Mejores practicasenlagestionintegralderiesgo

838 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
838
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
52
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Mejores practicasenlagestionintegralderiesgo

  1. 1. *connectedthinkingFirma miembro deAgosto 2006*connectedthinkingGestión Integral de Riesgos:Mejores Prácticas
  2. 2. 2Lo nuevo de COSO¿Por qué surge COSO II-ERM?• Debido a la preocupación y al aumento del interésen la gestión de riesgo durante la segunda mitad delos años 90, el comité de las organizaciones quepatrocinaban la Comisión de Treadway (COSO)determinó que había una necesidad de un marcocomún de Gestión Integral de Riesgo• En el 2001 la Comisión contrató aPricewaterhouseCoopers para desarrollar un marcopara evaluar y mejorar la gestión de riesgo en lasorganizaciones• COSO - ERM se crea ampliando a COSO I para lagestión integral de riesgo pero no para sustituir elmarco de control interno• En Septiembre de 2004 se publicó el estudio ERM(Enterprise Risk Management) IntegratedFrameworkOrigen del estudio del Committee of SponsoringOrganizations of the Treadway Commission (COSO)
  3. 3. 3Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers1. Es un proceso…2. realizado por la junta directiva, lagerencia y demás personal de laentidad,…3. basado en el establecimiento deestrategias para toda la empresa, …4. diseñadas para identificar eventospotenciales que puedan afectar a laentidad, y gerenciar los riesgos dentrodel apetito de riesgo…5. para proporcionar una seguridadrazonable referente al logro de losobjetivos del negocioFuente: Enterprise Risk Management — Integrated Framework Septiembre, 2004Origen del estudio del Committee of SponsoringOrganizations of the Treadway Commission (COSO)
  4. 4. 4Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopersCOSO II - ERM: Marco de Gestión Integralde Riesgo (Enterprise Risk Management)COSO I: Control Interno - MarcoConceptual IntegradoAmbiente de ControlOperacionesReporteCumplimientoUnidadAUnidadBActividad1Actividad2Evaluación de RiesgosActividades de ControlInformación y ComunicaciónMonitoreoOrigen del estudio del Committee of SponsoringOrganizations of the Treadway Commission (COSO)
  5. 5. 5Nuevo ComponenteComponente AmpliadoComponente AmpliadoObjetivo NuevoConsidera lasactividades de todos losniveles de laorganizaciónComponentes del COSO-ERMNuevo ComponenteNuevo ComponenteComponente AmpliadoComponente AmpliadoComponente Ampliado
  6. 6. 6Ambiente de ControlComponentes de COSO-ERM
  7. 7. 7Componente COSO-ERM: Ambiente de ControlEste componente establece:• Una filosofía de gestión integral deriesgo• Nivel de riesgo que la alta gerenciaasume (Apetito de riesgo)• Rol supervisorio de la junta directiva enla gestión integral de riesgo• La integridad y los valores éticos• Una estructura de gestión integral deriesgos: Sistemas de delegación deautoridad, roles y responsabilidades ylíneas de reporte• Estándares de recursos humanos:habilidad y competencia de losempleadosEnmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.Es la base del resto de los componentes y provee disciplina y estructura.
  8. 8. 8“ERM debe proveer a nuestraorganización de capacidadessuperiores para identificar, evaluar,y gestionar en amplio espectro losriesgos en todos los niveles decargo a fin de mejorar elentendimiento y manejo de losriesgos. Para ello debe proveer:•Aceptación responsable del riesgo•Apoyo para el comité ejecutivo yjunta directiva en la creación deportafolio de riesgos•Considerar los diferentes riesgosen la toma de decisiones… “Componente COSO-ERM: Ambiente de ControlEnseñarconpalabras yaccionesFilosofía de Gestión de Riesgo - Ejemplo
  9. 9. 9Componente COSO-ERM: Ambiente de ControlCultura de Riesgo y Control• La cultura de riesgo fluye desde lafilosofía y el apetito de riesgo de laentidad• Una gestión integral de riesgo esexitosa y eficiente, cuando laorganización mantiene una cultura deriesgo positiva; esto es que toda laentidad tenga conciencia de losriesgos y cumpla con los ocho (8)componentes COSO -ERMFilosofía de Gestión de Riesgo
  10. 10. 10• Son comunicados por medio de un código formalde conducta• Establecimiento de canales de comunicación ydenuncia• Compromiso de los empleados en comunicaraquellas situaciones que se considerenincumplimiento del código de ética y conducta• Deben ser mostrados con accionesComponente COSO-ERM: Ambiente de ControlIntegridad y Valores ÉticosLa efectividad de la gestión integral de riesgo, nunca superará la integridad ylos valores éticos de las personas que crean, administran y monitorean lasactividades de la entidad
  11. 11. 11Componente COSO-ERM: Ambiente de ControlIntegridad y Valores ÉticosEstructura del Código de ConductaSecciones del Código- Visión, misión y objetivos- Manifiesto de la Presidencia Ejecutiva exhortando alcumplimiento del Código- Declaración de los valores éticos de la organización- Las responsabilidades individuales yorganizacionales- Lineamientos éticos y medidas disciplinarias- Guía o canales para resolver las cuestiones éticas- Glosario de términosEjemplo
  12. 12. 12Componente COSO-ERM: Ambiente de ControlIntegridad y Valores Éticos EjemploCanales de denunciaOpción 1Identificación del denuncianteOpción 2Anonimato ParcialCanales abiertos decomunicaciónIdentificación de laidentidad de la personaque denuncieirregularidadesEsta es una de lasopciones más utilizada.Cuenta con canales decomunicación bajo elcontrol de unidades degestión de ética yconductaSe conoce al denunciantepero no se divulga suidentidadCuenta con canales decomunicaciónconfidenciales paraconservar el anonimatoConservación delanonimato absoluto de laidentidad de la personaque denuncieirregularidadesOpción 3Anonimato TotalFax, buzón de voz, números telefónicos directos y correo electrónico
  13. 13. 13• Facilita la efectividad de gestiónintegral de riesgo• Define áreas clave deresponsabilidad• Establece líneas de reporteComponente COSO-ERM: Ambiente de ControlEstructura organizacionalEstá diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad
  14. 14. 14Existen diferentes alternativas de estructura organizacional, donde losroles y responsabilidades, así como las líneas de reporte puedenpresentar debilidades y fortalezas diferentesComponente COSO-ERM: Ambiente de ControlEstructura organizacional• Opción A: Lidera la gestión de riesgo: existe una unidad de gestión deriesgo que coordina todas las actividades en la organización, reporta alcomité de riesgo. Auditoría interna es responsable por la evaluación dela efectividad de los procesos, prueba los controles clave establecidospara la repuesta al riesgoEjemploCEOGrupo de alta gerenciaUnidades deNegocioAuditoríaInternaAuditor InternoSeniorJunta DirectivaCFO CTO Legal CIOPCNSeguroSeguridad deInformaciónFraudeAseguramientoGerenciaIntegral deriesgoComité deriesgoComité deauditoría• Opción A:
  15. 15. 15Existen diferentes alternativas de estructura organizacional, donde losroles y responsabilidades, así como las líneas de reporte puedenpresentar debilidades y fortalezas diferentesComponente COSO-ERM: Ambiente de ControlEstructura organizacional• Opción B: Lidera la gestión de riesgo y aseguramiento: existe unaunidad de gestión de riesgo que es reponsable de los riesgos y elaseguramiento del cumplimiento de las actividades de la gestión deriesgoEjemplo• Opción B:Unidades deNegocio AuditoríaInternaComité de AuditoríaAuditor InternoSeniorPCNSeguroSeguridad deInformaciónFraudeAseguramientoCEOGrupo de alta gerenciaJunta DirectivaCFO CTO Legal CIOComité deRiesgoGerenciaIntegral deriesgo
  16. 16. 16Existen diferentes alternativas de estructura organizacional, donde losroles y responsabilidades, así como las líneas de reporte puedenpresentar debilidades y fortalezas diferentesComponente COSO-ERM: Ambiente de ControlEstructura organizacional• Opción C: Las funciones de la gerencia de riesgo son lideradas porauditoría internaEjemplo• Opción C:Auditoría Interna yGerencia de RiesgoComité deAuditoría y RiesgoAuditor InternoSenior/ CROSeguroSeguridad deInformaciónFraudeCEOGrupo de alta gerenciaJunta DirectivaCFO CTO Legal CIOUnidades de NegocioPCNAseguramiento
  17. 17. 17Existen diferentes alternativas de estructura organizacional, donde losroles y responsabilidades, así como las líneas de reporte puedenpresentar debilidades y fortalezas diferentesComponente COSO-ERM: Ambiente de ControlEstructura organizacional• Opción D: Estructura descentralizada, donde no existe una unidadespecífica de riesgo sino que cada unidad de negocio es responsablede la gestión de riesgo CEOGrupo de alta gerenciaUnidades deNegocioAuditoríaInternalComité de AuditoríaAuditor InternoSeniorJunta DirectivaCFO CTO Legal CIOPCNSeguroSeguridad deInformaciónFraudeAseguramientoEjemplo• Opción D:
  18. 18. 18Componente COSO-ERM: Ambiente de ControlROLES Y FUNCIONES DE LA GESTIÓN DE RIESGOJunta Directiva• Velar y supervisar la adecuada administración y control de los riesgos• Tomar decisiones sobre las pérdidas financieras por reducción del patrimonio que laorganización pueda sufrir a causa de la materialización de los riesgosPresidencia• Delegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de laorganización• Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturalesestén establecidos para administrar todos los riesgosComité de Riesgo• Designar al responsable de la Unidad de Administración Integral de Riesgo.• Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad deAdministración Integral de Riesgo con respecto a la gestión de riesgos• Aprobar la metodología diseñada por la Unidad de Administración Integral de Riesgopara identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos porla organizaciónAsignación de autoridad y responsabilidadesGerencia de Riesgo• Garantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la Institución• Aprobar los planes de acción resultantes de la identificación, evaluación y medición de losriesgos y las acciones mitigantes• Establecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayoruso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyoCoordinadores de Riesgo por Unidad de Negocio• Administrar los riesgos• Participar activamente en las auto-evaluaciones del riesgo integral en su área.• Realizar seguimiento de los indicadores de riesgo.• Seguir y reportar las pérdidas por materialización de los riesgosAuditoría Interna• Supervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integral• Revisar el marco general de la gestión del riesgo integralEjemplo
  19. 19. 19• Establecen las normas de orientación, adiestramiento, evaluación,promoción, compensación, y acciones de remediación, manejoesperado de niveles de integridad, comportamiento ético ycompetencia• Envían mensajes de acciones disciplinarias ante violaciones decomportamiento esperado que no pueden ser toleradas• La capacidad del personal de la organización refleja el conocimiento ylas habilidades necesitados para realizar las tareas asignadas• Permite a la gerencia alinear los costos-beneficiosComponente COSO-ERM: Ambiente de ControlNormas de recursos humanos, habilidades y competencias
  20. 20. 20Establecimiento de ObjetivosComponentes de COSO-ERM
  21. 21. 21Componente COSO-ERM: Establecimiento de Objetivos• La gestión integral de riesgo seasegura que la gerencia cuente conun proceso para definir objetivosque estén alineados con la misión yvisión, con el apetito de riesgo yniveles de tolerancia• Los objetivos se clasifican encuatro categorías:• Estratégicos• Operacionales• Reporte o presentación deresultados• CumplimientoDentro del marco de la definición de la misión y visión, la gerenciaestablece las estrategias y objetivos
  22. 22. Apetito de Riesgo• Es una guía en elestablecimiento de laestrategia• La gerencia lo expresa comoun balance entre:crecimiento, riesgo y retorno.• Dirige la asignación derecursos• Alinea la organización,personal, procesos einfraestructuraComponente COSO-ERM: Establecimiento de ObjetivosProbabilidadImpactoBajo Medio AltoBajoMedioAltoExcediendoel Apetito deRiesgoDentro delApetito deRiesgoEs el máximo nivel de riesgo que los accionistas estándispuestos a aceptar
  23. 23. 23Tolerancia al Riesgo• La tolerancia alriesgo se puedemedirpreferiblementeen las mismasunidades que losobjetivosrelacionadosMeta FijadaTiempoEstrategia de negocioLímite detoleranciaDesempeñoRealVariaciónInaceptableLímite detoleranciaVariaciónInaceptableComponente COSO-ERM: Establecimiento de ObjetivosSon los niveles aceptables de variación de las metas fijadas
  24. 24. 24Tolerancia al Riesgo20% TDC en relacióncon la cartera totalTiempoEstrategia de negocioLímite detoleranciaDesempeñoReal18%Límite detolerancia22%Componente COSO-ERM: Establecimiento de ObjetivosColocación de tarjeta de créditoEjemplo
  25. 25. 25Identificación de EventosComponentes de COSO-ERM
  26. 26. 26Componente COSO-ERM: Identificación de Eventos• La gerencia reconoce que laincertidumbre existe, lo cual setraduce en no poder conocer conexactitud cuándo y dónde unevento pudiera ocurrir, así comotampoco sus consecuenciasfinancieras• En este componente se identificanlos eventos con impacto negativo(riesgos) y con impacto positivo(oportunidades)Se identifican eventos potenciales que si ocurren pueden afectar a la entidad.Base para los componentes: evaluación de riesgos y respuesta al riesgo
  27. 27. 27Componente COSO-ERM: Identificación de EventosEvento: Devaluación cambiariaImpacto positivo – impacto negativoEjemploRiesgo:Oportunidad:Deuda ExternaInversión en moneda extranjeraEvento: Aumento de precios afectando los productos de 1000 grsDisminución de las ventasVentas de productos de 250 grsRiesgo:Oportunidad:
  28. 28. 28• La gerencia identifica los eventos potenciales que afectan la puesta enpráctica de la estrategia o el logro de los objetivos, pudiendo tenerimpactos positivos o negativos• Incluso los eventos con baja posibilidad de ocurrencia se consideransi el impacto en un objetivo es alto• Los eventos se identifican en todos los niveles de la organizaciónComponente COSO-ERM: Identificación de EventosEventos• La gerencia reconoce la importancia de entender los factores internosy externos y el tipo de eventos que pueden generarFactores Influyentes
  29. 29. 29Factores ExternosEconómicos Ambiente Natural Políticos• Contaminación• Energía• Desastres naturalesTendencias tecnológicas• E-business, E-commerce• Tecnologías emergentes• Interrupciones• Cambios gubernamentales• Legislación• RegulacionesComponente COSO-ERM: Identificación de Eventos• Disponibilidad de capital• Incumplimiento de créditos• Seguros• Incumplimiento• Concentración• Liquidez• Financiamiento• Flujo de caja• Mercado• Precios• Desempleo• HuelgasEjemplo
  30. 30. 30Factores InternosInfraestructuraPersonal ProcesoTecnologíaComponente COSO-ERM: Identificación de Eventos• Diseño• Ejecución• Proveedor /dependencias• Competencia del personal• Salud e higiene• Ética e integridad• Disponibilidad de activos• Capacidad de activos• Acceso a capital• Datos• Mantenimiento• Distribución• Confidencialidad• Integridad• Disponibilidad• Capacidad• Sistemas• Selección• Desarrollo• Implantación• Desempeño yrendimiento• DisponibilidadEjemplo
  31. 31. 31EconómicosMedio AmbientePolíticosPersonalProcesosInfraestructuraObjetivomantenermargen 10%Componente COSO-ERM: Identificación de EventosEjemploNuevos competidoresLluviasControl decomisionesNuevos canalesLentitud respuestaExpira contratocolectivoAumentaeleccióndelclienteAumentademandaBajamargen
  32. 32. 32Evaluación de RiesgoComponentes de COSO-ERM
  33. 33. 33Componente COSO-ERM: Evaluación de Riesgo• Determina riesgos a partir de dosperspectivas: Probabilidad eImpacto• Entre las técnicas se utilizadeterminar riesgos y normalmentetambién se utiliza medir losobjetivos relacionados• En la evaluación de riesgos, lagerencia considera eventosprevistos e inesperados• Los riesgos inherentes y residualesson evaluadosPermite que una entidad entienda el grado en el cual los eventos potencialespudieran afectar los objetivos del negocio
  34. 34. 34Componente COSO-ERM: Evaluación de RiesgoEs el riesgo en una organización en ausencia de acciones que podríanalterar el impacto o la frecuencia de ocurrencia de ese riesgoEs el riesgo que resulta después que la gerencia ha implantadoefectivamente acciones para mitigar el riesgo inherenteRiesgo InherenteRiesgo Residual
  35. 35. 35Componente COSO-ERM: Evaluación de Riesgo• Los acontecimientos potenciales se evalúan a partir de dosperspectivas: probabilidad e impacto• En la determinación de impacto, la gerencia utiliza normalmente unamedida igual, o congruente según lo utilizado para el establecimientodel objetivo• El horizonte del tiempo usado para determinar riesgos debe serconstante con el horizonte del tiempo de la estrategia y de losobjetivosEstimar probabilidad e impacto
  36. 36. 36• Técnicas Cualitativas- Impacto Vs. Probabilidad• Técnicas Semi-cuantitativa- Se usa un análisis cualitativo asignandovalores monetarios al riesgo• Técnicas Cuantitativas- Técnicas Probabilísticas• Valor en Riesgo VaR• Riesgo de Flujo de Caja• Distribuciones de pérdidas• Back-testing- Técnicas no probabilísticas• Análisis de sensibilidad• Análisis de escenarios• BenchmarkingComponente COSO-ERM: Evaluación de RiesgoTécnicas de evaluación
  37. 37. 37Componente COSO-ERM: Evaluación de Riesgo• Autoevaluación: Es el proceso en el cual las unidades funcionales dela organización, de forma subjetiva, identifican los riesgos inherentesa sus actividades, evalúan el nivel de control existente y determinanlos puntos de mejora que se deben realizar• Talleres Grupales (Workshops)• Cuestionarios• Como resultado de la aplicación de cualquiera de esta técnicas seobtiene el catálogo de riesgos, ponderando la probabilidad deocurrencia e impacto en los objetivos del negocioTécnicas de evaluación: CualitativasAltamente probablePosiblemente probableRemotamente probableAltoMedioBajoProbabilidad de ocurrencia Impacto
  38. 38. 38Riesgos Probabilidad Impacto1 Multas por violaciones a las normas2 Deterioro de imagen3 Devaluación de la moneda mayor al 15%4 Huelgas que afectan la respuestas a clientes5 Morosidad de la cartera6 Falla en la integridad de la información7Alta concentración (colocaciones en pocosclientes)8 Bajo retorno de la inversiónComponente COSO-ERM: Evaluación de RiesgoTécnicas de evaluación Ejemplo
  39. 39. 39Distribución de riesgos de forma representativa, de acuerdocon el nivel de exposiciónImpactoPatrimonialImpactoPatrimonialProbabilidad de ocurrenciaProbabilidad de ocurrenciaDevaluación de lamoneda mayor al15%Falla en la integridadde la informaciónDeterioro de imagenMultas violacionesambientales ysanitariasMorosidad de lacarteraHuelgas que afectanlas respuestas aclientesComponente COSO-ERM: Evaluación de RiesgoTécnicas de evaluaciónEjemplo
  40. 40. 40Respuesta al riesgoComponentes de COSO-ERM
  41. 41. 41Las respuestas deben ser evaluadas en función de alcanzar el riesgoresidual alineado con los niveles de tolerancia al riesgo y pueden estarenmarcadas en las siguientes categorías:Componente COSO-ERM: Respuesta al riesgoEvaluar posibles respuestasMitigar el RiesgoCompartir el Riesgo
  42. 42. 42Aceptar el Riesgo• Auto-asegurarse (Self-insuring)contra pérdidas• Aceptar los riesgos de acuerdo alos niveles de tolerancia de riesgoCompartir el Riesgo• Compra de seguros contra pérdidasinesperadas significativas• Contratación de outsourcing paraprocesos del negocio• Compartir el riesgo con acuerdossindicales o contractuales conclientes, proveedores u otros sociosde negocioMitigar el Riesgo• Fortalecimiento del control internoen los procesos del negocio• Diversificación de productos• Establecimiento de límites a lasoperaciones y monitoreo• Reasignación de capital entreunidades operativasEvitar el Riesgo• Reducir la expansión de una líneade productos a nuevos mercados• Vender una división, unidad denegocio o segmento geográficoaltamente riesgoso• Dejar de producir un producto oservicio altamente riesgosoComponente COSO-ERM: Respuesta al riesgoEvaluar posibles respuestas Ejemplo
  43. 43. 43• Los costos de diseñar e implantar una respuesta deben serconsiderados, así como los costos de mantenerla• Los costos y los beneficios de la implantación de las respuestas alriesgo pueden ser medidos cualitativa o cuantitativamente, típicamentela unidad de medición es consistente con la utilizada en elestablecimiento de los objetivos y tolerancia al riesgo• La gerencia debe considerar los riesgos adicionales que pueden resultarde una respuesta, así como también las posibles oportunidadesComponente COSO-ERM: Respuesta al riesgoEvaluar los costos versus beneficios de las respuestas
  44. 44. 44Actividades de ControlComponentes de COSO-ERM
  45. 45. 45Componente COSO-ERM: Actividades de ControlPolíticas y procedimientos que ayudan a la gerencia a asegurar que lasrespuestas a los riesgos son ejecutadas, de forma apropiada y oportuna• Están presentes en todos losniveles y áreas funcionales de laorganización para lograr losobjetivos del negocio• Incluye un rango de actividades,tales como:- Aprobaciones- Autorizaciones- Verificaciones- Conciliaciones- Seguridad de los activos- Desempeño de las operaciones- Segregación de funciones
  46. 46. 46Componente COSO-ERM: Actividades de ControlPolíticas y procedimientos• Las actividades de control usualmente involucran el establecimientode una política (lo que debe ser hecho) y los procedimientos paraejecutar la política• Cuando las políticas están formalmente documentadas pueden serimplementadas amplia, consciente y consistentemente en toda laorganización• Si se identifican desviaciones en el cumplimiento de las políticas yprocedimientos deben ser investigadas y tomar las accionescorrectivas
  47. 47. 47La selección de las actividades de control incluye:• Considerar su relevancia y lo adecuado para responder ante el riesgo• Cómo se interrelacionan con otras actividades de control y con losobjetivos de la entidadComponente COSO-ERM: Actividades de ControlIntegración con las respuestas al riesgoRespuesta: Reducir el riesgo mediante el análisis delcomportamiento histórico de los clientes y realizar investigacionesde mercadoObjetivo: Conocer el cliente objetivo (target) de ventas de un nuevoproductoRiesgo: Carencia de suficiente conocimiento de factores externos,tales como necesidades potenciales de los clientesActividad de control: Monitorear el comportamiento de los clientesmediante reportes mensuales y la validación de la data existenteEjemplo
  48. 48. 48Diferentes tipos de controles:Componente COSO-ERM: Actividades de ControlTipo de Actividades de ControlDiseñados para detectar de forma rápida riesgos,errores o incidentesControlesdetectivosDiseñados para evitar riesgos, errores o incidentesantes de su ocurrenciaControlespreventivosDiseñados para remediar o reducir daños comoconsecuencia de riesgos, errores o incidentesocurridosControlescorrectivos
  49. 49. 49Información y comunicaciónComponentes de COSO-ERM
  50. 50. 50Componente COSO-ERM: Información y comunicación• Los sistemas de informacióndeben apoyar la toma dedecisiones y la gestión de riesgo(ERM)• La gerencia debe enviar unmensaje al personal resaltandosu responsabilidad ante el ERM• El personal debe entender su rolen el ERM así como sucontribución individual enrelación con el trabajo de otrosLa información relevante, debe ser identificada, capturada, procesada ycomunicada en la oportunidad y forma adecuada
  51. 51. 51• Estrategia y sistemas integrados• Integración con las operaciones• Profundidad y puntualidad de la información• Calidad de la información• Se puede obtener de fuentes internas y externasComponente COSO-ERM: Información y comunicaciónInformaciónUso de Sistemas Integrados SAP, Peoplesoft, JD Edwards.Disponibilidad de consultas vía Intranet o InternetEjemploRevisión de información histórica vs. actual
  52. 52. 52Componente COSO-ERM: Información y comunicación• La comunicación interna debe proveer al personal y a la organizaciónen relación al ERM:- Un lenguaje común de riesgo- La importancia y relevancia del ERM- Los objetivos de la organización- El apetito de riesgo y la tolerancia al riesgo de la organización- Los roles y responsabilidades del personal y sus funciones de apoyo a lagestión de riesgos- Los comportamientos aceptables y no aceptables son claramentetransmitidos al personal- Existencia de canales de comunicación internos y externos• Los canales de comunicación externos (ejemplo: proveedores,consumidores y reguladores) proveen información necesaria paramejorar la calidad de productos y servicios, así como anticiparse alas tendencias de mercado, problemas u oportunidadesComunicación
  53. 53. 53Componente COSO-ERM: Información y comunicación• Creación de Comités de atención de reclamos o de calidad• Convenciones internas de ventas y conferencias de resultados del negocio• Líneas internas de denuncias anónimas y políticas de “whistleblower”• Carteleras, publicaciones, e-mails informativos• Independencia de funciones• Lineamientos de interacción con la alta gerencia y junta directiva• Interacción y definición de canales para compartir información del Back y Front-OfficeComunicaciónEjemplo
  54. 54. 54MonitoreoComponentes de COSO-ERM
  55. 55. 55Componente COSO-ERM: MonitoreoLa eficacia de los otroscomponentes del ERM sesigue mediante:- Actividades desupervisión continua- Evaluaciones separadasEl ERM es monitoreado, evaluando la presencia y funcionamientos de suscomponentes a lo largo del tiempo
  56. 56. 56• Se realizan normal y recurrentemente en cadauna de las actividades de la organización• Son ejecutadas sobre la base de un esquema detiempo real• Son más efectivas que las evaluacionesseparadas, lo cual hace que el monitoreocontinuo pueda identificar rápidamente cualquierdesviaciónComponente COSO-ERM: MonitoreoActividades de supervisión continua
  57. 57. 57• Se enfocan directamente a la efectividad delERM y las actividades de supervisión continua• El responsable de la evaluación debe entenderlas actividades de la entidad y de cadacomponente del ERM evaluado• Se debe corroborar el diseño del ERM y losresultados de las pruebas realizadas contra losindicadores establecidos inicialmente por lagerenciaComponente COSO-ERM: MonitoreoEvaluaciones separadas
  58. 58. 58• Autoevaluación de lasáreas de laorganización• Evaluaciones deauditoría interna• Evaluaciones deauditoría externaComponente COSO-ERM: MonitoreoEvaluaciones separadasGerAuditoríaInternaRiesgosFinancierosRiesgosTecnológicosRiesgosde FraudeRiesgos deManufacturaRiesgosSeguridadLógicaRiesgosRegulatoriosRiesgos deSeguridad deInformaciónRiesgos deReputaciónEjemplo
  59. 59. © 2006. “PricewaterhouseCoopers”. Todos los derechos reservados.Su mundoSu mundo Nuestra gente*Nuestra gente*

×