Referente Control Interno COSO-ERM

Enterprise Risk Management Administrando el Riesgo a nivel de entidad

Modelo de Control Interno COSO ERM Gestin de Riesgos Corporativos - ERM Objetivos COSO - ERM Niveles COSO ERM Elementos COSO ERM Beneficios COSO ERM

2008 Deloitte & Touche LLP and all related entities.

Modelo COSO
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseado por el Commitment of Sponsoring Organization of Treadway Commission (COSO), quin es una organizacin voluntaria del sector privado dedicada a guiar a la gerencia ejecutiva y entidades del gobierno en la estabilizacin de negocios ms efectivos, eficientes y ticos. COSO, es utilizado principalmente en la administracin de riesgos, establece controles internos que ayudan a que las compaas garanticen una generacin de informes financieros confiables. Estos controles ayudan a que las compaas cumplan las leyes y los reglamentos, tales como la Ley Sarbanes-Oxley, mientras que al mismo tiempo previenen las prdidas y consiguen objetivos de rendimiento adecuados.

2008 Deloitte & Touche LLP and all related entities.

Gestin de Riesgos Corporativos (ERM).

La Gestin de Riesgos Corporativos es un proceso efectuado por la Junta Directiva, su Direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, administrar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

* COSO (Committee of Sponsoring Organization of the Treadway Commission)

2008 Deloitte & Touche LLP and all related entities.

Gestin de Riesgos Corporativos (ERM).

La definicin refleja los siguientes conceptos fundamentales de ERM:

ERM es un proceso, permanente y que fluye a travs de la entidad Es ejecutado por personal en diferentes niveles de la organizacin Es definido en nivel estratgico Aplicado a travs de la empresa, en cada nivel y unidad, e incluye observar un panorama general a nivel entidad de los riesgos Diseado para identificar eventos potenciales que si ocurren podran afectar a la entidad y administrar el riesgo dentro de los limites de riesgo trazados por la Compaa. ERM puede proveer una seguridad razonable a la gerencia de la entidad y a la Junta Directiva Busca guiar a la Compaa al logro de los objetivos en uno o mas categoras separadas pero interrelacionadas unas con otras.
2008 Deloitte & Touche LLP and all related entities.

Gestin de Riesgos Corporativos (ERM).

La Gestin de Riesgos Corporativos (ERM) dentro una empresa o Grupo de empresas permite:
Identificar aquellos acontecimientos que puedan impactar en la organizacin impidindole alcanzar sus objetivos. Realizar una valoracin de los riesgos de la compaa y gestionar su tratamiento en funcin del riesgo aceptado en la misma. Integrar la gestin de riesgos en los procesos de planificacin estratgica de la compaa, en el control interno y en la operativa diaria de la misma. Disponer del portafolio de riesgos a nivel global de la compaa y para cada una de sus divisiones y/o funciones. Alinear la tendencia al riesgo y la estrategia. Reducir sorpresas o prdidas operativas. Identificar y manejar riesgos mltiples a travs de la entidad.
2008 Deloitte & Touche LLP and all related entities.

COSO ERM
En el marco de Gestin Integral de Riesgos desarrollado por COSO ERM, existe una relacin directa entre los OBJETIVOS (aquellos que la organizacin trata de alcanzar), los ELEMENTOS de gestin del riesgo de la compaa (representan las herramientas necesarias para el logro de dichos objetivos), as como con cada uno de los NIVELES de la organizacin. La relacin se representa con el siguiente grfico: OBJETIVOS

NIVELES DE LA ORGANIZACIN ELEMENTOS

2008 Deloitte & Touche LLP and all related entities.

COSO ERM - Objetivos

El Modelo de Gestin de Riesgos Corporativos COSO ERM est orientado a alcanzar los OBJETIVOS de la Compaa, que se clasifican en cuatro categoras:
ESTRATGICOS: referidos a metas de alto nivel, alineadas y dando soporte a la misin / visin de la organizacin. OPERATIVOS: referidos a la eficiencia y eficacia de las actividades de la organizacin, incluyendo los objetivos de rentabilidad y desempeo. INFORMACIN: referidos a la fiabilidad de la informacin suministrada por la organizacin, que incluye datos internos y externos, as como informacin financiera y no financiera. CUMPLIMIENTO: referidos al cumplimiento de las leyes y normas y leyes aplicables.

2008 Deloitte & Touche LLP and all related entities.

COSO ERM - Niveles

La Gestin de Riesgos Corporativos considera actividades a todos los NIVELES DE LA ORGANIZACIN:
- NIVEL CORPORATIVO - LNEA DE NEGOCIO / PAS - EMPRESA - UNIDAD

2008 Deloitte & Touche LLP and all related entities.

COSO ERM - Elementos

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Ambiente Interno

Estableciendo el Tono de la organizacin, para influenciar la conciencia de control de su gente: Filosofa de la gestin de riesgos Cultura de riesgos
AMBIENTE INTERNO

Integridad y valores ticos. Incentivos . Proporcionando y comunicando orientacin moral. Junta Directiva Comit de Auditora. Estilo y filosofa de administracin. Estructura organizacional. Competencia del personal responsable de la operaciones y control. Asignacin de autoridad y responsabilidad. Polticas y prcticas de recursos humanos.

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Ambiente Interno

Principales consideraciones con relacin a TI: IT se ve como una organizacin separada y por ende tiene un ambiente de control diferente La complejidad de TI tambin afecta el control interno Mayor nfasis La Tecnologa puede introducir nuevos riesgos o aumentar algunos lo cual puede requerir nuevas actividades de control Se requiere conocimiento especializado. Confianza en proveedores crticos La propiedad de los Controles de TI puede no ser clara

AMBIENTE INTERNO

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Formulacin de Objetivos

Corresponde a un proceso para definir objetivos y que estos apoyen y estn de acuerdo con la misin de la entidad y sean consistentes con su inters por los riesgos.
FORMULACION DE OBJETIVOS

Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Riesgo aceptado Tolerancia al riesgo

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Identificacin de Eventos

Eventos con impacto negativo tanto internos como externos que afectan el logro de los objetivos, distinguiendo entre riesgos y oportunidades:

Factores de influencia estratgia y objetivos

IDENTIFICACION DE EVENTOS

Acontecimientos Metodologas y tcnicas Acontecimientos independientes Categoras de Acontencimientos Riesgos y Oportunidades

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Evaluacin de Riesgosa

Incluye todas las actividades desarrolladas por la administracin relacionadas con la evaluacin y aseguramiento de los procesos y riesgos financieros. Administrando los riesgos de la organizacin: Establecimiento de metas y objetivos - Factores crticos de xito - Plan estratgico - Anlisis de competitividad

EVALUACION DEL RIESGO

Identificacin y anlisis de riesgos - Nivel entidad - Nivel de actividad - Fraude - Anlisis y cuantificacin de riesgos
2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Respuesta al riesgo

Corresponde a la seleccin ms apropiada para cubrir los riesgos evitarlos, aceptarlos, disminuirlos o compartirlos desarrollando un conjunto de acciones para alinear los riesgos con las tolerancias de riesgos de la entidad y el inters o apetito por los mismos

RESPUESTA AL RIESGO

Evaluacin de posibles respuestas (evitarlos, aceptarlos, disminuirlos o compartirlos) Seleccin de respuesta Manejo del cambio

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Respuesta al riesgo

Principales consideraciones con relacin a TI: Los riesgos de TI son penetrantes a toda la organizacin, cuentas y procesos. A nivel de compaa: Un sub-comit de planeacin de Readiness de TI el cual debera responder por el plan de implementacin de controles de TI, su seguimiento e integracin con el plan global de la organizacin. Evaluacin de los riesgos de TI A nivel de actividades de Control: Evaluacin de riesgos como parte de metodologas de desarrollo, y control de cambios en Infraestructura y operaciones.

RESPUESTA AL RIESGO

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Actividades de control

Las Actividades de Control son las polticas y los procedimientos que ayudan a asegurar que se estn llevando a cabo las directivas administrativas necesarias para manejar los riesgos. Integracin con la respuesta al riesgo Tipo de actividades de control Revisiones de alto nivel
ACTIVIDADES DE CONTROL

Funciones directas o actividades administrativas Procesamiento de informacin Controles fsicos Indicadores de desempeo Segregacin de responsabilidades Polticas y procedimientos Tecnologas de informacin
2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Actividades de control

Principales consideraciones con relacin a TI: La informacin confiable es la base de la generacin de Estados Financieros Existen dos grandes grupos de actividades de control:
ACTIVIDADES DE CONTROL

Controles generales de la computadora Controles de Aplicacin.

2008 Deloitte & Touche LLP and all related entities.

Controles de aplicacin
Son los controles embebidos en los programas para prevenir o detectar transacciones no autorizadas. Combinadas con controles manuales contribuyen al aseguramiento de la integridad, validez y registro adecuado de la informacin.

Algunos Ejemplos: Balanceo de transacciones (reconciliaciones detectando errores en la entrada de datos) Dgitos de Chequeo Listas predefinidas (Precios, Materiales, Proveedores) Limites de rangos o de valores

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Informacin y Comunicacin

Informacin y Comunicacin representa el proceso por medio del cual se asegura que la informacin relevante es identificada y comunicada de manera adecuada y oportuna. Informacin Sistemas estratgicos e integrados. Sistemas de apoyo. Integracin con las operaciones.
INFORMACION Y COMUNICACION

Tecnologas adecuadas. Calidad de la informacin. Comunicacin Interna. Externa. Medios de comunicacin.

2008 Deloitte & Touche LLP and all related entities.

COSO ERM Elementos Monitoreo

El Monitoreo es el proceso que evala la calidad del desarrollo del Control Interno en el tiempo, mediante una evaluacin continua de los controles, tomando las acciones correctivas necesarias. Monitoreo Ongoing Actividades regulares de la administracin Corroboracin de informacin (interna vs externa) Estructura organizacional apropiada Actividades de supervisin de las funciones de control Verificacin de informacin Informacin de auditores (externos e internos) Reuniones peridicas Auto control Evaluaciones Separadas Efectividad del Sistema de Control Interno Efectividad de los procedimientos ongoing Informacin de deficiencias
2008 Deloitte & Touche LLP and all related entities.

MONITOREO

Beneficios del ERM

Permite a la Direccin de la empresa poseer una visin global del riesgo y accionar los planes para su correcta gestin. Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestin. Toma de decisiones ms segura, facilitando la asignacin del capital. Alinea los objetivos del Grupo con los objetivos de las diferentes unidades de negocio, as como los riesgos asumidos y los controles puestos en accin. Permite dar soporte a las actividades de planificacin estratgica y control interno. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prcticas de Gobierno Corporativo. Fomenta que la gestin de riesgos pase a formar parte de la cultura del Grupo.

2008 Deloitte & Touche LLP and all related entities.