Date post: | 17-Mar-2018 |
Category: |
Documents |
Upload: | trinhtuyen |
View: | 235 times |
Download: | 3 times |
Paula Alvarez
Agosto 2011
Nuevo enfoque de la administración del riesgo y su impacto en la auditoría interna
Agenda
• Introducción
• Nuevo enfoque de administración de riesgos
• El rol de Auditoría Interna en la administración de riesgos
• Conclusión
¿Por qué las compañías están tan interesadas en la
gestión de Riesgos?
Las pérdidas medias combinadas por fraude en los últimos tres años por empresa encuestada ascendieron a 8.800 millones de dólares
Caída abrupta de las bolsas mundiales
38% han sufrido de robo de activos materiales o existencias
25% sufrieron robos, pérdidas o ataques de información
23% han sido objeto de conflictos de intereses en la dirección
21% han sufrido de mala gestión financiera
21% no han cumplido con las normas y/o cumplimiento
20% sufrieron de fraudes con proveedores
19% han sido parte de corrupción y soborno
18% sufrieron fraude interno
Derrame de petróleo BP
Terremotos, Tsunamis, Crisis nuclear en Japón
Escándalos financieros, Enron, Parmalat, WorldCom
Crisis financiera US, Europa
Nuevas regulaciones, locales y mundiales
La administración de Riesgos ha salido como #1 ranking de principales temas para directores en el 2011, fuente: estudio global de Deloitte.
¿Por qué las compañías están tan
interesadas en la gestión de Riesgos?
1. Pérdida de reputación y aumento de obligaciones
2. Desafíos para la regulación de negocios
3. Responsabilidad con terceros y conciencia profesional
4. Cambios en la industria/sector
5. Participación de accionistas e inversionistas
6. Incertidumbre del mercado
7. Posible extinción o fracaso de la empresa
8. Gravedad de pérdidas no anticipadas
9. Velocidad de impacto
10. Normas y regulaciones
11. Costo por el cumplimiento / no cumplimiento
Nuevo enfoque: cultura y
gestión inteligente frente al
riesgo
Risk Intelligent Enterprise
Gobierno de Riesgo
Infraestructura y
Management del
Riesgo
Ownership de
Riesgos
Directorio
Gerencia
Unidades de
Negocio y
Funciones de
Soporte
Identificar
Riesgos
Analizar y
Evaluar
Riesgos
Integrar
Riesgos
Responder
a los
Riesgos
Diseñar,
Implementar
y testear
controles
Monitorear,
Asegurar y
Escalar
Clases de Riesgos
GobiernoEstrategia y
Planeamiento
Operaciones/
Infraestructura Compliance Reporting
Procesos de Riesgos
Infraestructura Común de
Riesgos
Personas Procesos Tecnología
Oversight
Foco puesto
en el más
alto nivel
Definición común de Riesgos
Framework común de Riesgos
Roles y Responsabilidades
Responsabilidad de los Órganos de
Gobierno
Infraestructura común de Riesgos
Responsabilidad de la Gerencia
Objetivos de Aseguramiento y Monitoreo
Responsabilidad de las Unidades de
Negocio
Soporte de las funciones de soporte
Nueve principios de la gestión inteligente
frente al riesgo
Gestión Inteligente de riesgos en la empresa
Cuenta con prácticas de administración de riesgos inmersas en la
cultura corporativa.
Enfoque Proactivo.
Procesos sostenibles. Capacidad sistemática para identificar, medir y
responder a los riesgos de manera efectiva y eficiente.
Dueños de los procesos conocen su responsabilidad por identificar y
gestionar sus riesgos.
Comprende y gestiona el espectro completo de los riesgos.
Establece una clara vinculación del riesgo con la generación de valor.
De acuerdo con el enfoque aplicado y el tipo de Entidad podemos encontrar diferentes niveles de
madurez del Risk Intelligent Enterprise:
InicialSilos
Top - Down
Sistemático
Inteligencia de Riesgos
• El Riesgo se
gestiona mediante
capacidades
individuales o
heroicas.
Riesgo recompensado
• Riesgos definidos de
diferente manera a
diferentes niveles en
diferentes partes de la
organización.
• Enfoque limitado de
los vínculos entre los
riesgos.
• Funciones de reporte
y monitoreo dispares.
• Identificación del
universo de riesgos.
• Enfoque de respuesta
al riesgo elaborado y
aprobado.
• Evaluación de riesgos
en toda la
organización
• Planes de acción
implementados en
respuesta a los
riesgos de alta
prioridad.
• Comunicación de los
riesgos estratégicos al
equipo directivo.
• Actividades de gestión
de riesgo coordinadas
entre las área de
negocio.
• Herramientas de
análisis de riesgos
desarrolladas y
comunicadas.
• Monitoreo, medición y
reporte de riesgos.
• Planeamiento de
escenarios.
• Riesgos de
oportunidad
explotados.
• Procesos de
evaluación de riesgos
en marcha.
• Discusión de riesgos
sobre la base del
planeamiento
estratégico, ubicación
del capital, desarrollo
de productos, etc.
• Sistema de alarma
temprana para
notificar al directorio y
a la gerencia de
riesgos por encima
del umbral
establecido.
• Vinculación con las
medidas de
desempeño e
incentivos.
• Modelado de riesgos.
Riesgo no recompensado
Modelo de Madurez
Roles y Responsabilidades
Presidencia y DirectorioDeben rendir cuentas (accountability) con respecto a la gestión de
riesgos.
CRO & Comité de Riesgos“Monitoreo de la gestión empresarial del riesgo inteligente”
Establecimiento de políticas, niveles de tolerancia-apetito al riesgo y principios de gobierno.
Áreas de negocio / Gerencias
“Gestión de riesgos”• Identificación de riesgos• Autoevaluación de Riesgos
Estrategias y acciones para mitigar los riesgos
• Asegurar el cumplimiento políticas y procedimientos para la gestión de riesgos
• Proveer aseveraciones ante un posible riesgo.
Organización de Administración de Riesgos
“ Soporte de CRO, Comité de Riesgos, áreas de negocio y
directorio”• Implementación de políticas,
principios de gobierno y niveles de tolerancia
• Metodología de evaluación de riesgos
• Medición, control y reporte• Monitoreo del estatus de
exposición al riesgo y reporte al directorio.
Auditoria Interna“Seguridad independiente”
• Verificación periódica de controles y cumplimiento.
• Revisión objetiva del proceso de gestión riesgos
• Aseguramiento Independiente para la Gerencia y Directorio con respecto a la exposiciones de riesgo.
Rol de la gerencia
Se responsabiliza por:
1. Evaluar el riesgo inherente.
2. Evaluar la efectividad de la mitigación de riesgos y los controles.
3. Determinar el riesgo residual.
4. Determinar si tal exposición está dentro de los límites que la compañía desea
asumir.
5. Dar seguridad razonable al Directorio en cuanto a que los controles son al
mismo tiempo efectivos y eficientes para manejar la exposición.
Auditoría Interna se encarga de garantizar la confianza en los informes de la
administración y/o asesorar sobre riesgos y los controles
Mejorar la
mitigación de
riesgos
M
Desarrollo de planes de acción
Redistribución de
recursos
R
Medir el impacto
acumulado
IA
Seguridad
S
Vulnerabilidad
RIESGO RESIDUAL AB
AIm
pacto
de r
iesg
o e
n v
alo
r
RIE
SG
O IN
HE
RE
NT
E
Prevenir
Detectar
Corregir
Escalar
El rol de Auditoria Interna
en la administración de
riesgos
Rol de Auditoría Interna en ERM según Instituto de
Auditores Internos
Roles principales de auditoríainterna en lo que respecta a ERM
Roles legítimos de auditoría interna con salvaguardas
Roles que auditoría interna no debería realizar
Fuente: position paper IIA
¿Cuál es el Rol del Director de Auditoria Interna?
Conocer los objetivos de valor y crecimiento de sus compañías.
Ayudar a evaluar la eficiencia y efectividad con que las actividades y
funciones del negocio comparten y administran la información de riesgos.
Ayudar a mejorar la capacidad de la empresa para prevenir, detectar y
corregir los problemas críticos de riesgos.
Centrar y dirigir las actividades de auditoría interna y otras funciones que
participan en la administración de riesgos para tener un enfoque integral
¿Cuál es el Rol del Director de Auditoria Interna?
Identificación y evaluación de riesgos relevantes en toda la empresa, para
asesorar a la administración en dar respuestas apropiadas a los riesgos.
Informar al Directorio sobre los riesgos consolidados y las respuestas de la
administración.
Catalizador y facilitador, para que desarrollen un lenguaje de riesgos
común.
Orientar y garantizar que el riesgo se está manejando debida y
eficientemente dentro de los límites establecidos.
El plan de auditoría interna debe ser un plan basado en riesgos.
Límites del Rol del Director de Auditoria Interna
No debe fijar el tipo y el límite de los riesgos que una empresa desee
asumir; esto deben decidirlo la alta dirección y el Directorio.
No debe imponer los procesos de administración de riesgos.
No debe asumir el rol de la Alta Gerencia de dar “Seguridad” en cuanto a los
riesgos.
No puede tomar decisiones en cuanto a las respuestas a los riesgos, aunque
sí ofrecer recomendaciones.
No debe asumir la responsabilidad por la administración de riesgos.
Realidad hoy en el Peru – Supervisión de riesgos
Fuente: Deloitte Perú, Agosto - 2011– Encuesta auditoría interna – mas de 60 compañías en el Peru
Conclusión
La administración de riesgos hoy es un concepto mucho más amplio
de lo que era años atrás.
Involucra a toda la compañía.
Incluye un cambio cultural hacia una gestión riesgo inteligente.
Esta cercanamente relacionada a la función de auditoría interna en
su rol de aseguramiento y como facilitador en ciertas áreas.
© 2010 Deloitte Touche Tohmatsu
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más
integrantes de su red de firmas miembros, cada una de las cuales constituye una entidad
separada e independiente desde el punto de vista legal. Una descripción detallada de la
estructura legal de Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio
web www.deloitte.com/pe