Académique Documents
Professionnel Documents
Culture Documents
Mejores Prácticas
Agosto 2006
Firma miembro de
*connectedthinking
*connectedthinking
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
Lo nuevo de COSO
¿Por qué surge COSO II-ERM?
2
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
1. Es un proceso…
2. realizado por la junta directiva, la
gerencia y demás personal de la
entidad,…
3. basado en el establecimiento de
estrategias para toda la empresa, …
4. diseñadas para identificar eventos
potenciales que puedan afectar a la
entidad, y gerenciar los riesgos dentro
del apetito de riesgo…
5. para proporcionar una seguridad
razonable referente al logro de los
objetivos del negocio
Fuente: Enterprise Risk Management — Integrated Framework Septiembre, 2004
Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers 3
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
COSO II - ERM: Marco de Gestión Integral
de Riesgo (Enterprise Risk Management)
Actividad 2
Monitoreo
Actividad 1
Información y Comunicación
Unidad B
Unidad A
Actividades de Control
Evaluación de Riesgos
Ambiente de Control
Componente Ampliado
Componente Ampliado
Componente Ampliado
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
Componente Ampliado
Considera las
actividades de todos los
niveles de la
organización 5
Componentes de COSO-ERM
Ambiente de Control
6
Componente COSO-ERM: Ambiente de Control
Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.
Es la base del resto de los componentes y provee disciplina y estructura.
Este componente establece:
• Una filosofía de gestión integral de
riesgo
• Nivel de riesgo que la alta gerencia
asume (Apetito de riesgo)
• Rol supervisorio de la junta directiva en
la gestión integral de riesgo
• La integridad y los valores éticos
• Una estructura de gestión integral de
riesgos: Sistemas de delegación de
autoridad, roles y responsabilidades y
líneas de reporte
• Estándares de recursos humanos:
habilidad y competencia de los
empleados
7
Componente COSO-ERM: Ambiente de Control
Filosofía de Gestión de Riesgo - Ejemplo
“ERM debe proveer a nuestra
organización de capacidades
superiores para identificar, evaluar, y
Enseñar gestionar en amplio espectro los
con riesgos en todos los niveles de
cargo a fin de mejorar el
palabras y entendimiento y manejo de los
acciones riesgos. Para ello debe proveer:
• Aceptación responsable del riesgo
9
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos
10
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos
Estructura del Código de Conducta Ej
e m
Secciones del Código pl
o
- Visión, misión y objetivos
- Manifiesto de la Presidencia Ejecutiva exhortando al
cumplimiento del Código
- Declaración de los valores éticos de la organización
- Las responsabilidades individuales y
organizacionales
- Lineamientos éticos y medidas disciplinarias
- Guía o canales para resolver las cuestiones éticas
- Glosario de términos
11
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos Ej
e m
Canales de denuncia pl
Opción 1 Opción 2 Opción 3 o
Identificación del denunciante Anonimato Parcial Anonimato Total
Identificación de la Se conoce al denunciante Conservación del
identidad de la persona pero no se divulga su anonimato absoluto de la
que denuncie identidad identidad de la persona
irregularidades que denuncie
irregularidades
Canales abiertos de Esta es una de las Cuenta con canales de
comunicación opciones más utilizada. comunicación
Cuenta con canales de confidenciales para
comunicación bajo el conservar el anonimato
control de unidades de
gestión de ética y
conducta
Fax, buzón de voz, números telefónicos directos y correo electrónico
12
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad
13
Componente COSO-ERM: Ambiente de Control
Ej
Estructura organizacional
em
pl
Existen diferentes alternativas de estructura organizacional, donde los
o
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
• Opción A: Lidera la gestión de riesgo: existe una unidad de gestión de
Junta Directiva
Gerencia
Integral de
riesgo
Unidades de Auditoría
Negocio Interna
Aseguramiento
Seguridad de
Fraude Seguro PCN
Información
14
Componente COSO-ERM: Ambiente de Control
Ej
Estructura organizacional
em
pl
Existen diferentes alternativas de estructura organizacional, donde los
o
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
• Opción B: Lidera la gestión
Junta de riesgo y aseguramiento: existe una
Directiva
riesgo CEO
Gerencia
Unidades de
Integral de
Negocio Auditoría
riesgo
Interna
Aseguramiento
Seguridad de
Fraude Seguro PCN
Información
15
Componente COSO-ERM: Ambiente de Control
Ej
Estructura organizacional
em
pl
Existen diferentes alternativas de estructura organizacional, donde los
o
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
• Opción C: Las funciones de la gerencia de riesgo son lideradas por
Junta Directiva
Unidades de Negocio
Auditoría Interna y
Gerencia de Riesgo
Aseguramiento
Seguridad de
Fraude Seguro PCN
Información
16
Componente COSO-ERM: Ambiente de Control
Ej
Estructura organizacional
em
pl
Existen diferentes alternativas de estructura organizacional, donde los
o
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
• Opción D: Estructura descentralizada,
Junta Directiva
donde no existe una unidad
específica de riesgo sino que cada unidad deComité
negocio es responsable
de Auditoría
de la gestión de riesgo CEO
Unidades de Auditoría
Negocio Internal
Aseguramiento
Seguridad de
Fraude Seguro PCN
Información
17
Componente COSO-ERM: Ambiente de Control
Asignación de autoridad y responsabilidades Ej
e m
ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO pl
Junta Directiva
o
• Velar y supervisar la adecuada administración y control de los riesgos
• Tomar decisiones
Gerencia de Riesgo sobre las pérdidas financieras por reducción del patrimonio que la
organización
• Garantizar pueda sufrir
el cumplimiento dela plan
causa de la materialización
estratégico deriesgo
de gestión de los riesgos
integral de la Institución
• Aprobar los planes de acción resultantes de la identificación, evaluación y medición de los
Presidencia
riesgos y las acciones mitigantes
• Delegarlos
• Establecer la responsabilidad, en el Comité
mecanismos adecuados degestión
para la Riesgo,del
deriesgo
entender todosasociados
integral los riesgos
al de la
mayor
usoorganización
de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo
• Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales
Coordinadores
estén establecidosde Riesgo por Unidad
para administrar todos losde Negocio
riesgos
• Administrar los riesgos
• Participar activamente en las auto-evaluaciones del riesgo integral en su área.
Comité
• Realizar de Riesgo
seguimiento de los indicadores de riesgo.
• Seguir y reportar las pérdidasdepor
• Designar al responsable la materialización
Unidad de Administración Integral de Riesgo.
de los riesgos
• Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de
Administración Integral de Riesgo con respecto a la gestión de riesgos
Auditoría Interna
• Aprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo
• Supervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integral
para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por
• Revisar el marco general de la gestión del riesgo integral
la organización
18
Componente COSO-ERM: Ambiente de Control
Normas de recursos humanos, habilidades y competencias
• Establecen las normas de orientación, adiestramiento,
evaluación, promoción, compensación, y acciones de
remediación, manejo esperado de niveles de integridad,
comportamiento ético y competencia
• Envían mensajes de acciones disciplinarias ante violaciones
de comportamiento esperado que no pueden ser toleradas
• La capacidad del personal de la organización refleja el
conocimiento y las habilidades necesitados para realizar las
tareas asignadas
• Permite a la gerencia alinear los costos-beneficios
19
Componentes de COSO-ERM
Establecimiento de Objetivos
20
Componente COSO-ERM: Establecimiento de Objetivos
Dentro del marco de la definición de la misión y visión, la gerencia
establece las estrategias y objetivos
• La gestión integral de riesgo se
asegura que la gerencia cuente con
un proceso para definir objetivos
que estén alineados con la misión y
visión, con el apetito de riesgo y
niveles de tolerancia
• Estratégicos
• Operacionales
• Reporte o presentación de
resultados
• Cumplimiento
21
Componente COSO-ERM: Establecimiento de Objetivos
Apetito de Riesgo
Es el máximo nivel de riesgo que los accionistas están
dispuestos a aceptar
• Es una guía en el
establecimiento de la
Alto
Excediendo
el Apetito de estrategia
Riesgo
• La gerencia lo expresa como
Impacto
Medio
un balance entre:
Dentro del crecimiento, riesgo y retorno.
Apetito de
Riesgo • Dirige la asignación de
Bajo
recursos
Bajo Medio Alto
Probabilidad • Alinea la organización,
personal, procesos e
infraestructura
Componente COSO-ERM: Establecimiento de Objetivos
Tolerancia al Riesgo
23
Componente COSO-ERM: Establecimiento de Objetivos
Tolerancia al Riesgo
Ej
e m
Estrategia de negocio pl
o
Límite de Desempeño
tolerancia Real
20% TDC en relación
22%
con la cartera total
Límite de
tolerancia
18%
Tiempo
24
Componentes de COSO-ERM
Identificación de Eventos
25
Componente COSO-ERM: Identificación de Eventos
Se identifican eventos potenciales que si ocurren pueden afectar a la entidad.
Base para los componentes: evaluación de riesgos y respuesta al riesgo
26
Componente COSO-ERM: Identificación de Eventos
Impacto positivo – impacto negativo
Ej
e m
pl
o
Evento: Devaluación cambiaria
27
Componente COSO-ERM: Identificación de Eventos
Eventos
• La gerencia identifica los eventos potenciales que afectan la puesta en
práctica de la estrategia o el logro de los objetivos, pudiendo tener
impactos positivos o negativos
Factores Influyentes
28
Componente COSO-ERM: Identificación de Eventos
Ej
e
Factores Externos m
pl
o
Económicos Ambiente Natural Políticos
• Disponibilidad de capital • Cambios gubernamentales
• Contaminación
• Incumplimiento de créditos • Legislación
• Energía
• Seguros • Regulaciones
• Desastres naturales
• Incumplimiento
• Concentración
• Liquidez
Tendencias tecnológicas
• Financiamiento
• E-business, E-commerce
• Flujo de caja
• Tecnologías emergentes
• Mercado
• Interrupciones
• Precios
• Desempleo
• Huelgas
29
Componente COSO-ERM: Identificación de Eventos
Ej
Factores Internos
em
pl
o
Tecnología Personal Proceso
• Datos • Diseño
• Competencia del personal
• Mantenimiento
• Salud e higiene • Ejecución
• Distribución
• Ética e integridad • Proveedor /
• Confidencialidad
dependencias
• Integridad
• Disponibilidad
• Capacidad
Infraestructura
• Sistemas
• Disponibilidad de activos
• Selección
• Capacidad de activos
• Desarrollo
• Acceso a capital
• Implantación
• Desempeño y
rendimiento
• Disponibilidad
30
Componente COSO-ERM: Identificación de Eventos
Ej
e m
pl
Nuevos competidores o
Económicos A
ele um
Lluvias Au cc en
Medio Ambiente cli ión ta
Control de de me en d
m nt te el
comisiones Ba an a
Políticos ma ja da
rg Objetivo
en
mantener
margen 10%
Personal
Expira contrato
colectivo
Procesos
Lentitud respuesta
Infraestructura
Nuevos canales
31
Componentes de COSO-ERM
Evaluación de Riesgo
32
Componente COSO-ERM: Evaluación de Riesgo
Permite que una entidad entienda el grado en el cual los eventos potenciales
pudieran afectar los objetivos del negocio
33
Componente COSO-ERM: Evaluación de Riesgo
Riesgo Inherente
Riesgo Residual
Es el riesgo que resulta después que la gerencia ha implantado
efectivamente acciones para mitigar el riesgo inherente
34
Componente COSO-ERM: Evaluación de Riesgo
Estimar probabilidad e impacto
• Los acontecimientos potenciales se evalúan a partir de dos
perspectivas: probabilidad e impacto
35
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
• Técnicas Cualitativas
- Impacto Vs. Probabilidad
• Técnicas Semi-cuantitativa
- Se usa un análisis cualitativo asignando
valores monetarios al riesgo
• Técnicas Cuantitativas
- Técnicas Probabilísticas
• Valor en Riesgo VaR
• Riesgo de Flujo de Caja
• Distribuciones de pérdidas
• Back-testing
- Técnicas no probabilísticas
• Análisis de sensibilidad
• Análisis de escenarios
• Benchmarking
36
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación: Cualitativas
• Autoevaluación: Es el proceso en el cual las unidades funcionales de
la organización, de forma subjetiva, identifican los riesgos inherentes
a sus actividades, evalúan el nivel de control existente y determinan
los puntos de mejora que se deben realizar
37
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación Ej
e m
pl
Riesgos Probabilidad Impacto
o
1 Multas por violaciones a las normas
2 Deterioro de imagen
5 Morosidad de la cartera
6 Falla en la integridad de la información
7
Alta concentración (colocaciones en pocos
clientes)
8 Bajo retorno de la inversión
38
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
Ej
Distribución de riesgos de forma representativa, de acuerdo e m
con el nivel de exposición pl
Devaluación de la Falla en la integridad
o
moneda mayor al de la información
15%
Multas violaciones
Impacto Patrimonial
ambientales y
sanitarias
Deterioro de imagen
Morosidad de la
Huelgas que afectan
cartera
las respuestas a
clientes
Probabilidad de ocurrencia
39
Componentes de COSO-ERM
Respuesta al riesgo
40
Componente COSO-ERM: Respuesta al riesgo
Evaluar posibles respuestas
Las respuestas deben ser evaluadas en función de alcanzar el riesgo
residual alineado con los niveles de tolerancia al riesgo y pueden estar
enmarcadas en las siguientes categorías:
Mitigar el Riesgo
Compartir el Riesgo
41
Componente COSO-ERM: Respuesta al riesgo
Evaluar posibles respuestas Ej
em
Compartir el Riesgo pl
Evitar el Riesgo • Compra de seguros contra pérdidas o
• Reducir la expansión de una línea
inesperadas significativas
de productos a nuevos mercados
• Contratación de outsourcing para
• Vender una división, unidad de
procesos del negocio
negocio o segmento geográfico
• Compartir el riesgo con acuerdos
altamente riesgoso
• Dejar de producir un producto o
sindicales o contractuales con
clientes, proveedores u otros socios
servicio altamente riesgoso
de negocio
42
Componente COSO-ERM: Respuesta al riesgo
Evaluar los costos versus beneficios de las respuestas
• Los costos de diseñar e implantar una respuesta deben ser
considerados, así como los costos de mantenerla
• Los costos y los beneficios de la implantación de las respuestas al
riesgo pueden ser medidos cualitativa o cuantitativamente, típicamente
la unidad de medición es consistente con la utilizada en el
establecimiento de los objetivos y tolerancia al riesgo
• La gerencia debe considerar los riesgos adicionales que pueden resultar
de una respuesta, así como también las posibles oportunidades
43
Componentes de COSO-ERM
Actividades de Control
44
Componente COSO-ERM: Actividades de Control
Políticas y procedimientos que ayudan a la gerencia a asegurar que las
respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna
45
Componente COSO-ERM: Actividades de Control
Políticas y procedimientos
• Las actividades de control usualmente involucran el establecimiento
de una política (lo que debe ser hecho) y los procedimientos para
ejecutar la política
46
Componente COSO-ERM: Actividades de Control
Integración con las respuestas al riesgo
La selección de las actividades de control incluye:
• Considerar su relevancia y lo adecuado para responder ante el riesgo
• Cómo se interrelacionan con otras actividades de control y con los
objetivos de la entidad Ej
em
Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo p
producto
l o
Riesgo: Carencia de suficiente conocimiento de factores externos,
tales como necesidades potenciales de los clientes
Respuesta: Reducir el riesgo mediante el análisis del
comportamiento histórico de los clientes y realizar investigaciones
de mercado
Actividad de control: Monitorear el comportamiento de los clientes
mediante reportes mensuales y la validación de la data existente
47
Componente COSO-ERM: Actividades de Control
Tipo de Actividades de Control
Diferentes tipos de controles:
48
Componentes de COSO-ERM
Información y comunicación
49
Componente COSO-ERM: Información y comunicación
La información relevante, debe ser identificada, capturada, procesada y
comunicada en la oportunidad y forma adecuada
• Los sistemas de información
deben apoyar la toma de
decisiones y la gestión de
riesgo (ERM)
• La gerencia debe enviar un
mensaje al personal resaltando
su responsabilidad ante el
ERM
• El personal debe entender su
rol en el ERM así como su
contribución individual en
relación con el trabajo de otros
50
Componente COSO-ERM: Información y comunicación
Información
• Estrategia y sistemas integrados
• Integración con las operaciones
• Profundidad y puntualidad de la información
• Calidad de la información Ej
• Se puede obtener de fuentes internas y externas
e m
pl
Revisión de información histórica vs. actual o
Uso de Sistemas Integrados SAP, Peoplesoft, JD Edwards.
Disponibilidad de consultas vía Intranet o Internet
51
Componente COSO-ERM: Información y comunicación
Comunicación
• La comunicación interna debe proveer al personal y a la organización
en relación al ERM:
- Un lenguaje común de riesgo
- La importancia y relevancia del ERM
- Los objetivos de la organización
- El apetito de riesgo y la tolerancia al riesgo de la organización
- Los roles y responsabilidades del personal y sus funciones de apoyo a la
gestión de riesgos
- Los comportamientos aceptables y no aceptables son claramente
transmitidos al personal
- Existencia de canales de comunicación internos y externos
52
Componente COSO-ERM: Información y comunicación
Comunicación
• Creación de Comités de atención de reclamos o de calidad
• Convenciones internas de ventas y conferencias de resultados del
negocio
• Líneas internas de denuncias anónimas y políticas de
“whistleblower”
• Carteleras, publicaciones, e-mails informativos
• Independencia de funciones
• Lineamientos de interacción con la alta gerencia y junta directiva
• Interacción y definición de canales para compartir información Edel
je
Back y Front-Office m
pl
o
53
Componentes de COSO-ERM
Monitoreo
54
Componente COSO-ERM: Monitoreo
- Actividades de
supervisión continua
- Evaluaciones separadas
55
Componente COSO-ERM: Monitoreo
Actividades de supervisión continua
56
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
57
Componente COSO-ERM: Monitoreo
Ej
Evaluaciones separadas e m
pl
o
• Autoevaluación de las
Riesgos
áreas de la Riesgos de Seguridad
organización Reputación Lógica
Riesgos de Riesgos de
• Evaluaciones de Seguridad de Manufactura
Información Auditoría
auditoría interna Ger
Riesgos Interna Riesgos
Regulatorios Tecnológicos
• Evaluaciones de
auditoría externa Riesgos Riesgos
de Fraude Financieros
58
Su mundo Nuestra gente*