GESTIÓN DE RIESGOS

CORPORATIVOS
ERM
Técnicas de Aplicación según
El COSO
ERM & EL COSO – TÉCNICAS DE APLICACIÓN
Expectativas
 ¿Qué es COSO-ERM?
 ¿Cómo inició el concepto Administración de
Riesgos?
 ¿ Cómo pueden medir los auditores el impacto de
los riesgos?
 ¿Cómo podemos ayudar a los gerentes a entender
qué son riesgos y controles?
¿QUÉ ES COSO?
• Committee of Sponsoring Organizations of the
Treadway Commission (COSO). Creado en 1985.
• Es una organización del sector privado, dedicada
a mejorar la calidad de los reportes financieros
mediante la ética de negocio, controles internos
eficaces y gobierno corporativo.
•Treadway Commission on Fraudulent Financial
Reporting 1987
•Marco Integrado de Control Interno publicado en
1992
¿POR QUÉ ES IMPORTANTE COSO?

 COSO proporciona un marco integral del

control interno y herramientas de evaluación
para sistemas de control
 Proporciona una terminolología utilizada
comúnmente y principios usados como guía
para desarrollar una arquitectura efectiva
para la administración de riesgos
 Proporciona una visión integral del sistema
de control institucional
¿CÓMO SE INICIÓ ERM?
 ERM comenzó en las empresas de servicios
financieros,
seguros, servicios públicos, petróleo, gas, e
industrias manufactureras químicas
 ¿Por qué ahí?
En estas industrias los riesgos están bien
documentados y
medidos; comúnmente se utilizan
sofisticados modelos
estadísticos; existe entendimiento y
supervisión sobre
la sensibilidad del mercado y riesgos
¿CÓMO SE INICIÓ ERM?

• Los Auditores Internos utilizan ERM porque

La metodología tradicional de muestreo usualmente no es suficiente
para obtener los resultados deseados
La metodología tradicional es a menudo ineficaz y costosa
El enfoque cambió de auditoría basada en control
Se enfoca en el riesgo para determinar qué es importante y
seleccionar la muestra de control
La auditoría “basada en riesgo” es ahora la norma del IIA
• Control Interno – Marco Integral
Efectividad y eficacia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con las leyes y reglamentos aplicables
• El nuevo marco COSO descansa en los primeros conceptos
de control interno y refleja lo valioso de ERM
CONCEPTOS CLAVE SOBRE ERM

 Todas las entidades existen para darle valor a sus

accionistas

 Todas las entidades enfrentan la incertidumbre, por

lo tanto, ¿cuánta es aceptable?

 La incertidumbre puede ser un riesgo o una

oportunidad

 ERM no se refiere a controles, se refiere a

desempeño
VALOR
 El valor es creado, preservado o erosionado por las
decisiones de la Dirección.
 Diariamente la Dirección toma decisiones sobre
estrategias y operaciones.
 Las organizaciones agregan valor cuando se derivan
beneficios que satisface a:
- Accionistas
- Clientes o usuarios
- Gobierno
 Aplicación de recursos (gente, capital, tecnología, nombre
comercial) a modo que los beneficios sean mayores que
los recursos utilizados.
VALOR

Ampliar y preservar la calidad, capacidad,

satisfacción del cliente.

 Equilibrio entre crecimiento, riesgo y

retorno basados en objetivos y estrategias

 Más que el valor financiero o económico.

INCERTIDUMBRE

 Globalización, tecnología, reglamentos,

reestructuración, fusiones, adquisiciones,
mercados cambiantes, competencia.

 No se puede determinar con precisión la

probabilidad de que ocurrirán eventos
potenciales y sus resultados.
¿Qué es Riesgo?
RIESGO - OPORTUNIDAD

 Riesgo es la posibilidad de ocurrencia de un evento

que pudiera afectar adversamente el logro de
objetivos.

 Ninguna entidad opera en un ambiente libre de

riesgos.

 Existe también el riesgo de que no se aproveche la

ventaja de una oportunidad.
RIESGO-REGLAMENTACIÓN

 Comercio doméstico e Internacional

 Financieras, tanto públicas como privadas
(incluyendo leyes sobre valores)
 Relaciones laborales, incluyendo contrataciones,
compensaciones y beneficios, sindicatos,
condiciones de trabajo, igualdad de
oportunidades y liquidación
 Medio ambiente (agua, aire y materiales
peligrosos)
 Impuestos (sobre: utilidades, propiedades,
activos, ventas, valor agregado, etc.)
 Bancarrotas
RIESGO-CULTURA

Profundamente arraigada e influye en la dinámica

organizacional
 Ética de trabajo
 Perspectiva de relaciones jerárquicas
 Educación
 Perspectiva sobre ética incluyendo:
• Nepotismo
• Cohechos o mordidas
• Fraude
DEFINICIÓN DE ERM

La Administración de Riesgo Empresarial es un

proceso, realizado por el consejo directivo de una
entidad, la administración y otro personal, aplicado
en el establecimiento de estrategias para toda la
empresa, diseñada para identificar eventos
potenciales que puedan afectar a la entidad, y
administrar los riesgos para mantenerse dentro de
su propensión al riesgo y proporcionar una
seguridad razonable referente al logro de objetivos.
 DEFINICIONES
Administración de
Control Interno Riesgos Empresariales

Control Interno es un proceso, ejecutado

La administración de riesgos
por el consejo directivo, la administración y
empresariales es un proceso, ejecutado
otro personal de una entidad, designado
por el consejo directivo, la
para proporcionar seguridad razonable
administración y otro personal de una
referente al logro de objetivos en las
entidad, aplicado en el
siguientes categorías:
establecimiento de estrategias en toda la
empresa, designado para identificar
• Efectividad y eficacia de las operaciones eventos potenciales que pudieran
• Confiabilidad en los reportes financieros afectar a la entidad, y administrar los
• Cumplimiento con las leyes y reglamentos riesgos para mantenerlos dentro de su
propensión al riesgo, proporcionar
aplicables
seguridad razonable referente al logro
de objetivos .
QUÉ NO ES ERM

 Una herramienta para la toma de decisiones

 Una técnica de clasificación para dar

seguimiento a controles internos

 El único seguro al respecto

 El trabajo de unos cuantos

¿QUÉ HA CAMBIADO?

MARCO COSO MARCO COSO ERM

Ambiente Interno
Supervisión
Establecer Objetivos

Información y Identificación de Eventos

Comunicación
Evaluación del Riesgo
Actividades
de Control Respuesta al Riesgo

Evaluación Actividades de Control

del Riesgo Información y Comunicación

Ambiente Supervisión
de Control
 Ambiente Interno

AMBIENTE INTERNO
Filosofía Propensión Cultura Consejo Integridad y Compentencia
Admon.Riesgo al Riesgo Riesgo Admón. Valores Éticos Personal
•Valor •Independen- •Indepen- •Código Cond. •Conocimientos
•Valor
•Cuantitativo cia dencia. •Prerequisitos •Habilidades
•Comun.
•Cualitativo •Activa •Activa •Ejemplo Dir. •Trade Off
Palabra/Acc
•Vinculado a •Involucrada •Involucrada •Incentivos
estrategia
Filosofía . Admva. Estructura Asig. Autoridad Pol. y Proc Diferencia
Y Operacional Orgánica y Responsab. de R.H. en Ambiente
•Formal Vs Informal •Lineas Reportes •Facultamiento •Evaluación •Preferencias
•Conserv. Vs. Agres. •Centraliz./ Desc. •Rendición de •Entrenamiento •Juicios de Valor
•Alineada •Matriz/Funcional/ cuentas •Compensación •Estilos de
Geográfica •Incentivos y administración
disciplina
AMBIENTE INTERNO
 Fundamento para todos los demás componentes de
ERM
 Influye en estrategia y objetivos.
 Influye en diseño de actividades de control, sistemas
de información y comunicación, y supervisión de
actividades.
 Incluye valores éticos, competencia del personal,
estilo de operación, asignación de autoridad y
responsabilidad, y estructura organizacional.
 La Dirección se reconoce responsable de los riesgos
y de ella emana la filosofía y estilo gerencial e integra
y promueve el ERM
AMBIENTE INTERNO

 Evidencia de la cultura organizacional:

• Acuerdos con sus empleados
• Trato a clientes y a otros externos
• La incidencia de violaciones a leyes y reglamentos
• El tono desde lo alto
• Prudencia financiera
• La calidad de los productos y servicios ofrecidos
• Sus respuestas a las crisis
• Su imagen pública
AMBIENTE INTERNO

Las culturas organizacionales cambian en el transcurso

del tiempo
 Jóvenes en su entusiasmo vs compañías más
maduras

 Conforme maduran las empresas, sus estructuras de

control interno deben madurar también

 Las empresas con dificultades financieras, a menudo

minimizan costos en formas tales que reducen los
controles internos
Establecimiento de Objetivos

ESTABLECIMIENTO DE OBJETIVOS
Objetivos Objetivos Objetivos Propensión Tolerancia
Estratégicos Relacionados Seleccionados al Riesgo al Riesgo
•Metas •Operación •Alineación y •Crecimiento, •Variaciones
estratégicas •Información apoyo riesgo y entorno aceptables
•Misión/Visión •Cumplimiento •Decisiones •Asig. Recursos •Métrica de
•Elección de •Salvaguarda de la Admón. •Gente, Medición de
estrategia procesos e Objetivos.
Infraestructura
Establecimiento de Objetivos
 Deben existir objetivos antes de que la administración
pueda identificar eventos que potencialmente afecten
su logro.
 Alinear misión/visión con objetivos
 Tipos: Estratégicos: relacionados con metas de alto
nivel

 Reportes: confiabilidad en los mecanismos de reportes

 Cumplimiento: con leyes y reglamentos aplicables

Establecimiento de Objetivos
Aquellos involucrados en el pensamiento estratégico deberían
tener esta información:
- Tendencias económicas generales y en la industria específica
- Desarrollo de nuevos productos y procesos
- Tendencias tecnológicas
- Desarrollos en habilidades clave
- Marcos competitivos de desempeño
- Planes y metas estratégicas internas
- Resultados históricos de desempeño
- Oportunidades para incrementar el potencial de productos o mercados
- Disponibilidad de recursos
- Asuntos regulatorios
- Asuntos ambientales
- Efectos en empleados
RELACIÓN ENTRE MISIÓN, OBJETIVOS,
RIESGO ACEPTADO Y TOLERANCIA…
 Misión
Ser el fabricante lider de productos de calidad para el hogar en las regiones en que operamos

Estrategias:
Objetivos Expandir la producción de nuestros Riesgo aceptado:
Estratégicos: 5 productos mas vendidos para •Acepta alta tasa
Estar en el cuartil responder a la demanda creciente consumo inversiones
superior de ventas capital, personal y
del producto a Otros objetivos relacionados: procesos
nuestros •Aumentar producción unidad “X” en •Aceptar que la
minoristas 15% prox. 12 meses competencia podria
•Mantener gastos personal en 22% por aumentar depredando
cada unidad monetaria de pedidos precias por aumentar
cuota meercado.
Mediciones: Medición:
•No aceptamos una
1. Cuota de •Unidad de producción
erosion en la calidad
mercado •Nro. Empleados contratados
del producto
•Calidad productos nivel sigma

Tolerancia al Riesgo
Medición: Objetivo: Tolerancias – intervalo Aceptable:
•Cuota mcdo, •Percentil 25, 20% - 30%
•Unds prod, •150mil unds, -7500 / +10000
•# empleados contratados, •180 empleados, -15 / +20
Identificación de Eventos

IDENTIFICACIÓN DE EVENTOS
Factores Influy. Metodología Eventos Inter- Categorías Riegos y
Eventos Estrat. y Objs. y técnicas dependientes de Eventos Oportunidades
•Incidental •Internos •Durante •Eventos •Grupos •Imp. Neg: Riesgo
•Impacto •Externos •Periódico precursores de riesgo •Imp. Pos: Oport.
positivo y/o •Pasado y (reacciones en por •Disminución del
negativo Futuro cadena) proceso riesgo
•Interrelacionados y/o
función
 Identificación de Eventos
Los acontecimientos internos y externos
que afectan a los objetivos de la entidad
deben ser identificados, diferenciando
entre riesgos y oportunidades. Estas
últimas revierten hacia la estrategia de
la dirección o los procesos para fijar
objetivos.
 Mecanismos de Identificación de Eventos

Mecanismo Fact Externos Fact Internos

Tecnológicos
Económicos

Infraestruct
Medioamb

Tecnología
Procesos
Sociales
Políticos

RR.HH.
Procedencia de la Información

Conferencias sectoriales / técnicas √ √ √ √ √ √ √ √ √

Sitios web y campañas empresas afines √ √
Grupos de presión política √
Procesos legales competidores √ √ √
Encuentros sobre gestión interna riesgos √ √ √ √
Nuevas decisiones legales √ √ √
Informes en los medios √ √ √ √ √
Informes mensuales de la dirección √ √ √ √
Informes Analistas √ √ √
 Evaluación de Riesgos

EVALUACIÓN DE RIESGOS
Riesgo Inherente Probabilidad e Metodologías y
y Residual Impacto Técnicas Correlación

•Accs. Admvas. Previas •Esperadas •Cualitativas •Secuencia de

•Accs. Admvas. Post. •Horizonte de tiempo •Cuantitativas eventos
•Esperadas e Inesperadas •Métrica de medición •Categorías
•Datos observables •Escenarios
EVALUACIÓN DE RIESGOS

- Condiciones que pueden crear un riesgo adicional

- Diseño u operación inadecuada del control interno
- Metas y planeación fuera de la realidad
- Actividades no autorizadas
- Entendimiento insuficiente de nuevas inversiones,
productos, iniciativas y actividades de negocio
similares
- Acciones correctivas pobremente planeadas o
implementadas
EVALUACIÓN DE RIESGOS
- ¿Se asegura el Consejo o el Comité de Auditoría de que se reportan
los hallazgos relativos a los riesgos?

- ¿El Director Ejecutivo, el Director Financiero y el Director de AI

conocen de la efectividad de los controles internos?

- ¿El Director de Auditoría actúa con independencia y proporciona

reportes útiles y competentes?

- ¿Se reúne periódicamente el Comité de Auditoría con la gerencia

de primer nivel, el Director de Auditoría y los auditores externos?

- ¿Tiene el Consejo por lo menos un experto financiero?

EVALUACIÓN DE RIESGOS
- Considerar los riesgos a largo plazo.
- Riesgo inherente: riesgo para la entidad en ausencia de cualquier
acción realizada por la administración para alterar la
probabilidad o el impacto.
- Riesgo residual: riesgo remanente después de la acción realizada
por la administración para alterar su probabilidad o impacto.

Riesgo
Inherente

Respuesta al Riesgo
(control interno)

Riesgo
Residual
EVALUACIÓN DE RIESGOS
1. Tormenta de ideas sobre riesgos y oportunidades
2. Identificar de raíz las causas y las correlaciones
3. La mejor forma es tener sesiones de facilitación
4. Calcular el impacto del riesgo usando la misma medida de los
objetivos
5. Calcular los escenarios mínimo, máximo y probable
6. Preparar un programa de riesgo
7. Priorizar riesgos y oportunidades basados en su valor
ponderado
8. Identificar los riesgos clave que requieren atención estratégica

Tormenta de
Peso/Cálculo Priorizar
Ideas
 Respuesta al Riesgo

RESPUESTA AL RIESGO
Identificación de Evaluación Posibles Elección de
Respuesta Visión Integral
Respuestas Respuestas
•Evadir •Impacto •Toma de •Nivel entidad
•Compartir •Probabilidad decisiones •Nivel Unidad de negocio
•Reducir •Costo Vs. Beneficio •Base Inherente y residual
•rAceptar •Respuestas Innovativas
RESPUESTA AL RIESGO
- Opciones y su efecto en la probabilidad e impacto de un evento.

- Relación con: tolerancia al riesgo, costo vs. beneficio.

- Selección e implantación.

- Seleccionar respuestas que traerán la probabilidad e impacto de

un evento denro de la tolerancia al riesgo de la entidad.

- Cuatro Tipos de Respuesta al Riesgo

- Evasión - Reducción
- Compartir - Aceptación

- Redimensionar el riesgo sobre una base residual.

- Siempre existirán niveles de riesgo residual.

 Actividades de Control

ACTIVIDADES DE CONTROL
Integradas a las Tipos de Controles de
Respuestas Control Controles Generales Aplicación Específicos
•Estrategias y
•Implícitas en los •Políticas •Admon. TI •Integridad objetivos
procesos del •Procedimientos •Infraestructura TI •Exactitud específicos
negocio •Preventivos •Admon. Seguridad •Autorización •Ambiente
•Detectivos •Desarrollo y •Validación Operacional
•Manuales Mantenimiento de
•Complejidad
•Automatizados software
de la entidad
ACTIVIDADES DE CONTROL

 Las actividades de control también incluyen sistemas,

procesos, iniciativas, técnicas, programas, proyectos y
otras formas de lograr los objetivos

 Los controles internos que son efectivos bajo un conjunto

de circunstancias, pueden no ser efectivos cuando
cambian las condiciones
 Información y Comunicación

INFORMACIÓN Y COMUNICACIÓN
Sistemas Estratégicos
Información Comunicación
e Integrados
•Interna
•Externa •Estratégica •Interna
•Manual •Operacional •Externa
•Computarizada •Pasada y presente •Nivel entidad
•Formal •Nivel detalle •Expectativas y responsabilidades
•Informal •Periodicidad •Formatos
•Arquitectura Sist. Inf. •Calidad •Medios de transmisión
 Información y Comunicación
 De fuentes internas y externas
 Identifica, captura, analiza y comunica a quienes lo
necesitan
 Forma y tiempo
 Útil para llevar a cabo responsabilidades
 Fluye hacia abajo, hacia arriba y a lo largo de la
organización
 Intercambio con partes externas: clientes, proveedores,
legisladores, accionistas
 Útil para identificar, evaluar y responder a riesgos, mover
la entidad y lograr los objetivos
Información y Comunicación
 Información relevante

 Uso de datos históricos y actuales. Identifica correlaciones, tendencias,

utiliza el conocimiento para ayudar a pronosticar el desempeño futuro.
Prevención temprana.

 Estado actual para evaluar si se está dentro de las tolerancias

establecidas de riesgo y calibrar el actuar dentro del propensión al riesgo.

 Esencial al Consejo para realizar sus responsabilidades de vigilancia

sobre los riesgos y su administración.

 Riesgo de reportes sesgados

 Canales de comunicación Tradicionales vs No-tradicionales.

 Supervisión

SEGUIMIENTO Y EVALUACIÓN

Durante las Operaciones Evaluaciones Reporte Deficiencias

Independientes
•Alcance •Durante las Operaciones
•Tiempo real •Frecuencia •Entidades externas
•Implícito •Autoevaluación (facilitación •Protocolos
•Operaciones día a día Auditores Internos) •Canales alternos
•Ampliamente documentada
Supervisión
 Verificar que los componentes están presentes y
funcionando, y su calidad en el curso del tiempo
 Dos caminos: Evaluaciones sobre la marcha o
independientes.
 La documentación varía con el tamaño y complejidad de
la organización
 La falta de documentación no significa que los
componentes no existan o no puedan ser probados.
La documentación hace que la supervisión sea más
efectiva. También es importante respaldar las
aseveraciones sobre la calidad de ERM.
Supervisión
 Reportar las deficiencias a quienes pueden
tomar la acción apropiada.
 La deficiencia se puede percibir, sea potencial o
real. También la oportunidad para fortalecer el
proceso, para aumentar la probabilidad del logro
de objetivos.
 Mecanismo para reportar actos delicados,
ilegales o impropios
 Resultados de la información y de la evaluación
 Quién, qué, cuándo, dónde, cómo, por qué
EFICACIA DEL ERM

 Un estado o condición en un momento dado

 Eficacia: todos los ocho componentes están presentes y funcionando

 Puede haber diferentes niveles de eficacia entre entidades, industrias

y combinaciones de componentes, debido también a diferentes culturas,
tamaños, filosofías administrativas.

 Conceptos aplicables a todas las entidades sin importar su tamaño y

niveles de formalidad.

 Deben considerarse las relaciones externas (inversión conjunta,

asociaciones) que no están bajo un control directo.
LIMITACIONES DE ERM
 ERM no garantiza que la entidad será exitosa y logrará todos sus
Objetivos

 Limitaciones:
- Cambios en políticas o programas del Gobierno
- Competencia
- Condiciones económicas
- Malas decisiones
- Errores y equivocaciones
- Gerentes incompententes
- Omisión o debilitamiento de control interno, colusión, ignorar el
ERM

 ERM no refleja una adecuada relación costo-beneficio .

PAPELES Y RESPONSABILIDADES

- Consejo de Administración: Dirección, Estrategia, Tono en la

Cumbre, propensión/aversión al riesgo, Respuestas de ERM

- Administración: Responsables de ERM, tono en la cumbre,

liderazgo, delegación apropiada de responsabilidades, influencia a
lo largo de unidades organizacionales

- Director Ejecutivo de Riesgos (CRO): mantener la administración

efectiva del riesgo, supervisar avances, reportar información
relevante al Consejo de Administración y a la Gerencia.
PAPELES Y RESPONSABILIDADES

-Auditores Internos: Apoyar la evaluación y supervisión del ERM y

la calidad del desempeño. Asesorar a la Administración, al Consejo
y al Comité de Auditoría y haciendo recomendaciones que
agreguen valor a la gestión.

- Otro Personal: ERM es responsabilidad de cada uno. Todos los

empleados utilizan, producen o tienen información útil para el ERM.
PAPELES Y RESPONSABILIDADES
Proporcionan información útil para ERM, pero no son
responsables de ERM

Auditores Internos
Auditores Externos

 Auditores de Entidades del Estado

Agencias reguladoras (Superintendencias y otros)

 Clientes Internos y Externos

 Analistas Financieros

Medios de comunicación
CONSIDERACIONES PARA EL ÉXITO

1. Compromiso del Consejo de A. Directores Generales y

Directores Ejecutivos

2. Adoptar e implantar el sistema ERM desde la base

hacia arriba

3. Debe ser dirigido y respaldado desde arriba hacia abajo

4. Debe existir un lenguaje común

5. Proporcionar suficiente entrenamiento a fin de que

todos los empleados entiendan completamente cómo
participan en el ERM y como el control interno lo apoya
MITOS SOBRE ERM
• Es un “cúralo-todo” con el que se pueden tomar
decisiones basados en información 100% confiable y
basada en información sin margen de error.

• Sólo sirve para catalogar o tomar inventario de todos

los riesgos que afectan a una organización

• Con él, las auditorías serán infalibles

• ERM es sobre seguros

• Es un proceso independiente y aislado del resto de la

organización

• Cuesta demasiado implementarlo.

BENEFICIOS DE ERM

• Alinea la propensión al riesgo y la estrategia.

• Relaciona crecimiento, riesgo y retorno de la inversión
• Amplía las decisiones de respuesta al riesgo.
• Minimiza sorpresas y pérdidas operacionales.
• Identifica y administra riesgos a lo largo de toda la
organización.
• Proporciona respuestas integradas a los múltiples riesgos.
• Toma ventaja de las oportunidades.
• Mejora la asignación de capital.
BENEFICIOS DE ERM

 Se relaciona con la gobernabilidad corporativa

-Proporciona información al Consejo Directivo s/riesgos
-Se conecta con el desempeño de la Administración

 Ayuda a organizaciones a lograr objetivos y evitar pérdidas

 Ayuda a asegurar reportes efectivos

 Ayuda a asegurar el cumplimiento con leyes y reglamentos

 Ayuda a evitar daños en la reputación

PREGUNTAS
BIBLIOGRAFÍA

1. Root, Steven. Beyond COSO: Internal control to enhance corporate

governance. John Wiley & Sons. New York, NY. 1998.
2. The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) – Gestion de riesgos Corporativos – Marco
Integrado – Técnicas de Aplicacion. Sept 2004
GRACIAS

Por su Participación