1 / 28

Riesgos Apunte de referencias Parte 1 Profesor Sr Carlos Valdivieso Valenzuela

Riesgos Apunte de referencias Parte 1 Profesor Sr Carlos Valdivieso Valenzuela. Introducción. Este apunte se ha preparado para ayudar en labores académicas. La palabra riesgos ha aparecido para quedarse desde hace ya años.

cyrus-tyson
Download Presentation

Riesgos Apunte de referencias Parte 1 Profesor Sr Carlos Valdivieso Valenzuela

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Riesgos Apunte de referencias Parte 1 Profesor Sr Carlos Valdivieso Valenzuela

  2. Introducción • Este apunte se ha preparado para ayudar en labores académicas. • La palabra riesgos ha aparecido para quedarse desde hace ya años. • Se puede encontrar en: libros, documentos normativos, frameworks, etc., tanto en Chile como en el extranjero. Son muchas páginas, a veces en términos áridos, donde cuesta visualizar en términos simples los conceptos básicos. • La mayoría de las publicaciones está en inglés. • Al escribir este apunte sencillo en este tema al cual he estado ligado por unos 20 años tanto profesional como académicamente, pretendo citar definiciones y usos cuyas referencias se indican para que los alumnos tengan un marco de contexto que les facilite sus lecturas y análisis; es por tanto algo introductorio que no tiene otra ambición; de ahí que este documento se llama simplemente Apunte. Nota : La ISO 31.000 y la Guía 73 se pueden comprar en la dirección que indico • UNIDAD VENTA DE NORMAS - INN • Matías Cousiño 64 - Piso 5 - Santiago Centro - Chile • Horario de atención: Lunes a Viernes de 9:00 a 16.30 horas, horario continuado • www.inn.cl

  3. ALGUNAS DEFINICIONES • Riesgo «Efecto de la incertidumbre sobre los objetivos « • Nota 1 «Un efecto es una desviación positiva y / o negativa respecto a lo previsto» • Nota 2 «Los objetivos pueden tener diferentes aspectos ( tales como financieros, de salud y de seguridad o ambientales ) y se pueden aplicar a diferentes niveles ( tales como ,nivel estratégico, nivel de un proyecto , de un producto, de un proceso o de una organización completa». • Fuente : Guía 73 de ISO 31.000 ___________________________________________ • Comentarios • 1. Antes se asociaba riesgos sólo a pérdidas y aspectos negativos; hoy también involucra desviaciones positivas las que deben evaluarse. • Riesgos aparece asociado con los objetivos de la empresa; el orden es Misión, de ahí derivan los objetivos y de ahí los riesgos primarios, los subjetivos los riesgos secundarios, los factores de riesgos, los eventos de riesgos y las actividades de control • Sin asumir riesgos, suele no haber negocios Fuente profesor Carlos Valdivieso

  4. ALGUNAS DEFINICIONES • Gestión de riesgos « Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.» • Fuente : Guía 73 de ISO 31.000 • Proceso de gestión de riesgos “Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación , consulta, establecimiento del contexto e identificación , análisis , valoración , tratamiento , monitoreo y revisión del riesgo” • Fuente : Guía 73 de ISO 31.000 __________________________________-- • Comentarios • Concepto de proceso como una secuencia de actividades que tienen un producto , teniendo sistematización , etapas, roles, sistemas y encargados, ej. proceso de crédito hipotecario. El concepto de proceso tuvo su origen hace años en Ingeniería Química. • Gestión de riesgos debe administrarse como un proceso que tiene que estar documentado. • Fuente profesor Carlos Valdivieso

  5. ALGUNAS DEFINICIONES • Política de gestión de riesgos. "Declaración de intenciones y orientaciones globales de una organización en relación con la gestión del riesgo.» • Fuente : Guía 73 de ISO 31.000 • Comentarios • Debe estar por escrito y preferentemente aprobada por el Directorio. • Requiere sea conocida por todo el personal. • Está en la base de la Administración de la Empresa. • Fuente profesor Carlos Valdivieso

  6. ALGUNAS DEFINICIONES • Apetito de riesgo. « cantidad y tipo de riesgo que una organización está dispuesta a buscar o retener « • Fuente : Guía 73 de ISO 31.000 • Comentarios • Debe ser cuantitativo y para cada riesgo primario , ejemplo . Una Compañía de Seguros de Vida puede definir que NO tiene apetito de riesgo en tener inversiones en Renta Variable ( acciones ) y otra que sí tiene apetito con este riesgo y por tanto invierte en acciones. • Aquella que invierte acota su apetito por ejemplo hasta el 10 % de sus inversiones . • La tolerancia suele ( no siempre ) cuantificar hasta cuánto puede exceder el límite fijado; ej. hasta 12 % • Si no se cuantifica para cada riesgo, el apetito , no da luces y dificulta su control. • He ayudado a definir apetitos para todos los riesgos primarios y he visto cómo el Comité de Riesgos revisa cada cierto tiempo los apetitos reales. Esto es necesario y posible. • Fuente profesor Carlos Valdivieso

  7. ALGUNAS DEFINICIONES • Matriz de Riesgos • «Herramienta que permite clasificar y visualizar los riesgos mediante la definición de categorías de consecuencias y de su probabilidad « • Fuente : Guía 73 de ISO 31.000 • Comentarios • La definición está para entendidos, es más simple recordar lo que es una matriz, son filas y columnas, en las filas están los riesgos primarios y en las columnas los secundarios, luego se definen y se pesan. • Lo importante es que cada empresa defina sus riesgos primarios y los secundarios. • Se acompaña un ejemplo teórico de un banco; el Excel es uno que uso en clases. • Fuente profesor Carlos Valdivieso

  8. ALGUNAS DEFINICIONES • Matriz de Riesgos Va un ejercicio de matriz teórica para darse una idea de un Banco X: en la primera fila van los riesgos primarios, en las columnas los secundarios y en cada un de estos deben luego explicitarse los elementos de riesgos. La valorización requiere de una metodología que veremos en clase; por ahora son valores inventados; todo lo cual debe dar 100% Por mientras, lo importante es que se queden con una idea lo más clara posible de lo que es una Matriz de Riesgos. Para abrir el excel pongan tecla Esc y luego abran ; o sea, no lo pueden hacer con pantalla completa. Fuente : Profesor Carlos Valdivieso

  9. VEAMOS OTRA LISTA DE RIESGOS • Ejemplo la de SVS en su Norma de Carácter General 325 para Compañías de Seguros. • http://www.svs.gob.cl/normativa/ncg_325_2011.pdf • Otro ejemplo de SVS en su Norma de Carácter General 309 para Compañías de Seguros. • http://www.svs.cl/normativa/ncg_309_2011.pdf • Otro ejemplo es el Comité de Basilea para Bancos cuando tiene tres categorías de riesgos primarios :Crédito, Mercado y Operacional y este lo desglosa. • http://sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf • Veremos en clases ejercicios de cada cual en función de la empresa en que trabajan que hagan un intento inicial de su Matriz de Riesgos.

  10. ALGUNAS DEFINICIONES • Riesgo residual « Riesgo remanente después del tratamiento del riesgo» Fuente : Guía 73 de ISO 31.000 Comentarios • Es el que queda después de aplicar los controles; suele llamarse riesgo no mitigado. • Veremos en clases un modelo cuantitativo para pesar los riesgos, los procesos, los eventos de riesgos y los controles. • Como resultado, se obtiene un riesgo residual cuantitativo de cada proceso y consolidadamente de la empresa como un todo. • Ej. el riesgo residual total es 18 % • Fuente profesor Carlos Valdivieso

  11. ALGUNAS DEFINICIONES • Monitoreo « Verificación, supervisión ,observación crítica o determinación del estado con objeto de identificar de una manera continua los cambios que se pueden producir en el nivel de desempeño requerido o esperado « Fuente : Guía 73 de ISO 31.000 Comentarios • Es cada vez más indispensable hacerlo con aplicaciones informáticas. • Ej. un Banco mediano en Chile suele tener unas 5 millones de transacciones computacionales diarias. • Según consulté directamente a un conocido mío brasilero , el que tiene más en Latinoamérica es un Banco brasilero que tiene unas 100 millones de transacciones computacionales diarias. • Hacer un monitoreo eficiente, requiere y así lo usan ahí, de una aplicación informática. • Fuente profesor Carlos Valdivieso

  12. ALGUNAS DEFINICIONES • Auditoría de la gestión del riesgo • « Proceso sistemático, independiente y documentado destinado a obtener evidencias y evaluarlas objetivamente a fin de determinar el grado de adecuación y de eficacia del marco de trabajo de la gestión del riesgo « • Fuente : Guía 73 de ISO 31.000 • Comentarios • Es indispensable tener de auditor en cada proceso a alguien que lo conozca bien. • Es recomendable tener levantados los mapas de riesgo, los eventos de riesgos y los controles. • Mi experiencia es que, para un mayor alcance se recomienda el autocontrol y revisiones selectivas de auditoría sobre esos autocontroles. • Fuente profesor Carlos Valdivieso

  13. COSO 2013 Y COSO ERM 2004 Y LOS RIESGOS • Ambos son complementarios. • COSO ERM tiene mejor enfoque y amplitud para riesgos, incluyendo la respuesta a los riesgos. • COSO si bien trata los riesgos ,es mejor solución para el control interno. • Fuente profesor Carlos Valdivieso

  14. COSO ERM Y COSO • COSO ERM ( 2004 ) COSO ( 2013 )

  15. COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MARCADOS CON ROJO ) Control Environment • Demonstrates commitment to integrity and ethical values • Exercises oversight responsibility • Establishes structure, authority and responsibility • Demonstrates commitment to competence • Enforces accountability Risk Assessment • Specifies suitable objectives • Identifies and analyzes risk • Assesses fraud risk • Identifies and analyzes significant change Control Activities • Selects and develops control activities 11. Selects and develops general controls over technology • Deploys through policies and procedures Information & Communication Uses relevant information Communicates internally Communicates externally Monitoring Activities Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

  16. COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MAYOR DETALLE ) Risk Assessment 6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. 7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. 8. The organization considers the potential for fraud in assessing risks to the achievement of objectives. 9. The organization identifies and assesses changes that could significantly impact the system of internal control.

  17. PRINCIPALES CAMBIOS EN LA EVALUACIÓN DE RIESGOS RESPECTO A COSO 1992 • La identificación de los objetivos relevantes, es una precondición para la evaluación de riesgos .El orden es MISIÓN, y objetivosparacumplir la Misión . De dichosobjetivosderivan los primerosriesgos. • Establece la relación de los riesgos con las operaciones , informes y cumplimiento ( compliance) • Especifica que deben contemplarse la identificación de los riesgos, el análisis y sus respuestas . • Incluye las tolerancias al riesgo, como prerequisito. • Contempla que deben entenderse los cambios significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno. • Considera el riesgo de fraude y sus relaciones con los informes , como parte de la administración de riesgos.

  18. COSO ERM • Data del año 2004 , su definición dice: • “The Enterprise Risk Management—Integrated Framework defines enterprise risk management as a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives” Comentarios • Pone énfasis en la estrategia, la identificación de los riesgos, su administración como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos.

  19. COSO ERM Y COSO-RELACIONES • COSO ERM es fundamentalmente para Administración de riesgos, incluyendo a COSO en lo relativo a Control interno. • COSO ERM es más amplio que COSO incluye las estrategias ( parte superior del cubo ) como algo previo y a un nivel superior y su relación con los objetivos de la empresa y tiene que ver con la misión y visión de la empresa. COSO no se involucra con las estrategias. • En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa. • COSO ERM incluye una desagregación de los objetivos estratégicos para llegar a objetivos funcionales, pero relacionados con los estratégicos; COSO no lo hace. • En COSO ERM, en event identification, conviene hacer un análisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de acción. • En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar.

  20. COSO ERM Y COSO-RELACIONES • En risk response, debe tenerse con precisión como se atiende cada riesgo y esto tiene que ver con los controles; COSO es más general. • En Risk assessment, debe determinarse los riesgos y trabajar con metodologías de riesgo inherente y riesgo residual .COSO no tiene este foco detallado. • En entorno de control COSO ERM menciona el rol de los Directores independientes. • COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona. • COSO es más amplio en control de actividades y las relaciones con tecnología. • En información y comunicaciones COSO ERM tiene un enfoque más amplio y de gestión, incluyendo proyecciones. COSO es más fuerte en la calidad y precisión de la información. • En monitoreo ,COSO ERM incluye más precisión e involucra a entes externos.

  21. COSO ERM Y RISK RESPONSE ( Respuestas ) • COSO ERM agrega un elemento que es las respuestas a los riesgos. • Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qué se transfiere y lo que se mitiga. • De lo que se mitiga , para cada evento de riesgo debe haber uno o más controles, verificando su existencia y funcionamiento. • Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM. • COSO es más profundo en Control Interno y COSO ERM en administración y control de riesgos.

  22. APETITO DE RIESGO Y TOLERANCIA AL RIESGO • COSO ERM es explícito. • El apetito de riesgo debe cuantificarse por cada riesgo; ya lo vimos. • Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comité de Auditoría.

  23. RIESGOS Y UBICACIÓN DE CONTEXTO • El tema es parte del Gobierno Corporativo. • Se recomienda comprar la ISO 31.000 • Veremos y analizaremos en clase algunas diapositivas de contexto y cómo se inscribe el tema de riesgos. • Con la ISO 31.000 pueden hacer un levantamiento de cada punto, la comparación con la situación existente y los planes de acción.

  24. TRES ENTIDADES RELACIONADAS

  25. Fuente: ISO 31000 – Traducción libre al español del profesor Carlos Valdivieso Valenzuela

  26. DONDE INCIDENTES MONITOREO AUDIRE EXTENSIÓN AUTOCONTROL EN TERRENO Visión de Procesos Visión Contable ENFOQUE Fuente: Profesor Sr Valdivieso Visión de Clientes Visión de RRHH Visión de Entorno de Control

  27. Ranking IIA 2013- Analicemos en clases porqué en Latinoamérica Riesgos ocupa este lugar a diferencia del resto del mundo. Aquí hay un tema pendiente

  28. PARA COMPARTIR EXPERIENCIAS EN CLASES • La Administración de riesgos no es ni una ciencia ni una técnica que de certeza :los negocios y la naturaleza humana tienen de imprevisible; con todo, da una guía de navegación. • La cultura de la empresa en administración de riesgos es esencial, empezando desde el Directorio con sus definiciones y políticas escritas. • La parte ética ayuda y mucho. • Los incentivos económicos deben estar alineados con la administración de riesgos. • Cada Gerencia y sus unidades deben manejar y controlar sus riesgos. • El riesgo financiero incluyendo derivados, ha mostrado en la historia, grandes pérdidas; debe tenerse límites y controlarse. • La segregación de funciones entre lo comercial, lo operativo y la auditoría interna son indispensables. • Use los frameworks : COSO- COSO ERM-ISO 31.000 y otros como ayudas, pero las decisiones las toman seres humanos.

More Related