información y comunicación
• La información es necesaria en todos los niveles
de la organización para hacer frente a los
riesgos identificando, evaluando y dando
respuesta a los riesgos.
• La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en todo
los sentidos.
• Debe existir una buena comunicación con los
clientes, proveedores, reguladores y
accionistas.
Monitoreo
• Sirve para monitorear que el proceso de
administración de los riesgos sea efectivo
a lo largo del tiempo y que todos los
componentes del marco ERM funcionen
adecuadamente.
• El monitoreo se puede medir a través de:
• Actividades de monitoreo continuo
• Evaluaciones puntuales
• Una combinación de ambas formas
Gestión Integral de Riesgos
La gestión del riesgo produce valor
La gestión de riesgo permite a la alta dirección de una
empresa tomar decisiones con conocimiento del
riesgo y no basados en el azar de los eventos.
El administrador del riesgo, es la propia gerencia y
sus colaboradores.
PROCESO DE CONTROL INTERNO EN EL MUNDO Y
PERÚ
Informe COSO
1992
INTOSAI
(Budapest - Hungría)
SET. 2004
INTOSAI
NAGU
MAGU
1992
1995
1998
Documentos
de Gestión
de Riesgos
Corporativos
ERM
Escándalos
Financieros:
* Enron Corp.
R.C.
259-2000-CG
(Washington)
LEY 29743
09 DE JULIO 2011
*World Comp.
DIC.2000
2002
2003
Ley 28716
R.C.
320-2006-CG
R.C.
458-2008-CG
18.ABR.2006
3.NOV.2006
30.OCT.2008
Decreto
Urgencia
067-2009
23.JUN.2009
Otros modelos y regulaciones: COBIT
La misión principal de COBIT es
investigar, desarrollar, hacer
público y promover un marco de
control de gobierno TI autorizado,
actualizado, aceptado
internacionalmente para la
adopción por parte de las
empresas y el uso diario por parte
de gerentes de negocio,
profesionales de TI y profesionales
de aseguramiento.
La necesidad de un marco de
trabajo de control para el gobierno
de TI define las razones de por qué
se necesita el gobierno TI, los
interesados y qué se necesita
cumplir en el gobierno de TI.
Otros modelos y regulaciones:
BASILEA
 Basilea I se centraba en el análisis de riesgos
de crédito y de mercado.
 Ahora con Basilea II se aumenta la regulación
de fondos propios exigidos por la normativa y la
exposición al riesgo.
Se incluye la necesidad de tener en cuenta un
nuevo riesgo: el riesgo operacional o sea el
resultado de la pérdida derivada de fallos en los
procesos internos, en la actuación de personas
o de sistemas inadecuados o erróneos así como
de factores externos.
 Basilea III, se trata, fundamentalmente, de que
los bancos cuenten con más y mejor capital.
Otros modelos y regulaciones:
Ley SARBANES OXLEY - SOX
 La SOX nació como respuesta a una serie de escándalos
corporativos que afectaron a empresas estadounidenses a
finales del 2001, producto de quiebras, fraudes y otros
manejos administrativos no apropiados, que mermaron la
confianza de los inversionistas respecto de la información
financiera emitida por las empresas.
 Así, en Julio de 2002, el gobierno de Estados Unidos
aprobó la ley Sarbanes-Oxley, como mecanismo para
endurecer los controles de las empresas y devolver la
confianza perdida. El texto legal abarca temas como el
buen gobierno corporativo, la responsabilidad de los
administradores, la transparencia, y otras importantes
limitaciones al trabajo de los auditores.
Recursos útiles
http://www.gloriamundi.org/
Colección de artículos especializados en modelos de Valor al
Riesgo.
http://www.defaultrisk.com/
Colección de artículos especializados en modelos de riesgo de
crédito.
http://www.riskmetrics.com/
http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExec
Sum?ReadForm
Reporte de implementación de la gestíon
integral de riesgos COSO – ERM
http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveS
ummary_Spanish(Columbia).pdf
Percepción de la realidad
A
B
El Profesional y la investigación
Valoramos tu gran esfuerzo y decisión
capacitarte en beneficio de nuestro gremio.
Reflexión
• Como profesionales estamos comprometidos a actuar
diligentemente en el desempeño de nuestras funciones, con
Economía, Eficiencia, Eficacia y Valores éticos.
• Tenemos que asumir el compromiso de esforzarnos
permanentemente, para que nuestro servicio sea cada vez de
mayor calidad y con valor agregado.
• Nuestro País, nos ha formado como buenas personas y buenos
profesionales, por lo tanto, estamos en deuda con el, por lo
que estamos obligados a retribuirle, apoyando a los más
débiles de nuestro entorno, que repercutirá en beneficio de
nuestro querido país.
• En nuestras manos está el prestigiar o desprestigiar a nuestra
familia, profesión y a nuestro País.
Cordialmente,
CPCC. Víctor Taboada2
de
Muchas gracias,
CPCC. Víctor Taboada2
Descargar