Expositor : CPCC. Víctor Taboada Allende CPCC. Víctor Taboada Bormioli Tacna, 13 Oct 2012 Riesgos ¿Alguien que trabaje con riesgos? Riesgos Todos trabajamos con riesgo ¿Riesgo? • • • • • • • • Riesgo crediticio • Riesgo de solvencia • Riesgo liquidez • Riesgo de financiamiento • Riesgo eléctrico • Riesgo operativo • Riesgo informático • Riesgo laboral • Riesgo de cumplimiento Riesgo estratégico Riesgo de salud Riesgo de logística Riesgo de vida Riesgo de oportunidad Riesgo ambiental Riesgo reputacional Definiciones de Riesgo Riesgo Inherente • La susceptibilidad de que una afirmación relevante contenga un error (ya sea por error o fraude), que pueda ser significativa, individualmente o agregada a otros errores, asumiendo que no existe control FIA ESSENTIALS / B / 3 Riesgo Operativo • Corresponde al riesgo de pérdida debido a la inadecuación o a la falla de los procesos, del personal y de los sistemas internos y/o de los controles internos aplicables o bien a acontecimientos externos. FIA ESSENTIALS / B / 3 causa de Riesgo de Fraude • El riesgo de que las relevantes, relativas a financieros, clases, o afirmaciones los estados revelaciones contengan errores debido a fraude que podrían ser significativas individualmente o agregadas a otros FIA ESSENTIALS / B / 4 Riesgo Clave • Son los riesgos que, a juicio del auditor, requieren de especial consideración en la auditoría por la naturaleza del riesgo, la magnitud de la posibilidad de potenciales errores y la posibilidad de que ocurra el riesgo. FIA ESSENTIALS / B / 5 Riesgo de control • El riesgo de que un error que pudiera estar presente en una afirmación y que podría ser significativo, individualmente o agregado a otros errores, no se prevenga o detecte y corrija oportunamente interno de la Compañía. FIA ESSENTIALS / B / 6 por el control ¿Que es el Riesgo? • La palabra, comúnmente estaba asociada con temor, miedo, peligro, pérdida. • La palabra riesgo, desde sus orígenes está mas bien asociada a atreverse a hacer algo. • La palabra riesgo, tiene su origen en el latín: “risicare”, que significa atreverse, y no siempre que Uds. se atreven el resultado es adverso. Enfoque del Riesgo en el tiempo Apetito al Riesgo Es así como la gerencia puede establecer la meta de un nivel aceptable del riesgo (apetito del riesgo); los que excedan este nivel deben ser reducidos utilizando controles más estrictos; los que se encuentran por debajo de dicho nivel, se deben evaluar para determinar si se ésta aplicando un control excesivo y si se pueden realizar ahorros en costos, eliminado estos controles excesivos. Conceptualizando… - Riesgo Residual Tolerancia al Riesgo Key Control - Gestión de Riesgo = Producción de Valor (conocimiento, no azar) Tolerancia al Riesgo Riesgo: Causa e Efecto ¿Control? La palabra control proviene del término francés “contrôle” y significa comprobación, inspección, fiscalización o intervención. Es la contrastación de la realidad contra un modelo previamente establecido. Manual Automático Mixto ¿Control? El control está en todas las actividades y acciones que realizamos Existe siempre alguien que ejerce control sobre nosotros y también existe siempre alguien a quien podemos controlar • El escándalo del Watergate, fue un escándalo político en los Estados Unidos ocurrido hace casi 40 años, durante el mandato de Richard Nixon, que culminó con la imputación de algunos consejeros muy cercanos al presidente, y con su propia dimisión el 8 de agosto de 1974. • El escándalo comenzó con el arresto de cinco hombres por el allanamiento de la sede del Partido Demócrata de los Estados Unidos, en el complejo de oficinas Watergate, en Washington, D.C. el 17 de junio de 1972, este robo fue sólo una de las múltiples actividades ilegales autorizadas y ejecutadas por el equipo de Nixon. • enorme alcance de los fraude en la campaña, El FBI, el comité Watergate, entre otros, revelaron el crímenes y abusos, que incluían espionaje político y sabotaje, intrusiones ilegales, auditorías de impuestos falsas, escuchas ilegales a gran escala, y un fondo secreto en México para pagar a quienes realizaban estas operaciones. Este fondo también se usó para comprar el silencio de los cinco hombres que fueron imputados por el robo. • • • • Informe COSO Committee Of Sponsoring Organizations of the Treadway Commission (Comité de Organizaciones Patrocinadoras de la Comisión Treadway) • • • • El Instituto Americano de Contadores Públicos Certificados (AICPA) La Asociación de Contabilidad de América (AAA) Ejecutivos Financieros Internacionales (FEI) Instituto de Auditores Internos (IIA) • Instituto de Gerencia Contable (IMA) Internal Control - Integrated Framework (Control Interno – Marco Integrado) • Desde entonces ésta metodología, sistema, se ha incorporado en las políticas, reglas y regulaciones, ha sido utilizada por muchas compañías privadas y organismos gubernamentales, para mejorar sus actividades de control hacia el logro de sus objetivos. Las normas de Control interno suman 34 y se encuentran agrupadas en cinco (5) componentes siguientes: 1.- Ambiente de Control 8 2.- Evaluación de Riesgos 3.- Actividades de Control Gerencial 4.-Información y Comunicación 4 10 9 5.- Supervisión 3 Total 34 RESUMEN DE ÁMBIENTE DE CONTROL RESUMEN: Este componente comprende básicamente, el compromiso que asume el titular de la Entidad para con el Control Interno, así como, la conducta de los funcionarios de la organización y también propiciar la generación de una cultura organizacional basada en valores éticos. RESUMEN DE LA EVALUACIÓN DE RIEGOS RESUMEN: Este componente está relacionado con la responsabilidad que tiene los funcionarios y trabajadores de la organización, para identificar y determinarlos riesgos internos y externos, que puedan afectar el cumplimiento de metas y objetivos. Luego de determinados los riesgos, cuales son las acciones adoptadas por la gestión de la organización, para administrar los riesgos, de tal forma que se minimicen los riesgos determinados. ACTIVIDADES DE CONTROL RESUMEN: Todas las organizaciones generan procedimientos para asegurar o contribuir al cumplimiento de metas y objetivos, contribuir a la fidelidad de la información, a la efectividad de las operaciones, a la salvaguarda de los activos y al cumplimiento de la normativa. Las actividades de Control están inmersas en las propias operaciones de las organizaciones, como cuando se controla la asistencia del personal, cuando se rinde cuenta de los viáticos recibidos. Lo cierto es que debe efectuarse una revisión periódica de dichas actividades, para evaluar su vigencia. SISTEMA DE INFORMAIÓN Y COMUNICACIÓN • RESUMEN: El Sistema de Información y Comunicación - SIC, está relacionado con las acciones que la Organización, adopte a efectos de asegurarse sobre la fortaleza del SIC, de tal forma que la carga de datos, haya sido debidamente validada para la obtención de información fiable. La organización se asegura comunicación, es efectiva y distorsiones importantes. de no que la muestra ACTIVIDADES DE SUPERVISIÓN RESUMEN: Es preciso indicar que este componente, además de su función de monitoreo y Supervisión, que es el que contenía el Informe Coso, también, recoge los nuevos componentes que se han insertado en el documento de Gestión de Riesgos Corporativos - ERM, es decir, las Actividades de Previsión y Monitoreo; el Seguimiento de Resultados; y los Compromisos de Mejoramiento. Marco de Madurez de Control Interno NO CONFIABLE (UNRELIABLE) Ambiente de control impredecible donde no existen actividades de control • • – – – • – – – INFORMAL Existen actividades de control adecuadas pero no están debidamente documentadas. ESTANDARIZADO MONITOREADO OPTIMIZADO Existen actividades de control adecuadas y se encuentran debidamente documentadas. Existen actividades de control adecuadas y documentadas y se realizan pruebas periódicas para probar su efectividad. • Existen actividades de control adecuadas documentadas y la administración realiza un monitoreo en tiempo real sobre las mismas Nivel 1 – No Confiable (Unreliable) Ambiente de control impredecible donde no existen actividades de control Nivel 2 – Informal Existen actividades de control adecuadas pero no están debidamente documentadas. No existe evidencia de la ejecución del control. No hay entrenamiento formal sobre las actividades de control y no son del conocimiento del personal. Nivel 3 – Estandarizado (Standardized) Existen actividades de control adecuadas y se encuentran debidamente documentadas. El personal tiene conocimiento de las actividades de control. Desviaciones a la actividad de control no son detectadas generalmente. • Nivel 4 – Monitoreado (Monitored) – Existen actividades de control adecuadas, documentadas y se realizan pruebas periódicas para probar su efectividad. – Automatización y herramientas pueden ser utilizadas de forma limitada como soporte de la actividad de control. • Nivel 5 – Optimizado (Optimized) – Existen actividades de control adecuadas y documentadas y la administración realiza un monitoreo en tiempo real sobre las mismas. – Automatización y herramientas que permitan a la organización hacer cambios o correcciones rápidas (de ser necesario) se requieren como soporte de la actividad de control. Enron Corporation • Enron Corporation fue una empresa de energía con sede en Houston, Texas que empleaba cerca de 21.000 personas hacia mediados de 2001 (antes de su quiebra). • Una serie de técnicas contables fraudulentas, apoyadas por su empresa auditora, el entonces prestigioso despacho Arthur Andersen, permitieron a esta empresa estar considerada como la séptima empresa de los Estados Unidos, y se esperaba que siguiera siendo empresa dominante en sus áreas de negocio. • En lugar de ello, se convirtió en ese entonces en el más grande fraude empresarial de la historia y en el arquetipo de fraude empresarial planificado. Grandes escándalos corporativos • Enron fue el primero de una serie de grandes escándalos corporativos que involucraron a empresas como: HealthSouth, WorldCom, Global Crossing, Parmalat y Adelphia Enterprise Risk Management - Integrated Framework (Gestión Integral de Riesgo – Marco Integrado) • Hacia fines de Septiembre de 2004, como respuesta a los escándalos mencionados, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo. • Este nuevo enfoque, no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. COMPONENTES DEL SISTEMA DE CONTROL INTERNO Y GESTION INTEGRAL DE RIESGOS – ENFOQUE COSO Categoría De Objetivos Ambiente de Aplicación 1. 2. 3. 4. 5. Ambiente de Control Evaluación de Riesgos Actividades de Control Información y comunicación Monitoreo 1. 2. 3. 4. 5. 6. 7. 8. Entorno Interno Definición de Objetivos Identificación de Eventos Evaluación de Riesgos Respuesta al Riesgo Actividades de Control Información y Comunicación Monitoreo Ambiente interno • • Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura. Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa Establecimientos de objetivos. • Es importante para que la empresa prevenga los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa. • La empresa debe tener una meta clara que se alineen y sustenten con su vision y mision, pero siempre teniendo en cuenta que cada decision con lleva un riesgo que debe ser previsto por la empresa Identificación de eventos • Se debe identificar los eventos que afectan los objetivos de la organización aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible. • La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades. Evaluación del Riesgo • La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. • La dirección evalúa estos acontecimientos desde una doble perspectiva -probabilidad e impacto- y normalmente usa una combinación de métodos cualitativos y cuantitativos. • Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual. PROCESOS CORE • Competencia distintiva, también llamada competencia básica, competencia esencial, o competencia clave o también "Giro del negocio" y conocida en inglés por Core Business o Core Competent, se refiere en gestión empresarial, a aquella actividad capaz de generar valor y que resulta necesaria para establecer una ventaja competitiva beneficiosa para la organización. Un riesgo y el número de riesgo en la matriz de evaluación del control interno. Corresponde a la identificación de un control que se encuentra funcionando adecuadamente y el número de control en la matriz de evaluación del control interno. Corresponde a la identificación de un control que se encuentra débil o no está funcionando adecuadamente y el número de control en la matriz de evaluación del control interno. Indica que no existe control implementado en la compañía. Evaluación de Riesgos Evaluación de Riesgos 5 5 4 3 IMPACTO IMPACTO 4 2 1 3 2 1 0 0 1 2 3 PROBABILIDAD 4 5 0 0 1 2 3 PROBABILIDAD 4 5 ACCION INMEDIATA Respuesta al riesgo • Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la empresa. • Las respuestas al riesgo pueden ser: Respuesta al Riesgo: Carro del Año • • • • Evitarlo Reducirlo Compartirlo Aceptarlo Actividades de control • Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. • Tipo de actividades de control: • Preventiva, detectivas, manuales, computarizadas o controles gerenciales Información y comunicación • La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. • La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos. • Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas. Monitoreo • Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. • El monitoreo se puede medir a través de: • Actividades de monitoreo continuo • Evaluaciones puntuales • Una combinación de ambas formas Gestión Integral de Riesgos La gestión del riesgo produce valor La gestión de riesgo permite a la alta dirección de una empresa tomar decisiones con conocimiento del riesgo y no basados en el azar de los eventos. El administrador del riesgo, es la propia gerencia y sus colaboradores. PROCESO DE CONTROL INTERNO EN EL MUNDO Y PERÚ Informe COSO 1992 INTOSAI (Budapest - Hungría) SET. 2004 INTOSAI NAGU MAGU 1992 1995 1998 Documentos de Gestión de Riesgos Corporativos ERM Escándalos Financieros: * Enron Corp. R.C. 259-2000-CG (Washington) LEY 29743 09 DE JULIO 2011 *World Comp. DIC.2000 2002 2003 Ley 28716 R.C. 320-2006-CG R.C. 458-2008-CG 18.ABR.2006 3.NOV.2006 30.OCT.2008 Decreto Urgencia 067-2009 23.JUN.2009 Otros modelos y regulaciones: COBIT La misión principal de COBIT es investigar, desarrollar, hacer público y promover un marco de control de gobierno TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. La necesidad de un marco de trabajo de control para el gobierno de TI define las razones de por qué se necesita el gobierno TI, los interesados y qué se necesita cumplir en el gobierno de TI. Otros modelos y regulaciones: BASILEA Basilea I se centraba en el análisis de riesgos de crédito y de mercado. Ahora con Basilea II se aumenta la regulación de fondos propios exigidos por la normativa y la exposición al riesgo. Se incluye la necesidad de tener en cuenta un nuevo riesgo: el riesgo operacional o sea el resultado de la pérdida derivada de fallos en los procesos internos, en la actuación de personas o de sistemas inadecuados o erróneos así como de factores externos. Basilea III, se trata, fundamentalmente, de que los bancos cuenten con más y mejor capital. Otros modelos y regulaciones: Ley SARBANES OXLEY - SOX La SOX nació como respuesta a una serie de escándalos corporativos que afectaron a empresas estadounidenses a finales del 2001, producto de quiebras, fraudes y otros manejos administrativos no apropiados, que mermaron la confianza de los inversionistas respecto de la información financiera emitida por las empresas. Así, en Julio de 2002, el gobierno de Estados Unidos aprobó la ley Sarbanes-Oxley, como mecanismo para endurecer los controles de las empresas y devolver la confianza perdida. El texto legal abarca temas como el buen gobierno corporativo, la responsabilidad de los administradores, la transparencia, y otras importantes limitaciones al trabajo de los auditores. Recursos útiles http://www.gloriamundi.org/ Colección de artículos especializados en modelos de Valor al Riesgo. http://www.defaultrisk.com/ Colección de artículos especializados en modelos de riesgo de crédito. http://www.riskmetrics.com/ http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExec Sum?ReadForm Reporte de implementación de la gestíon integral de riesgos COSO – ERM http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveS ummary_Spanish(Columbia).pdf Percepción de la realidad A B El Profesional y la investigación Valoramos tu gran esfuerzo y decisión capacitarte en beneficio de nuestro gremio. Reflexión • Como profesionales estamos comprometidos a actuar diligentemente en el desempeño de nuestras funciones, con Economía, Eficiencia, Eficacia y Valores éticos. • Tenemos que asumir el compromiso de esforzarnos permanentemente, para que nuestro servicio sea cada vez de mayor calidad y con valor agregado. • Nuestro País, nos ha formado como buenas personas y buenos profesionales, por lo tanto, estamos en deuda con el, por lo que estamos obligados a retribuirle, apoyando a los más débiles de nuestro entorno, que repercutirá en beneficio de nuestro querido país. • En nuestras manos está el prestigiar o desprestigiar a nuestra familia, profesión y a nuestro País. Cordialmente, CPCC. Víctor Taboada2 de Muchas gracias, CPCC. Víctor Taboada2