Gestion Integral de Riesgos
-
Upload
willy-arroyo -
Category
Documents
-
view
228 -
download
0
description
Transcript of Gestion Integral de Riesgos
*connectedthinking
Firma miembro de
*connectedthinking
Gestión Integral de Riesgos:
Mejores Prácticas
2
Lo nuevo de COSO
¿Por qué surge COSO II-ERM?
• Debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90, el comité de las organizaciones que patrocinaban la Comisión de Treadway (COSO) determinó que había una necesidad de un marco común de Gestión Integral de Riesgo
• En el 2001 la Comisión contrató a
PricewaterhouseCoopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones
• COSO - ERM se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno
• En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers 3
1. Es un proceso…
2. realizado por la junta directiva, la
gerencia y demás personal de la
entidad,…
3. basado en el establecimiento de
estrategias para toda la empresa, …
4. diseñadas para identificar eventos
potenciales que puedan afectar a la
entidad, y gerenciar los riesgos dentro
del apetito de riesgo…
5. para proporcionar una seguridad
razonable referente al logro de los
objetivos del negocio
Fuente: Enterprise Risk Management — Integrated Framework Septiembre, 2004
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers 4
COSO II - ERM: Marco de Gestión Integral
de Riesgo (Enterprise Risk Management)
COSO I: Control Interno - Marco
Conceptual Integrado
Ambiente de Control
Operacio
nes
Report
e
Cumpli
miento
Un
ida
d A
Unid
ad
B
Activid
ad
1
Activid
ad
2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
Origen del estudio del Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
5
Nuevo Componente
Componente Ampliado
Componente Ampliado
Objetivo Nuevo
Considera las
actividades de todos los
niveles de la
organización
Componentes del COSO-ERM
Nuevo Componente
Nuevo Componente
Componente Ampliado
Componente Ampliado
Componente Ampliado
7
Componente COSO-ERM: Ambiente de Control
Este componente establece:
• Una filosofía de gestión integral de riesgo
• Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)
• Rol supervisorio de la junta directiva en la gestión integral de riesgo
• La integridad y los valores éticos
• Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte
• Estándares de recursos humanos: habilidad y competencia de los empleados
Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.
Es la base del resto de los componentes y provee disciplina y estructura.
8
“ERM debe proveer a nuestra
organización de capacidades
superiores para identificar, evaluar, y
gestionar en amplio espectro los
riesgos en todos los niveles de
cargo a fin de mejorar el
entendimiento y manejo de los
riesgos. Para ello debe proveer:
•Aceptación responsable del riesgo
•Apoyo para el comité ejecutivo y
junta directiva en la creación de
portafolio de riesgos
•Considerar los diferentes riesgos
en la toma de decisiones… “
Componente COSO-ERM: Ambiente de Control
Enseñar
con
palabras y
acciones
Filosofía de Gestión de Riesgo - Ejemplo
9
Componente COSO-ERM: Ambiente de Control
Cultura de Riesgo y Control
• La cultura de riesgo fluye desde la
filosofía y el apetito de riesgo de la
entidad
• Una gestión integral de riesgo es
exitosa y eficiente, cuando la
organización mantiene una cultura de
riesgo positiva; esto es que toda la
entidad tenga conciencia de los
riesgos y cumpla con los ocho (8)
componentes COSO -ERM
Filosofía de Gestión de Riesgo
10
• Son comunicados por medio de un código formal
de conducta
• Establecimiento de canales de comunicación y
denuncia
• Compromiso de los empleados en comunicar
aquellas situaciones que se consideren
incumplimiento del código de ética y conducta
• Deben ser mostrados con acciones
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos
La efectividad de la gestión integral de riesgo, nunca superará la integridad y
los valores éticos de las personas que crean, administran y monitorean las
actividades de la entidad
11
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos
Estructura del Código de Conducta
Secciones del Código
- Visión, misión y objetivos
- Manifiesto de la Presidencia Ejecutiva exhortando al
cumplimiento del Código
- Declaración de los valores éticos de la organización
- Las responsabilidades individuales y
organizacionales
- Lineamientos éticos y medidas disciplinarias
- Guía o canales para resolver las cuestiones éticas
- Glosario de términos
12
Componente COSO-ERM: Ambiente de Control
Integridad y Valores Éticos Canales de denuncia
Opción 1
Identificación del denunciante
Opción 2
Anonimato Parcial
Canales abiertos de
comunicación
Identificación de la
identidad de la persona
que denuncie
irregularidades
Esta es una de las
opciones más utilizada.
Cuenta con canales de
comunicación bajo el
control de unidades de
gestión de ética y
conducta
Se conoce al denunciante
pero no se divulga su
identidad
Cuenta con canales de
comunicación
confidenciales para
conservar el anonimato
Conservación del
anonimato absoluto de la
identidad de la persona
que denuncie
irregularidades
Opción 3
Anonimato Total
Fax, buzón de voz, números telefónicos directos y correo electrónico
13
• Facilita la efectividad de gestión
integral de riesgo
• Define áreas clave de
responsabilidad
• Establece líneas de reporte
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad
14
Existen diferentes alternativas de estructura organizacional, donde los
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
• Opción A: Lidera la gestión de
riesgo: existe una unidad de
gestión de riesgo que coordina
todas las actividades en la
organización, reporta al comité de
riesgo. Auditoría interna es
responsable por la evaluación de
la efectividad de los procesos,
prueba los controles clave
establecidos para la repuesta al
riesgo
CEO
Grupo de alta gerencia
Unidades de
Negocio
Auditoría
Interna
Auditor Interno
Senior
Junta Directiva
CFO CTO Legal CIO
PCN Seguro Seguridad de
Información Fraude
Aseguramiento
Gerencia
Integral de
riesgo
Comité de
riesgo Comité de
auditoría
• Opción A:
15
Existen diferentes alternativas de estructura organizacional, donde los
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
• Opción B: Lidera la gestión de
riesgo y aseguramiento: existe
una unidad de gestión de riesgo
que es reponsable de los
riesgos y el aseguramiento del
cumplimiento de las actividades
de la gestión de riesgo
• Opción B:
Unidades de
Negocio Auditoría
Interna
Comité de Auditoría
Auditor Interno
Senior
PCN Seguro Seguridad de
Información Fraude
Aseguramiento
CEO
Grupo de alta gerencia
Junta Directiva
CFO CTO Legal CIO
Comité de
Riesgo
Gerencia
Integral de
riesgo
16
Existen diferentes alternativas de estructura organizacional, donde los
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
• Opción C: Las funciones de la
gerencia de riesgo son lideradas
por auditoría interna
• Opción C:
Auditoría Interna y
Gerencia de Riesgo
Comité de
Auditoría y Riesgo
Auditor Interno
Senior/ CRO
Seguro Seguridad de
Información Fraude
CEO
Grupo de alta gerencia
Junta Directiva
CFO CTO Legal CIO
Unidades de Negocio
PCN
Aseguramiento
17
Existen diferentes alternativas de estructura organizacional, donde los
roles y responsabilidades, así como las líneas de reporte pueden
presentar debilidades y fortalezas diferentes
Componente COSO-ERM: Ambiente de Control
Estructura organizacional
• Opción D: Estructura
descentralizada, donde no
existe una unidad específica de
riesgo sino que cada unidad de
negocio es responsable de la
gestión de riesgo
CEO
Grupo de alta gerencia
Unidades de
Negocio
Auditoría
Internal
Comité de Auditoría
Auditor Interno
Senior
Junta Directiva
CFO CTO Legal CIO
PCN Seguro Seguridad de
Información Fraude
Aseguramiento
• Opción D:
18
Componente COSO-ERM: Ambiente de Control
ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO
Junta Directiva • Velar y supervisar la adecuada administración y control de los riesgos
• Tomar decisiones sobre las pérdidas financieras por reducción del patrimonio que la
organización pueda sufrir a causa de la materialización de los riesgos
Presidencia • Delegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de la
organización
• Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales
estén establecidos para administrar todos los riesgos
Comité de Riesgo • Designar al responsable de la Unidad de Administración Integral de Riesgo.
• Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de
Administración Integral de Riesgo con respecto a la gestión de riesgos
• Aprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo
para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por
la organización
Asignación de autoridad y responsabilidades
Gerencia de Riesgo • Garantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la Institución
• Aprobar los planes de acción resultantes de la identificación, evaluación y medición de los
riesgos y las acciones mitigantes
• Establecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayor
uso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo
Coordinadores de Riesgo por Unidad de Negocio • Administrar los riesgos
• Participar activamente en las auto-evaluaciones del riesgo integral en su área.
• Realizar seguimiento de los indicadores de riesgo.
• Seguir y reportar las pérdidas por materialización de los riesgos
Auditoría Interna • Supervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integral
• Revisar el marco general de la gestión del riesgo integral
19
• Establecen las normas de orientación, adiestramiento,
evaluación, promoción, compensación, y acciones de
remediación, manejo esperado de niveles de integridad,
comportamiento ético y competencia
• Envían mensajes de acciones disciplinarias ante violaciones
de comportamiento esperado que no pueden ser toleradas
• La capacidad del personal de la organización refleja el
conocimiento y las habilidades necesitados para realizar las
tareas asignadas
• Permite a la gerencia alinear los costos-beneficios
Componente COSO-ERM: Ambiente de Control
Normas de recursos humanos, habilidades y competencias
21
Componente COSO-ERM: Establecimiento de Objetivos
• La gestión integral de riesgo se
asegura que la gerencia cuente con
un proceso para definir objetivos
que estén alineados con la misión y
visión, con el apetito de riesgo y
niveles de tolerancia
• Los objetivos se clasifican en
cuatro categorías:
• Estratégicos
• Operacionales
• Reporte o presentación de
resultados
• Cumplimiento
Dentro del marco de la definición de la misión y visión, la gerencia
establece las estrategias y objetivos
Apetito de Riesgo
• Es una guía en el
establecimiento de la
estrategia
• La gerencia lo expresa como
un balance entre:
crecimiento, riesgo y retorno.
• Dirige la asignación de
recursos
• Alinea la organización,
personal, procesos e
infraestructura
Componente COSO-ERM: Establecimiento de Objetivos
Probabilidad
Imp
acto
Bajo Medio Alto
Bajo
Me
dio
A
lto
Excediendo
el Apetito de
Riesgo
Dentro del
Apetito de
Riesgo
Es el máximo nivel de riesgo que los accionistas están
dispuestos a aceptar
23
Tolerancia al Riesgo
• La tolerancia al
riesgo se puede
medir
preferiblemente
en las mismas
unidades que los
objetivos
relacionados
Meta Fijada
Tiempo
Estrategia de negocio
Límite de
tolerancia
Desempeño
Real
Variación
Inaceptable
Límite de
tolerancia Variación
Inaceptable
Componente COSO-ERM: Establecimiento de Objetivos
Son los niveles aceptables de variación de las metas fijadas
24
Tolerancia al Riesgo
20% TDC en relación
con la cartera total
Tiempo
Estrategia de negocio
Límite de
tolerancia
Desempeño
Real
18%
Límite de
tolerancia
22%
Componente COSO-ERM: Establecimiento de Objetivos
Colocación de tarjeta de crédito
26
Componente COSO-ERM: Identificación de Eventos
• La gerencia reconoce que la
incertidumbre existe, lo cual se
traduce en no poder conocer con
exactitud cuándo y dónde un
evento pudiera ocurrir, así como
tampoco sus consecuencias
financieras
• En este componente se identifican
los eventos con impacto negativo
(riesgos) y con impacto positivo
(oportunidades)
Se identifican eventos potenciales que si ocurren pueden afectar a la entidad.
Base para los componentes: evaluación de riesgos y respuesta al riesgo
27
Componente COSO-ERM: Identificación de Eventos
Evento: Devaluación cambiaria
Impacto positivo – impacto negativo
Riesgo:
Oportunidad:
Deuda Externa
Inversión en moneda extranjera
Evento: Aumento de precios afectando los productos de 1000 grs
Disminución de las ventas
Ventas de productos de 250 grs
Riesgo:
Oportunidad:
28
• La gerencia identifica los eventos potenciales que afectan la puesta en
práctica de la estrategia o el logro de los objetivos, pudiendo tener
impactos positivos o negativos
• Incluso los eventos con baja posibilidad de ocurrencia se consideran
si el impacto en un objetivo es alto
• Los eventos se identifican en todos los niveles de la organización
Componente COSO-ERM: Identificación de Eventos
Eventos
• La gerencia reconoce la importancia de entender los factores internos
y externos y el tipo de eventos que pueden generar
Factores Influyentes
29
Factores Externos
Económicos Ambiente Natural Políticos
• Contaminación
• Energía
• Desastres naturales
Tendencias tecnológicas
• E-business, E-commerce
• Tecnologías emergentes
• Interrupciones
• Cambios gubernamentales
• Legislación
• Regulaciones
Componente COSO-ERM: Identificación de Eventos
• Disponibilidad de capital
• Incumplimiento de créditos
• Seguros
• Incumplimiento
• Concentración
• Liquidez
• Financiamiento
• Flujo de caja
• Mercado
• Precios
• Desempleo
• Huelgas
30
Factores Internos
Infraestructura
Personal Proceso Tecnología
Componente COSO-ERM: Identificación de Eventos
• Diseño
• Ejecución
• Proveedor /
dependencias
• Competencia del personal
• Salud e higiene
• Ética e integridad
• Disponibilidad de activos
• Capacidad de activos
• Acceso a capital
• Datos
• Mantenimiento
• Distribución
• Confidencialidad
• Integridad
• Disponibilidad
• Capacidad
• Sistemas
• Selección
• Desarrollo
• Implantación
• Desempeño y
rendimiento
• Disponibilidad
31
Económicos
Medio Ambiente
Políticos
Personal
Procesos
Infraestructura
Objetivo
mantener
margen 10%
Componente COSO-ERM: Identificación de Eventos
Nuevos competidores
Lluvias Control de
comisiones
Nuevos canales
Lentitud respuesta
Expira contrato
colectivo
33
Componente COSO-ERM: Evaluación de Riesgo
• Determina riesgos a partir de dos
perspectivas: Probabilidad e
Impacto
• Entre las técnicas se utiliza
determinar riesgos y normalmente
también se utiliza medir los
objetivos relacionados
• En la evaluación de riesgos, la
gerencia considera eventos
previstos e inesperados
• Los riesgos inherentes y residuales
son evaluados
Permite que una entidad entienda el grado en el cual los eventos potenciales
pudieran afectar los objetivos del negocio
34
Componente COSO-ERM: Evaluación de Riesgo
Es el riesgo en una organización en ausencia de acciones que podrían
alterar el impacto o la frecuencia de ocurrencia de ese riesgo
Es el riesgo que resulta después que la gerencia ha implantado
efectivamente acciones para mitigar el riesgo inherente
Riesgo Inherente
Riesgo Residual
35
Componente COSO-ERM: Evaluación de Riesgo
• Los acontecimientos potenciales se evalúan a partir de dos
perspectivas: probabilidad e impacto
• En la determinación de impacto, la gerencia utiliza normalmente una
medida igual, o congruente según lo utilizado para el establecimiento
del objetivo
• El horizonte del tiempo usado para determinar riesgos debe ser
constante con el horizonte del tiempo de la estrategia y de los
objetivos
Estimar probabilidad e impacto
36
• Técnicas Cualitativas - Impacto Vs. Probabilidad
• Técnicas Semi-cuantitativa
- Se usa un análisis cualitativo asignando
valores monetarios al riesgo
• Técnicas Cuantitativas - Técnicas Probabilísticas
• Valor en Riesgo VaR
• Riesgo de Flujo de Caja
• Distribuciones de pérdidas
• Back-testing
- Técnicas no probabilísticas
• Análisis de sensibilidad
• Análisis de escenarios
• Benchmarking
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
37
Componente COSO-ERM: Evaluación de Riesgo
• Autoevaluación: Es el proceso en el cual las unidades funcionales de
la organización, de forma subjetiva, identifican los riesgos inherentes
a sus actividades, evalúan el nivel de control existente y determinan
los puntos de mejora que se deben realizar
• Talleres Grupales (Workshops)
• Cuestionarios
• Como resultado de la aplicación de cualquiera de esta técnicas se
obtiene el catálogo de riesgos, ponderando la probabilidad de
ocurrencia e impacto en los objetivos del negocio
Técnicas de evaluación: Cualitativas
Altamente probable
Posiblemente probable
Remotamente probable
Alto
Medio
Bajo
Probabilidad de ocurrencia Impacto
38
Riesgos Probabilidad Impacto
1 Multas por violaciones a las normas
2 Deterioro de imagen
3 Devaluación de la moneda mayor al 15%
4 Huelgas que afectan la respuestas a clientes
5 Morosidad de la cartera
6 Falla en la integridad de la información
7 Alta concentración (colocaciones en pocos
clientes)
8 Bajo retorno de la inversión
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
39
Distribución de riesgos de forma representativa, de acuerdo
con el nivel de exposición
Imp
acto
P
atr
imo
nia
l
Probabilidad de ocurrencia
Devaluación de la
moneda mayor al
15%
Falla en la integridad
de la información
Deterioro de imagen
Multas violaciones
ambientales y
sanitarias
Morosidad de la
cartera Huelgas que afectan
las respuestas a
clientes
Componente COSO-ERM: Evaluación de Riesgo
Técnicas de evaluación
41
Las respuestas deben ser evaluadas en función de alcanzar el riesgo
residual alineado con los niveles de tolerancia al riesgo y pueden estar
enmarcadas en las siguientes categorías:
Componente COSO-ERM: Respuesta al riesgo
Evaluar posibles respuestas
Mitigar el Riesgo
Compartir el Riesgo
42
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo • Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo • Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo • Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Componente COSO-ERM: Respuesta al riesgo
Evaluar posibles respuestas
43
• Los costos de diseñar e implantar una respuesta deben ser
considerados, así como los costos de mantenerla
• Los costos y los beneficios de la implantación de las respuestas al riesgo
pueden ser medidos cualitativa o cuantitativamente, típicamente la
unidad de medición es consistente con la utilizada en el establecimiento
de los objetivos y tolerancia al riesgo
• La gerencia debe considerar los riesgos adicionales que pueden resultar
de una respuesta, así como también las posibles oportunidades
Componente COSO-ERM: Respuesta al riesgo
Evaluar los costos versus beneficios de las respuestas
45
Componente COSO-ERM: Actividades de Control
Políticas y procedimientos que ayudan a la gerencia a asegurar que las
respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna
• Están presentes en todos los
niveles y áreas funcionales de la
organización para lograr los
objetivos del negocio
• Incluye un rango de actividades,
tales como:
- Aprobaciones
- Autorizaciones
- Verificaciones
- Conciliaciones
- Seguridad de los activos
- Desempeño de las operaciones
- Segregación de funciones
46
Componente COSO-ERM: Actividades de Control
Políticas y procedimientos
• Las actividades de control usualmente involucran el establecimiento
de una política (lo que debe ser hecho) y los procedimientos para
ejecutar la política
• Cuando las políticas están formalmente documentadas pueden ser
implementadas amplia, consciente y consistentemente en toda la
organización
• Si se identifican desviaciones en el cumplimiento de las políticas y
procedimientos deben ser investigadas y tomar las acciones
correctivas
47
La selección de las actividades de control incluye:
• Considerar su relevancia y lo adecuado para responder ante el riesgo
• Cómo se interrelacionan con otras actividades de control y con los
objetivos de la entidad
Componente COSO-ERM: Actividades de Control
Integración con las respuestas al riesgo
Respuesta: Reducir el riesgo mediante el análisis del
comportamiento histórico de los clientes y realizar investigaciones
de mercado
Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo
producto
Riesgo: Carencia de suficiente conocimiento de factores externos,
tales como necesidades potenciales de los clientes
Actividad de control: Monitorear el comportamiento de los clientes
mediante reportes mensuales y la validación de la data existente
48
Diferentes tipos de controles:
Componente COSO-ERM: Actividades de Control
Tipo de Actividades de Control
Diseñados para detectar de forma rápida riesgos,
errores o incidentes
Controles
detectivos
Diseñados para evitar riesgos, errores o incidentes
antes de su ocurrencia
Controles
preventivos
Diseñados para remediar o reducir daños como
consecuencia de riesgos, errores o incidentes
ocurridos
Controles
correctivos
50
Componente COSO-ERM: Información y comunicación
• Los sistemas de información
deben apoyar la toma de
decisiones y la gestión de
riesgo (ERM)
• La gerencia debe enviar un
mensaje al personal
resaltando su responsabilidad
ante el ERM
• El personal debe entender su
rol en el ERM así como su
contribución individual en
relación con el trabajo de otros
La información relevante, debe ser identificada, capturada, procesada y
comunicada en la oportunidad y forma adecuada
51
• Estrategia y sistemas integrados
• Integración con las operaciones
• Profundidad y puntualidad de la información
• Calidad de la información
• Se puede obtener de fuentes internas y externas
Componente COSO-ERM: Información y comunicación
Información
Uso de Sistemas Integrados SAP, Peoplesoft, JD Edwards.
Disponibilidad de consultas vía Intranet o Internet
Revisión de información histórica vs. actual
52
Componente COSO-ERM: Información y comunicación
• La comunicación interna debe proveer al personal y a la organización
en relación al ERM:
- Un lenguaje común de riesgo
- La importancia y relevancia del ERM
- Los objetivos de la organización
- El apetito de riesgo y la tolerancia al riesgo de la organización
- Los roles y responsabilidades del personal y sus funciones de apoyo a la
gestión de riesgos
- Los comportamientos aceptables y no aceptables son claramente
transmitidos al personal
- Existencia de canales de comunicación internos y externos
• Los canales de comunicación externos (ejemplo: proveedores,
consumidores y reguladores) proveen información necesaria para
mejorar la calidad de productos y servicios, así como anticiparse a las
tendencias de mercado, problemas u oportunidades
Comunicación
53
Componente COSO-ERM: Información y comunicación
• Creación de Comités de atención de reclamos o de calidad
• Convenciones internas de ventas y conferencias de resultados del
negocio
• Líneas internas de denuncias anónimas y políticas de “whistleblower”
• Carteleras, publicaciones, e-mails informativos
• Independencia de funciones
• Lineamientos de interacción con la alta gerencia y junta directiva
• Interacción y definición de canales para compartir información del
Back y Front-Office
Comunicación
55
Componente COSO-ERM: Monitoreo
La eficacia de los otros
componentes del ERM se
sigue mediante:
- Actividades de
supervisión continua
- Evaluaciones separadas
El ERM es monitoreado, evaluando la presencia y funcionamientos de sus
componentes a lo largo del tiempo
56
• Se realizan normal y recurrentemente en cada
una de las actividades de la organización
• Son ejecutadas sobre la base de un esquema de
tiempo real
• Son más efectivas que las evaluaciones
separadas, lo cual hace que el monitoreo
continuo pueda identificar rápidamente cualquier
desviación
Componente COSO-ERM: Monitoreo
Actividades de supervisión continua
57
• Se enfocan directamente a la efectividad del
ERM y las actividades de supervisión continua
• El responsable de la evaluación debe entender
las actividades de la entidad y de cada
componente del ERM evaluado
• Se debe corroborar el diseño del ERM y los
resultados de las pruebas realizadas contra los
indicadores establecidos inicialmente por la
gerencia
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
58
• Autoevaluación de las
áreas de la
organización
• Evaluaciones de
auditoría interna
• Evaluaciones de
auditoría externa
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
Ger Auditoría
Interna
Riesgos
Financieros
Riesgos
Tecnológicos
Riesgos
de Fraude
Riesgos de
Manufactura
Riesgos
Seguridad
Lógica
Riesgos
Regulatorios
Riesgos de
Seguridad de
Información
Riesgos de
Reputación