Paula Alvarez

Agosto 2011

Nuevo enfoque de la administración del riesgo y su impacto en la auditoría interna

Agenda

• Introducción

• Nuevo enfoque de administración de riesgos

• El rol de Auditoría Interna en la administración de riesgos

• Conclusión

¿Por qué las compañías están tan interesadas en la

gestión de Riesgos?

Las pérdidas medias combinadas por fraude en los últimos tres años por empresa encuestada ascendieron a 8.800 millones de dólares

Caída abrupta de las bolsas mundiales

38% han sufrido de robo de activos materiales o existencias

25% sufrieron robos, pérdidas o ataques de información

23% han sido objeto de conflictos de intereses en la dirección

21% han sufrido de mala gestión financiera

21% no han cumplido con las normas y/o cumplimiento

20% sufrieron de fraudes con proveedores

19% han sido parte de corrupción y soborno

18% sufrieron fraude interno

Derrame de petróleo BP

Terremotos, Tsunamis, Crisis nuclear en Japón

Escándalos financieros, Enron, Parmalat, WorldCom

Crisis financiera US, Europa

Nuevas regulaciones, locales y mundiales

La administración de Riesgos ha salido como #1 ranking de principales temas para directores en el 2011, fuente: estudio global de Deloitte.

¿Por qué las compañías están tan

interesadas en la gestión de Riesgos?

1. Pérdida de reputación y aumento de obligaciones

2. Desafíos para la regulación de negocios

3. Responsabilidad con terceros y conciencia profesional

4. Cambios en la industria/sector

5. Participación de accionistas e inversionistas

6. Incertidumbre del mercado

7. Posible extinción o fracaso de la empresa

8. Gravedad de pérdidas no anticipadas

9. Velocidad de impacto

10. Normas y regulaciones

11. Costo por el cumplimiento / no cumplimiento

Nuevo enfoque: cultura y

gestión inteligente frente al

riesgo

Risk Intelligent Enterprise

Gobierno de Riesgo

Infraestructura y

Management del

Riesgo

Ownership de

Riesgos

Directorio

Gerencia

Unidades de

Negocio y

Funciones de

Soporte

Identificar

Riesgos

Analizar y

Evaluar

Riesgos

Integrar

Riesgos

Responder

a los

Riesgos

Diseñar,

Implementar

y testear

controles

Monitorear,

Asegurar y

Escalar

Clases de Riesgos

GobiernoEstrategia y

Planeamiento

Operaciones/

Infraestructura Compliance Reporting

Procesos de Riesgos

Infraestructura Común de

Riesgos

Personas Procesos Tecnología

Oversight

Foco puesto

en el más

alto nivel

Definición común de Riesgos

Framework común de Riesgos

Roles y Responsabilidades

Responsabilidad de los Órganos de

Gobierno

Infraestructura común de Riesgos

Responsabilidad de la Gerencia

Objetivos de Aseguramiento y Monitoreo

Responsabilidad de las Unidades de

Negocio

Soporte de las funciones de soporte

Nueve principios de la gestión inteligente

frente al riesgo

Gestión Inteligente de riesgos en la empresa

Cuenta con prácticas de administración de riesgos inmersas en la

cultura corporativa.

Enfoque Proactivo.

Procesos sostenibles. Capacidad sistemática para identificar, medir y

responder a los riesgos de manera efectiva y eficiente.

Dueños de los procesos conocen su responsabilidad por identificar y

gestionar sus riesgos.

Comprende y gestiona el espectro completo de los riesgos.

Establece una clara vinculación del riesgo con la generación de valor.

De acuerdo con el enfoque aplicado y el tipo de Entidad podemos encontrar diferentes niveles de

madurez del Risk Intelligent Enterprise:

InicialSilos

Top - Down

Sistemático

Inteligencia de Riesgos

• El Riesgo se

gestiona mediante

capacidades

individuales o

heroicas.

Riesgo recompensado

• Riesgos definidos de

diferente manera a

diferentes niveles en

diferentes partes de la

organización.

• Enfoque limitado de

los vínculos entre los

riesgos.

• Funciones de reporte

y monitoreo dispares.

• Identificación del

universo de riesgos.

• Enfoque de respuesta

al riesgo elaborado y

aprobado.

• Evaluación de riesgos

en toda la

organización

• Planes de acción

implementados en

respuesta a los

riesgos de alta

prioridad.

• Comunicación de los

riesgos estratégicos al

equipo directivo.

• Actividades de gestión

de riesgo coordinadas

entre las área de

negocio.

• Herramientas de

análisis de riesgos

desarrolladas y

comunicadas.

• Monitoreo, medición y

reporte de riesgos.

• Planeamiento de

escenarios.

• Riesgos de

oportunidad

explotados.

• Procesos de

evaluación de riesgos

en marcha.

• Discusión de riesgos

sobre la base del

planeamiento

estratégico, ubicación

del capital, desarrollo

de productos, etc.

• Sistema de alarma

temprana para

notificar al directorio y

a la gerencia de

riesgos por encima

del umbral

establecido.

• Vinculación con las

medidas de

desempeño e

incentivos.

• Modelado de riesgos.

Riesgo no recompensado

Modelo de Madurez

Roles y Responsabilidades

Presidencia y DirectorioDeben rendir cuentas (accountability) con respecto a la gestión de

riesgos.

CRO & Comité de Riesgos“Monitoreo de la gestión empresarial del riesgo inteligente”

Establecimiento de políticas, niveles de tolerancia-apetito al riesgo y principios de gobierno.

Áreas de negocio / Gerencias

“Gestión de riesgos”• Identificación de riesgos• Autoevaluación de Riesgos

Estrategias y acciones para mitigar los riesgos

• Asegurar el cumplimiento políticas y procedimientos para la gestión de riesgos

• Proveer aseveraciones ante un posible riesgo.

Organización de Administración de Riesgos

“ Soporte de CRO, Comité de Riesgos, áreas de negocio y

directorio”• Implementación de políticas,

principios de gobierno y niveles de tolerancia

• Metodología de evaluación de riesgos

• Medición, control y reporte• Monitoreo del estatus de

exposición al riesgo y reporte al directorio.

Auditoria Interna“Seguridad independiente”

• Verificación periódica de controles y cumplimiento.

• Revisión objetiva del proceso de gestión riesgos

• Aseguramiento Independiente para la Gerencia y Directorio con respecto a la exposiciones de riesgo.

Rol de la gerencia

Se responsabiliza por:

1. Evaluar el riesgo inherente.

2. Evaluar la efectividad de la mitigación de riesgos y los controles.

3. Determinar el riesgo residual.

4. Determinar si tal exposición está dentro de los límites que la compañía desea

asumir.

5. Dar seguridad razonable al Directorio en cuanto a que los controles son al

mismo tiempo efectivos y eficientes para manejar la exposición.

Auditoría Interna se encarga de garantizar la confianza en los informes de la

administración y/o asesorar sobre riesgos y los controles

Mejorar la

mitigación de

riesgos

M

Desarrollo de planes de acción

Redistribución de

recursos

R

Medir el impacto

acumulado

IA

Seguridad

S

Vulnerabilidad

RIESGO RESIDUAL AB

AIm

pacto

de r

iesg

o e

n v

alo

r

RIE

SG

O IN

HE

RE

NT

E

Prevenir

Detectar

Corregir

Escalar

El rol de Auditoria Interna

en la administración de

riesgos

Rol de Auditoría Interna en ERM según Instituto de

Auditores Internos

Roles principales de auditoríainterna en lo que respecta a ERM

Roles legítimos de auditoría interna con salvaguardas

Roles que auditoría interna no debería realizar

Fuente: position paper IIA

¿Cuál es el Rol del Director de Auditoria Interna?

Conocer los objetivos de valor y crecimiento de sus compañías.

Ayudar a evaluar la eficiencia y efectividad con que las actividades y

funciones del negocio comparten y administran la información de riesgos.

Ayudar a mejorar la capacidad de la empresa para prevenir, detectar y

corregir los problemas críticos de riesgos.

Centrar y dirigir las actividades de auditoría interna y otras funciones que

participan en la administración de riesgos para tener un enfoque integral

¿Cuál es el Rol del Director de Auditoria Interna?

Identificación y evaluación de riesgos relevantes en toda la empresa, para

asesorar a la administración en dar respuestas apropiadas a los riesgos.

Informar al Directorio sobre los riesgos consolidados y las respuestas de la

administración.

Catalizador y facilitador, para que desarrollen un lenguaje de riesgos

común.

Orientar y garantizar que el riesgo se está manejando debida y

eficientemente dentro de los límites establecidos.

El plan de auditoría interna debe ser un plan basado en riesgos.

Límites del Rol del Director de Auditoria Interna

No debe fijar el tipo y el límite de los riesgos que una empresa desee

asumir; esto deben decidirlo la alta dirección y el Directorio.

No debe imponer los procesos de administración de riesgos.

No debe asumir el rol de la Alta Gerencia de dar “Seguridad” en cuanto a los

riesgos.

No puede tomar decisiones en cuanto a las respuestas a los riesgos, aunque

sí ofrecer recomendaciones.

No debe asumir la responsabilidad por la administración de riesgos.

Realidad hoy en el Peru – Supervisión de riesgos

Fuente: Deloitte Perú, Agosto - 2011– Encuesta auditoría interna – mas de 60 compañías en el Peru

Conclusión

La administración de riesgos hoy es un concepto mucho más amplio

de lo que era años atrás.

Involucra a toda la compañía.

Incluye un cambio cultural hacia una gestión riesgo inteligente.

Esta cercanamente relacionada a la función de auditoría interna en

su rol de aseguramiento y como facilitador en ciertas áreas.

© 2010 Deloitte Touche Tohmatsu

Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más

integrantes de su red de firmas miembros, cada una de las cuales constituye una entidad

separada e independiente desde el punto de vista legal. Una descripción detallada de la

estructura legal de Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio

web www.deloitte.com/pe