AUDITORIA INTERNA UNA ALTERNATIVA PARA GENERAR NEGOCIOS

Amory Gonzlez DFK Guatemala

Conferencia Latinoamericana DFK Panam, Septiembre 2011

 La auditora interna es una disciplina con orientacin gerencial que ha evolucionado rpidamente. Anteriormente era una funcin concerniente principalmente a asuntos financieros y contables, ahora la auditora interna abarca el rango completo de actividades operativas y lleva a cabo una amplia variedad de servicios de aseguramiento y consulta

El desarrollo de la auditora interna fue fomentado por: El creciente tamao y descentralizacin de las organizaciones. La gran complejidad y sofisticacin tecnolgica de sus operaciones. La necesidad de contar con medios independientes y objetivos de evaluar y mejorar sus procesos de administracin de riesgo, control, y gobierno.

 Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos, aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgo, control y gobierno.

Antecedentes - COSO

Antecedentes y acontecimientos que condujeron a COSO:

1973 1976 1977 1973 1976 1979 1979 1980 19801985

Watergate Foreing Corrupt Practices Act, de 1977 La Comision Cohen Securities and Exchange Commission (SEC) Comit de Minahan Financial Executives Research Foundation (FERF) AICPA (Desarrollo y Perfeccionamiento)

COMMITTE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION

Qu significa COSO ?
Son las siglas en Ingls de la Comisin creada en 1985, con el objetivo principal de identificar los factores causantes de informacin financiera fraudulenta y emitir recomendaciones para reducir su incidencia; tambin conocida como The National Commission on Fraudulent Financial Reporting.

1985 Se crea La Comisin Treadway con el patrocinio de: 1987 La comisin Treadway publica un informe en el que pidi que las organizaciones patrocinadoras trabajaran juntas con el fin de integrar los diversos conceptos y definiciones relacionadas con el Control Interno y desarrollar una base comn de referencia. 1988 La redaccin del informe fue encomendad a Coopers & Lybrand. 1992 La comisin emite el documento denominado Framework Internal Control Integrated (Marco Integral de Control Interno), el cual desarrolla con mayor amplitud el enfoque moderno de Control Interno en el documento conocido como el Informe COSO.

American Institute of Certified Public Accountants

American Accounting Association

Financial Executive Institute

The Institute Of Internal Auditors

Institute Of Management Accountants

CONTROL INTERNO (Definicin):

Es un proceso efectuado por el consejo de administracin, la direccin y el resto del personal persona de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos, dentro de las siguientes categoras: Eficacia y eficiencia de las operaciones, fiabilidad de la informacin financiera y cumplimiento de las leyes y normas aplicables.

PARTES DEL NUEVO CONCEPTO DE CONTROL INTERNO:

Antecedentes ERM
Debido al aumento de preocupaciones por la administracin de riesgos, The Committe of Sponsoring Organizations of the Treadway Commission determina la necesidad de la existencia de un marco reconocido de administracin integral de riesgos. En enero de 2001 inici el proyecto, con el objetivo de desarrollar un marco global para evaluar y mejorar el proceso de administracin de riegos, reconociendo que muchas organizaciones estn comprometidas en algunos aspectos de la administracin de riesgo. En septiembre de 2004 se publica el informe denominado Enterprise Risk Management Integrated Framework, (Administracin de Riesgo Corporativo Marco Integrado), el cual incluye el marco global para la administracin integral de riesgos (este marco incluye el Control Interno, por lo que en ningn caso lo reemplaza).

ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIN DE EVENTOS EVALUACIN D E R IESGO R ESPUESTA AL R IESGO AC TIVIDA DES DE C ONTROL INFORMACIN Y COMUNICACIN MONITOREO

Una premisa implcita en ERM es que cada entidad existe para generar valor para sus grupos de inters. Impide la creacin del valor o erosiona el valor existente Maximizar Valor + Stakeholders Refuerzan la creacin de valor o su conservacin

Estrategia

Factores Externos

Negocio

Factores Internos

Incertidumbre

Eventos

Riesgo Impacto negativo s/objetivos

Oportunidad Impacto positivo s/ objetivos

EVENTOS - RIESGOS Y OPORTUNIDADES

Qu es un evento?
Incidente o acontecimiento, derivado de fuentes internas o externas, que afectan a la implantacin de la estrategia o la consecucin de objetivos. Puede tener un impacto positivo, negativo o de ambos tipos a la vez.
Factores Externos

Eventos

Factores Internos

Riesgo: Impacto negativo s/objetivo s/objetivo

+
Oportunidad impacto positivo s/objetivo s/objetivo

Los eventos abarcan desde lo obvio a lo desconocido, desde lo inconsecuente a lo muy significativo.

.Valor
Las decisiones de la direccin en todas sus actividades, desde el establecimiento de la estrategia hasta las operaciones cotidianas de la empresa, concluyen en: Crear valor Conservar valor Erosionar valor El valor se maximiza cuando la direccin establece una estrategia y objetivos que consiguen equilibrio ptimo entre las metas de crecimiento, rentabilidad y los riesgos asociados, y utiliza eficiente y efectivamente los recursos a fin de alcanzar los objetivos de la entidad.

ERM - Definicin
La Administracin de Riesgo Corporativo es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicado en la definicin de la estrategia y en toda la entidad, diseado para identificar eventos potenciales que puedan afectar a la organizacin y administrar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable sobre la consecucin de los objetivos de la entidad.
Administracion de Riesgo Corporativo Marco Integrado

Diciembre 2005.

Un proceso: No es esttica, sino mas bien un intercambio continuo de acciones que fluyen por toda la entidad. Acciones que se difunden y estn implcitas en la forma como la direccin lleva el negocio. Realizado por personas: Son las personas de la organizacin, mediante lo que hacen y dicen quienes la hacen realidad. Las personas establecen la misin, estrategia y objetivos de la entidad. Aplicado al establecimiento de la estrategia: Se aplica durante el proceso del establecimiento de la estrategia en el que la administracin contempla los riesgos relacionados con las estrategias alternativas. Aplicado en toda la empresa: Debe considerar toda la gama de sus actividades en los diferentes niveles de la organizacin

Riesgo Aceptado (Risk Appetite): Es el volumen de riesgo, a un nivel amplio que una entidad esta dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de la administracin del riesgo de la entidad e influye en su cultura y estilo operativo. Proporciona seguridad razonable: Refleja la idea de que la incertidumbre y el riesgo estn relacionados con el futuro, que nadie puede predecir con precisin y no implica que ERM fracase con mucha frecuencia. Consecucin de objetivos: Dentro del contexto de la misin establecida la direccin fija objetivos estratgicos, operativos, de reporte y cumplimiento.

Caractersticas de un Equipo de Alto Desempeo

La razn para Cooperar

Las Herramientas para la Cooperacin

Objetivo Comn

6
Excelente Comunicacin

La Estrategia para Cooperar

Roles apropiados

El Efecto secundario El Clima para la cooperacin

5
Relaciones Slidas

3
Liderazgo 3 Aceptado

4
El Proceso para la Cooperacin
Planes y Mtodos Efectivos

La Estructura para Cooperar

Cmo funcionamos en nuestra organizacin?

Disposicin para cooperar Habilidad para cooperar

Objetivos de alto nivel, alineado con la misin de la entidad.

Relativos al uso efectivo y eficiente de los recursos.

Relativos a la confiabilidad de los informes de la entidad.

CONSECUCION DE OBJETIVOS

El marco integrado de ERM establece 4 categoras de objetivos de una entidad:

Relativos al cumplimiento por la entidad de las leyes y regulaciones .

Componentes de la Administracin de Riesgo Corporativo.

ERM consta de 8 componentes interrelacionados, derivados de la manera como la direccin lleva el negocio, que se integran en el proceso de administracin, as:

Actividades primarias de la gestin de riesgo

Direccin y Soporte

Componentes de la Administracin de Riesgo Corporativo.

Ambiente Interno: Interno:
Filosofia de la administracin de riesgo - Cultura de Riesgo Consejo de Administracin/Direccin - Integridad y valores ticos Compromiso de Competencia - Estructura Organizacional Asignacin de Autoridad y Responsabilidad - Polticas de Recursos Humanos.

Establecimiento de Objetivos: Objetivos:

Definicin de Objetivos -Objetivos Estratgicos Objetivos Relacionados - Objetivos Seleccionados Reisgo Aceptado - Tolerancia al Riesgo

Identificacion de Eventos: Eventos:

Eventos - Factores de Influencia - Tcnicas de Identificacin de Eventos, - Eventos Interdependientes - Categora de Eventos Distincin entre riesgos y oportunidades

Evaluacion de Riesgos: Riesgos:

Riesgo inherente y residual - Establecimiento de Probabilidad e impacto - Fuentes de datos - Tcnicas de evaluacin Correlacin entre eventos

Evaluacin de Posibles Respuestas al Riesgo Selecin de Respuestas Perspectiva de Portafolio

Actividades de Control:
Integracin de la respuesta al riesgo Tipos de Actividades de Control - Polticas y procedimientos Controles sobre los sistemas de informacin Controles especficos de la entidad

Informacin y comunicacin
Informacin y comunicacin Calidad de la informacin Comunicacin interna y externa Medios de Comunicacin

Monitoreo: Monitoreo:
Actividades permanentes de monitoreo Evaluaciones independientes Comunicacin de deficiencias

Componentes de la Administracin de Riesgo Corporativo.

Respuesta al Riesgo: Riesgo:

Relacin entre Objetivos y componentes

ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIN DE EVENTOS EVA LUAC IN D E R IESGO R ESPU ESTA A L R IESGO AC TIV IDA D ES D E C ONTROL INFORMACIN Y COMUNICACIN M ONITOR EO

EFECTIVIDAD
Cuando se determina que ERM es efectiva, el Consejo de Administracin y la Direccin tendrn seguridad razonable de que conocen:
El grado de consecucin de los objetivos estratgicos de la entidad. El grado de consecucin de los objetivos operativos de la entidad. Que el reporte de la entidad es confiable. Que se cumplen las leyes y regulaciones aplicables.

LIMITACIONES DE ERM
ERM, sin importar su alto grado de diseo y ejecucin, slo proporciona una seguridad razonable a la Direccin y al Consejo de Administracin, respecto a la consecucin de objetivos de la entidad. Su eficacia est afectada por las limitaciones inherentes a cualquier proceso de administracin. Necesidad de considerar los costos y beneficios relativos a las respuestas a los riesgos.

LIMITACIONES DE ERM

Juicio humano errneo durante la toma de decisiones. Que puedan eludirse los controles mediante colusin de dos o ms personas. Que la direccin pueda hacer caso omiso a las decisiones relacionadas con la administracin de riesgo corporativo.

E.R.M.
ROLES Y RESPONSABILIDADES
Todo el personal de responsabilidad en la corporativos. una entidad tiene alguna administracin de riesgos

El Chief Executive Officer -CEO- es responsable en ltimo lugar y debera asumir su responsabilidad. El Consejo de Administracin, la Direccin, los directores financieros y de riesgo, los auditores internos y, de hecho, toda persona de la entidad, contribuyen a una administracin efectiva de riesgos corporativos.

E.R.M.
ROLES Y RESPONSABILIDADES DE AUDITORIA INTERNA:
Los auditores internos juegan un rol clave en la evaluacin de la efectividad de ERM y recomiendan mejoras sobre el proceso. Las normas del Institute of Internal Auditors establecen que el alcance de la Auditora Interna debera abarcar la gestin del riesgo y los sistema de control, lo que incluye la evaluacin de la confiabilidad de los reportes, la efectividad y eficiencia de las operaciones y el cumplimiento de leyes y regulaciones aplicables. No es su responsabilidad primaria establecer y mantener el proceso de administracin del riesgo. Asisten a la Gerencia y al Comit de Auditora a monitorear, examinar y evaluar el proceso, manteniendo su objetividad.

E.R.M. - ROLES Y RESPONSABILIDADES DE AUDITORIA

INTERNA:

Roles que Auditora Interna No debe Realizar 1. 2. 3. Establecer el Apetito de Riesgo. Imponer procesos de gestin de Riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar la respuesta a riesgos a favor de la administracin. Responsabilidad de la gestin.

4.

5.

6.

Roles Legtimos de Auditora Interna realizados con Salvaguarda 1. Facilitacin, identificacin y evaluacin de riesgos. 2. Entrenamiento a la gerencia sobre respuesta a riesgos. 3. Coordinacin de actividades de ERM. 4. Consolidacin de reportes sobre riesgos. 5. Mantenimiento y desarrollo del marco de ERM. 6. Defender el establecimiento del ERM. 7. Desarrollo de estrategias de gestin de riesgo para aprobacin de la JD.

Roles Principales de la Auditoria Interna respecto a ERM

1. 2.

3.

4.

5.

Revisin del manejo de los riesgos claves. Evaluacin de reportes de riesgos claves. Evaluacin de los procesos de gestin de riesgo. Brindar aseguramiento de que los riesgos son correctamente evaluados. Brindar aseguramiento sobre procesos de gestin de riesgo.

E.R.M.

ROLES Y RESPONSABILIDADES:

Consejo de Administracin
El Consejo forma parte del componente de Ambiente Interno de ERM y debe de tener la composicin y enfoque necesario para conseguir que sta sea efectiva. El Consejo facilita el monitoreo cuando: Sabe hasta qu punto la Direccin ha establecido una administracin efectiva de riesgo corporativo en la organizacin. Es consciente del riesgo aceptado por la entidad y est de acuerdo con l. Revisa la perspectiva de portafolio de riesgo de la entidad y la contrata con el riesgo aceptado por ella. Est informado de los riesgos ms significativos y de si la direccin est respondiendo adecuadamente. Delega funciones (las responsabilidades no se delegan) en diversos comits (Crditos, Riesgos, Auditora, Compensaciones, etc.)

La Direccin
La Direccin es responsable por todas las actividades de una entidad, incluyendo ERM. El CEO tiene la responsabilidad ltima sobre ERM, su mayor responsabilidad es establecer un ambiente interno positivo, sus responsabilidades incluyen: Proporcionar liderazgo y orientacin a los altos directivos, configurando con ellos los valores, principios y polticas operativas importantes que constituyen los cimientos de ERM. Establece los objetivos estratgicos, estrategia y los objetivos de alto nivel. la

Formula las polticas en sentido amplio, desarrolla la cultura de la entidad y establece su filosofa de ERM y el nivel de riesgo aceptado. Monitorea a travs del Chief Risk Officer CRO la eficacia del proceso de administracin del riesgo.

E.R.M.

ROLES Y RESPONSABILIDADES:
Oficial de Riesgo Establece las polticas de ERM, incluyendo la definicin de roles y responsabilidades y participa en la formulacin de objetivos para su implantacin. Enmarca la autoridad y responsabilidad de ERM en las unidades de negocio. Guiar la integracin de ERM con otras actividades de planeacin y administracin del negocio. Establece un lenguaje comn para la administracin de riesgo. Ayuda a los ejecutivos a desarrollar protocolos de informacin, y a monitorear el proceso de distribucin de reportes. Directivos Financieros Sus actividades cruzan todas las reas de la organizacin. Desarrollan presupuestos y planes globales de la entidad y monitorean su desempeo desde una perspectiva operativa, de cumplimiento y de reporte. Juega un rol importante en la prevencin y deteccin de la informacin fraudulenta y ayuda a establecer el tono de la conducta tica. Es el mximo responsable de los Estados Financieros. Influye en el diseo, implantacin y monitoreo de los sistemas de reporte de la empresa. Otro Personal de la Entidad ERM es, hasta cierto punto, responsabilidad de toda persona en una entidad y, por esto, debera ser una parte explicita o implcita de su descripcin de funciones. Los roles y responsabilidades de cada empleado deberan comunicarse efectivamente.

E.R.M.
ROLES Y RESPONSABILIDADES:
Auditores Externos
Es importante reconocer que una auditoria de los estados financieros normalmente no incluye un enfoque significativo sobre ERM y, en cualquier caso no da como resultado la expresin de una opinin sobre dicha gestin. Cuando las leyes o regulaciones exigen que el auditor evale las declaraciones de una empresa relativa a su control interno sobre la informacin financiero y los fundamentos en que se apoyan dichas declaraciones, el alcance del trabajo dirigido a dichas reas ser ms amplio y se obtendr informacin y seguridad adicional.

Legisladores y Reguladores
Los legisladores y reguladores afectan a la administracin de riesgo corporativos de dos maneras: Establecen las reglas que impulsan a la direccin a asegurar que la administracin de riesgos y los sistemas de control satisfacen los requisitos mnimos legales y estatutarios. Tras inspeccionar una entidad, facilitan informacin til en la aplicacin de la administracin de riesgo corporativo.

Otras partes
Clientes Proveedores Medios de comunicacin Analistas financieros.

LEY SARBANES-OXLEY

LEY SARBANES-OXLYEY:
La ms importante regulacin surgida despus de los escndalos financieros en Estados Unidos, en el 2001. (Enron Worldcom Global Crossing Merrill Lynch Tyco Imclone Xerox Adelphia, etc.). El cuerpo legal propuesto por el diputado Michael G. Oxley y el Senador Paul S. Sarbanes, en el Congreso estadounidense, tiene efectos que van mucho ms all de la auditora financiera propiamente tal y sus brazos son bastante largos.

Cundo surgi la ley?

Resultado de las quiebras, fraudes y el manejo de los criterios contables usados en la preparacin de los estados financieros, elaborados con CREATIVIDAD ms que con SERIEDAD, sacudi al mundo de los negocios erosionan la confianza de los inversionistas con relacin a la informacin financiera emitidas por las empresas. As, el 24 de julio de 2002 la Cmara de Representantes del Gobierno de los Estados Unidos aprob la ley SARBANES-OXLEY, con el propsito de endurecer los controles de las empresas y retornar confianza.

Relacin ERM SOX?

Cumplir la ley SOX implica, entre otras cosas, enfocarse en revelaciones financieras ms amplias, tomar los impuestos con seriedad y evaluar los controles internos por parte de la gerencia. (Ttulo IV y X , seccin 404 de la ley. ERM, enfoca sus objetivos y componentes en formar un sistema que contribuya a generar informacin financiera confiable y a cumplir con leyes y regulaciones.

ESTABLECIMIENTO DE OBJETIVOS IDENTIFICACIN DE EVENTOS EVA LUAC IN D E R IESGO R ESPUESTA A L R IESGO AC TIV IDAD ES D E C ONTROL INFORMACIN Y COMUNICACIN M ONITOR EO

A quin le es aplicable la ley?

Aplica a las empresas estadounidenses que NYSE estn registradas en: New York Stock Exchange National Association Securities Dealers Automatic Quotation of by
NASDAQ

Aplica a las empresas estadounidenses que estn bajo la supervisin de: SEC Securities and Commission Exchange

A quien le es aplicable la ley?

Tambin rige para todas las empresas extranjeras que cotizan en dichas bolsas de valores, incluyendo a la casa matriz, las subsidiarias y afiliadas

Qu regula la ley?
La ley contiene once ttulos y numerosas secciones, regulando diferentes aspectos e involucrando a los ejecutivos de las empresas, directorio, gobierno corporativo, comits de auditora, agentes de valores, corredores de bolsa, firmas de auditora, entre otros.

SOX Seccin 404:

Esta seccin incluida en el Ttulo IV de la ley, posiblemente es la que ms a dado de que hablar, por exigir responsabilidad a la administracin respecto del establecimiento y mantencin de los controles internos para los reportes financieros. Esto genero inicialmente preocupacin a las empresas de tener que publicar sus debilidades en materia de control por temer que el mercado reaccionara negativamente.

Reflexin Final sobre Sox:

Despus de seis aos de existir la ley, que paso recientemente con la economa estadounidense?

Posiblemente Sarbanes Oxley no ser la solucin final del problema de la transparencia sino mas bien el comienzo de una nueva etapa, liderando los cambios y temas necesarios en el tiempo para conquistar confianza.

Relacin entre el PCAOB (Public Company Accounting Oversight Board , y The IIA

USO DEL INFORME COSO:

En los ltimos aos se han elaborado y difundido en varios pases una serie de informes que presentan un enfoque integrador sobre el control interno, es decir que se lo interpreta con un sistema que abarca y atraviesa la organizacin en todas sus reas, operaciones y funciones. Entre estos informes despus de COSO son: Informe COCO
Elaborado por la Junta de Criterios de Control del Instituto Canadiense de Contadores Matriculados.

los

ms

conocidos

Informe Cadbury:
Producido por el Cadbury Committe (Reyno Unido) sobre control interno e informacion financiera.

USO DEL INFORME COSO:

El IIA (Institute of Internal Auditors) realizo una de sus habituales encuestas rpidas (quick poll). Planteando la consulta sobre la implementacin de un marco de control interno formal. El instituto aclara que no se trata de una encuesta de carcter cientfico, sus resultados pueden considerarse indicativos de una tendencia:
COSO CoCo Cadbury Modelo propio interno No utiliza marco de control 357 17 17 112 110 58% 3% 3% 18% 18%

Presentacin de beneficios a JD y Alta Gerencia

Ninguna empresa opera en una ambiente libre de riesgos, ERM permite que la gerencia opere y trabaje ms eficiente y efectivamente cubriendo los riesgos del negocio.
Alinear el apetito de Riesgo y la Estrategia Mejorar las decisiones de respuesta a los riesgos (evitar, reducir, compartir, aceptar el riesgo) Reducir sorpresas y prdidas operativas Identificar y administrar los riesgos en toda le entidad Proveer respuestas integradas a riesgos mltiples Aprovechar las oportunidades Mejorar la utilizacin de capital

Presentacin de beneficios a JD y Alta Gerencia

Ayuda a asegurar danos en la reputacin Ayuda a asegurar reportes efectivos Ayuda a asegurar el cumplimiento con leyes y reglamentos Se relaciona con la gobernabilidad coorporativa

En definitiva, ERM ayuda a la entidad a llegar al destino deseado, salvando obstculos y sorpresas en el camino.

Servicios Potenciales

Outsourcing Auditoria Interna Capacitacin CIA y otros Evaluaciones de Calidad Reclutamiento Auditoria Interna, Reorganizacin Auditorias de Propsitos Especiales Revisiones SOX Asesora Comits Auditoria Talleres AEC Encuestas Auditoria Interna Planeacin Estratgica

Lic. Amory Gonzalez DFK - Guatemala