RSG M01 Introduccion 1N3 COSO III

Introduccin a la gestin

de los riesgos.

Informe COSO II.

Por Isabel Casares San Jos-Mart

EALDE Business School

Introduccin a la gestin de riesgos

Pgina 1


Copyright 2014. Isabel Casares San Jos-Mart. Todos los derechos reservados. De uso exclusivo para los alumnos de

EALDE. Prohibida la reproduccin total o parcial del documento y su distribucin por cualquier medio impreso o electrnico

sin la autorizacin escrita.

Introduccin a la gestin de los riesgos

ERM como base del gobierno corporativo

Todos en la empresa tienen responsabilidad en ERM: el Comit Ejecutivo, la gerencia de riesgos,

los risk officers, los auditores, el compliance officer y el personal. Todos estn involucrados, de tal

forma que el plan de formacin, de involucramiento y de distribucin de roles tiene que ser

completo. Debemos modelar, medir y cubrir el riesgo.

Definicin de gerente de riesgos: es alguien que trabaja con otros directivos para establecer y

mantener una efectiva gerencia de riesgos en sus reas de responsabilidad. Tiene responsabilidad

de monitoreo, asiste, releva informacin, es miembro del Comit de Riesgos, pero bsicamente

trabaja con los dems porque dijimos que los involucrados en esto son todas las personas de la

compaa, desde el primero al ltimo, y es el nexo clave entre la lnea la lnea es la que est en

el da a da y los evaluadores como la SEC, el Banco de Espaa, la OCC, el evaluador de

riesgos, el evaluador de mercado. Esta persona, el risk officer, es el nexo clave. Fjense que desde

el punto de vista de Auditora, sta es la persona que tiene que garantizar el verde de los reportes.

Las responsabilidades del gerente de riesgos son:

1) Establecer las polticas y roles para implantar ERM.

2) Constituir la autoridad para ERM.

3) Promocionar la competencia en ERM a travs de toda la organizacin.

4) Integrar ERM con el plan estratgico de la empresa que debe incluir la formacin y el

presupuesto; es decir, no puedo analizar un riesgo que no est integrado con el presupuesto

de ingresos y gastos.

5) Establecer un lenguaje comn de ERM, el cual incluye mediciones claras y medibles.

6) Tiene que desarrollar planes de accin para corregir lo que sea corregible.

7) Tiene que hacer reportes de riesgos.

8) Debe reportar al Comit de Riesgos.

Uno de los mayores headhunters de esta especialidad est en el Reino Unido: Barclay Simpson,

cuya direccin es www.barclaysimpson.co.uk. Hay muchas bsquedas de Risk Managers.


Pgina 2





Herramientas de evaluacin:

El VAR (Value at Risk): en realidad esto est puesto para activos, tasas, retornos, pero puede

ser para cualquier riesgo financiero, no necesariamente para un banco. Puede ser la parte

financiera de cualquier empresa que mueve valores. Es la peor prdida esperada en un

intervalo de tiempo bajo condiciones de mercado normales.

El RAC o capital ajustado por riesgo: aqu vamos a ver muchos conceptos de Basilea, Basilea

es un Comit para Bancos que dicta normas de gerencia de riesgo, entre otras,

fundamentalmente riesgo de crdito y riesgo operacional, y donde bsicamente tenemos que

mostrar capitales de acuerdo con exigencias de exposicin al riesgo.

Los stress tests: es llevar a valores extremos algunas medidas para ver qu riesgo mximo

puedo tener. Puede que llevndolo al extremo no tenga nada que hacer porque el valor

extremo es pequeo.

Sensibilidad: es decir, vari algo? Vara lo dems? O se queda estable?. Prdidas en

diversos casos supuestos y reales. Lo que hay que hacer aqu es cargar una base de prdidas

y de las causas de las prdidas. Yo puedo presuponer cosas y ver qu prdida tendra en

caso de. Esto tambin se pide mucho para Bancos: las prdidas y el porqu.

Medidas de concentracin: si el riesgo est concentrado, est disperso, dnde est.

Medidas de correlacin: aqu se ponen en juego frmulas matemticas, que tal vez no son tan

importantes como el sentido comn.

Revisiones de procesos y walkthrough, que es caminar a travs de. Revisar un proceso

desde que nace hasta que muere y ver dnde estn los riesgos.

Otras mediciones:

Matrices de riesgo.

Los perfiles de riesgo o scorecards, es decir, tratar de hacer cuantitativo algo que en el origen

fue cualitativo y dibujar un mapa de riesgos.

Indicadores clave de performance, de riesgo, u otros.

Los lmites; por ejemplo, no considero blanqueo de dinero hasta una cantidad.

Todos los Sistemas de Informacin Gerencial (MIS), que son una herramienta para RM.


Pgina 3





La frecuencia, la severidad, las probabilidades. Cotejar los riesgos con el mercado (mark to

market) o cotejarlos con un modelo (mark to model); tengo dos formas de hacerlo, que

pueden ser mixtas: tengo un modelo y quiero que mi riesgo se ajuste al modelo y lo que est

fuera del modelo es el desvo; otra forma es contra el mercado: consigo datos del mercado,

puede que no sea lo ptimo pero el mercado lo tolera y bueno, estoy en el mercado.

La calidad de datos: tiene que haber un quality assurance de sistemas; lo que sale de

sistemas tiene que estar revisado, no puede salir as no ms.

Los gaps de control interno: planeamos esto pero hicimos otra cosa.

Medidas de motivacin de RRHH y grado de pertenencia a la empresa, Qu tanto motiva la

empresa a su gente?

Financieros: coberturas con otras monedas, derivados y swaps. Los seguros y las garantas.

Basilea II para Bancos: asegurar que la estructura de la gerencia de riesgos est sujeta a

auditora interna operacionalmente independiente coincide con lo que dice el Instituto en cuanto

a las incumbencias entre ERM y Auditora. Tambin hay que revisar la estrategia, aprobar la

estructura, desarrollar las polticas, los procesos y los procedimientos; identificar el grado de

exposicin a las prdidas. Basilea II, asimismo, propone cargos de capital de acuerdo con pases,

exposiciones al riesgo y dems.

Bsicamente, en virtud de Basilea II se supervisa el riesgo de crdito y el riesgo operativo; lo que

ocurre es que el operativo ya incluye a otros tantos. Esto ya es muy especfico pero hay que medir

probabilidad de incumplimiento, prdida en caso de incumplimiento, exposicin al riesgo,

vencimiento... Con lo cual hay indicadores; por ejemplo, si alguien no me paga ni siquiera la

primera cuota del crdito, eso ya constituye un indicador de fraude. Esto deriva en provisiones y

en esquemas contables. Los mtodos son:

Para riesgo de crditos (mtodo estndar, de IRB Bsico e IRB avanzado).

Para riesgo operativo (mtodo de indicador bsico, mtodo estndar, y mtodos de medicin

avanzada AMA).

Si no tenemos poltica de riesgos ni ERM, entonces no es posible hacer una auditora basada en

riesgos objetivamente. Es decir, tengo mis matrices, me muevo a travs de la empresa, pero no s

si tengo todo el soporte y la forma de consenso adecuada como para decir: Voy a medir el riesgo

que realmente la empresa quiere. No es posible hacer una auditora completa; es decir, yo hago

lo que creo que mi plan me dice que es completo pero tal vez me olvido de cosas que no estn


Pgina 4





medidas ni evaluadas. No hay cobertura de riesgos independiente da a da; es decir, Auditora lo

hace peridicamente y no en el da a da, porque el da a da lo hace la lnea de negocio. No es

posible maximizar el retorno de control self-assessment o la cobertura de assurance porque no s

adnde dirigir mis cuestionarios, no s a quin pedirle documentacin, no s a quin preguntarle el

s/no. Pueden no detectarse necesidades de reingeniera. Puede haber riesgos no visibles, ya que

se acta por inercia. Se incrementa el riesgo de malas sorpresas. Tambin se incrementa la

dependencia de los gerentes estrella sobre los que ya hablamos: No, el gerente conoce esto

mejor que nadie, pero ocupan en el fraude de cuello blanco las primeras estadsticas. Y,

obviamente, sin ERM se dificulta notablemente la gerencia de fraude (FRM).

El Comit de Riesgos debe estar en el organigrama de la empresa y es justamente un comit

similar al de Auditora pero que aprueba los productos, los procesos, los sistemas, los riesgos; por

ejemplo, si sale algo nuevo en la empresa, el Comit tiene que aprobarlo o tiene que validar lo que

existe. Provee liderazgo para las prcticas de gerencia de riesgos. Aprueba las polticas de riesgo.

Promociona la comunicacin. Evala la efectividad y asiste a toda esta gente: directores, Auditora,

compliance... Por qu asiste a todo esto? Porque es necesario que la empresa tenga claro que

ERM, como dijimos, parte de la Alta Direccin, es parte del corporate governance. Por lo tanto,

tiene que haber un Comit de Riesgos. En el Banco lo tenemos; todos los bancos

estadounidenses lo tienen y funciona al mximo nivel. Y puede haber subcomits: ALCO, que es

Assets and Liabilities Committee para negocios de tesorera, de crditos, operacional, etc.

El desafo de persuadir al Comit Ejecutivo de implementar ERM: Servir para evitar ser la

futura Enron, para permanecer en el tiempo, para competir, para atraer inversiones; ya vieron el

comentario del Instituto en el Reino Unido: aquel que cotice recibe mejor paga por sus acciones.

Para reducir riesgos, para dar respuesta a la SarbOx, para cotizar en el mercado de valores, para

resistir la exposicin pblica de los medios y para seguir los estndares pioneros. Razones hay, el

problema es que hay que convencer al Comit con esta lista de motivos, que podran ser ms.

Hay que embeber ERM en la organizacin. Trabaja toda la empresa, el gerente de riesgos debe

ser el facilitador, es decir, quien est en medio de ERM. Es necesario que haya formacin. El

proceso puede requerir dos aos o ms desde el comienzo del proceso, de acuerdo con el tamao

y los recursos.

Pero hablamos de prevenir riesgos e imaginmonos el que se nos ocurra: las prdidas, los

fraudes, las incobrabilidades. Para una empresa que tiene toda una visin de futuro, ERM

obviamente es una inversin.


Pgina 5





Informe COSO II - Resumen Ejecutivo

La premisa subyacente en la gestin de riesgos corporativos es que las entidades existen con el

fin ltimo de generar valor para sus grupos de inters. Todas se enfrentan a la ausencia de certeza

y el reto para su direccin es determinar cunta incertidumbre se puede aceptar mientras se

esfuerzan en incrementar el valor para sus grupos de inters.

La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el

valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre

y sus riesgos y oportunidades asociados, mejorando as la capacidad de generar valor.

Se maximiza el valor cuando la direccin establece una estrategia y objetivos para encontrar un

equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, adems

de desplegar recursos eficaces y eficientemente a fin de lograr los objetivos de la entidad.

La gestin de riesgos corporativos incluye las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia: En su evaluacin de alternativas estratgicas, la

direccin considera el riesgo aceptado por la entidad, estableciendo los objetivos

correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos: La gestin de riesgos corporativos

proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de

respuesta a ellos: evitar, reducir, compartir o aceptar.

Reducir las sorpresas y prdidas operativas: Las entidades consiguen mejorar su capacidad

para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los

costes o prdidas asociados.

Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a

mltiples riesgos que afectan a las distintas partes de la organizacin y la gestin de riesgos

corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de

dichos riesgos.

Aprovechar las oportunidades: Mediante la consideracin de una amplia gama de potenciales

eventos, la direccin est en posicin de identificar y aprovechar las oportunidades de modo

proactivo.

Mejorar la dotacin de capital: La obtencin de informacin slida sobre el riesgo permite a la

direccin evaluar eficazmente las necesidades globales de capital y mejorar su asignacin.


Pgina 6





Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la direccin a

alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.

La gestin de riesgos corporativos permite asegurar una informacin eficaz y el cumplimiento de

leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus

consecuencias derivadas. En suma, la gestin de riesgos corporativos ayuda a una entidad a

llegar al destino deseado, evitando baches y sorpresas por el camino.

Eventos Riesgos y Oportunidades

Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen

un impacto negativo representan riesgos que pueden impedir la creacin de valor o erosionar el

valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o

representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que

afecte positivamente al logro de los objetivos, ayudando a la creacin de valor o a su

conservacin. La direccin canaliza las oportunidades que surgen, para que reviertan en la

estrategia y el proceso de definicin de objetivos, y formula planes que permitan aprovecharlas.

Definicin de la Gestin de Riesgos Corporativos

La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la

creacin de valor o su preservacin. Se define de la siguiente manera: La gestin de riesgos

corporativos es un proceso efectuado por el consejo de administracin de una entidad, su

direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y

diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus

riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los

objetivos.

Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos:

Es un proceso continuo que fluye por toda la entidad.

Es realizado por su personal en todos los niveles de la organizacin.

Se aplica en el establecimiento de la estrategia.

Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del

riesgo a nivel conjunto de la entidad.

Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la

entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.


Pgina 7





Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la

direccin de una entidad.

Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque

susceptibles de solaparse.

La definicin es amplia en sus fines y recoge los conceptos claves de la gestin de riesgos por

parte de empresas y otras organizaciones, proporcionando una base para su aplicacin en todas

las organizaciones, industrias y sectores. Se centra directamente en la consecucin de los

objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia

de la gestin de riesgos corporativos.

Consecucin de Objetivos

Dentro del contexto de misin o visin establecida en una entidad, su direccin establece los

objetivos estratgicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en

toda la entidad. El presente Marco de gestin de riesgos corporativos est orientado a alcanzar los

objetivos de la entidad, que se pueden clasificar en cuatro categoras:

Estrategia: Objetivos a alto nivel, alineados con la misin de la entidad y dndole apoyo

Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos

Informacin: Objetivos de fiabilidad de la informacin suministrada

Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables

Esta clasificacin de los objetivos de una entidad permite centrarse en aspectos diferenciados de

la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables un objetivo

individual puede incidir en ms de una categora- se dirigen a necesidades diferentes de la entidad

y pueden ser de responsabilidad directa de diferentes ejecutivos. Tambin permiten establecer

diferencias entre lo que cabe esperar de cada una de ellas. Otra categora utilizada por algunas

entidades es la salvaguarda de activos.

Dado que los objetivos relacionados con la fiabilidad de la informacin y el cumplimiento de leyes y

normas estn integrados en el control de la entidad, puede esperarse que la gestin de riesgos

corporativos facilite una seguridad razonable de su consecucin. El logro de los objetivos

estratgicos y operativos, sin embargo, est sujeto a acontecimientos externos no siempre bajo

control de la entidad; por tanto, respecto a ellos, la gestin de riesgos corporativos puede


Pgina 8





proporcionar una seguridad razonable de que la direccin, y el consejo de administracin en su

papel de supervisin, estn siendo informados oportunamente del progreso de la entidad hacia su

consecucin.

Componentes de la Gestin de Riesgos Corporativos

La gestin de riesgos corporativos consta de ocho componentes relacionados entre s, que se

derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el

proceso de gestin.

Elementos clave de la gestin de riesgos corporativos

Ambiente interno Filosofa de la gestin de riesgos Cultura de riesgo Consejo de administracin/Direccin

Integridad y valores ticos Compromiso de competencia Estructura organizativa Asignacin de autoridad y responsabilidad Polticas y prcticas en materia de recursos

humanos.

Establecimiento de objetivos Objetivos estratgicos Objetivos relacionados Objetivos seleccionados Riesgo aceptado

Tolerancia al riesgo.

Identificacin de acontecimientos Acontecimientos Factores de influencia estratgica y de objetivos Metodologas y tcnicas

Acontecimientos interdependendientes Categoras de acontecimientos Riesgos y oportunidades.

Evaluacin de riesgos Riesgo inherente y residual Probabilidad e impacto Fuentes de datos Tcnicas de

evaluacin Correlacin entre acontecimientos.

Respuesta a los riesgos Evaluacin de posibles respuestas Seleccin de respuestas Perspectiva de cartera.

Actividades de control Integracin de la respuesta al riesgo Tipos de actividades de control Polticas y procedimientos Controles de los sistemas de informacin Controles especficos.

Informacin y comunicacin Informacin

Comunicacin

Supervisin Actividades permanentes de supervisin Evaluaciones independientes Comunicacin de

deficiencias.


Pgina 9





A continuacin, se describen estos componentes:

Ambiente interno: Abarca el talante de una organizacin y establece la base de cmo el

personal de la entidad percibe y trata los riesgos, incluyendo la filosofa para su gestin, el

riesgo aceptado, la integridad y valores ticos y el entorno en que se acta.

Entorno interno de la compaa: cul es la filosofa de la gerencia de riesgos, si se le da

importancia o no, qu cultura de riesgos tiene, qu dice el Comit Ejecutivo, qu integridad y

qu valores ticos hay, qu compromiso existe con la competencia, cul es la filosofa de la

gerencia de riesgos y el estilo operativo hay un estilo operativo en cada pas, en cada

empresa, qu apetito de riesgos tiene, cul es la estructura organizacional, cmo es la

asignacin de autoridad y responsabilidad, cules son las polticas y prcticas de recursos

humanos. Primero hay que ver el entorno interno antes de establecer la poltica.

Establecimiento de objetivos: Los objetivos deben existir antes de que la direccin pueda

identificar potenciales eventos que afecten a su consecucin. La gestin de riesgos

corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los

objetivos seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de

ser consecuentes con el riesgo aceptado.

Primero, los objetivos estratgicos, los riesgos relacionados con la estrategia. Los objetivos

relacionados, es decir, no hay ningn riesgo ni intencin de control que estn aislados en la

compaa; todo es una sinergia de cosas y una cadena. Tenemos que seleccionar qu ver a

travs del apetito y la tolerancia de riesgos: evitar, reducir, transferir, asumir.

Identificacin de eventos: Los acontecimientos internos y externos que afectan a los objetivos

de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas

ltimas revierten hacia la estrategia de la direccin o los procesos para fijar objetivos.

Cules son los eventos. Cules son los factores que influyen sobre la estrategia: los

econmicos, los naturales, los polticos. Aqu la informacin es bsica. No podemos estar

dentro de una oficina y hacer esto en un laboratorio; hace falta comunicacin con todo el

mundo. Cules son las metodologas y tcnicas. Cmo es la interdependencia de los eventos,

sobre lo que hablbamos recin. Cules son las categoras de eventos; priorizacin. Cules

son los riesgos y las oportunidades.


Pgina 10





Evaluacin de riesgos: Los riesgos se analizan considerando su probabilidad e impacto como

base para determinar cmo deben ser gestionados y se evalan desde una doble perspectiva,

inherente y residual.

Se trata de analizar el riesgo en profundidad y no de revisarlo una o dos veces al ao o

cuatrimestralmente, sino la evaluacin de riesgo continua. Los riesgos inherentes y

residuales. La probabilidad de que ocurran o no, la apariencia pueden estar disfrazados o

no y otra vez el tema de la visibilidad, que es el riesgo oculto.

Respuesta al riesgo: La direccin selecciona las posibles respuestas - evitar, aceptar, reducir o

compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo

aceptado y las tolerancias al riesgo de la entidad.

Hay que identificarlas, evaluar las diferentes respuestas posibles, seleccionar las respuestas y

visin de portafolio. Seguramente hay muchas respuestas de riesgo y hay que consensuarlas,

verlas, aceptarlas y, despus, modelizarlas de acuerdo con lo que se haya consensuado en la

respuesta. Hay que justificar las decisiones tomadas.

Actividades de control: Las polticas y procedimientos se establecen e implantan para ayudar a

asegurar que las respuestas a los riesgos se llevan a cabo eficazmente.

Integracin con la respuesta, de acuerdo con lo que hayamos definido; tipos de actividades de

control y temas que son ya sabidos.

Informacin y comunicacin: La informacin relevante se identifica, capta y comunica en forma

y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicacin

eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la

entidad.

Mucha informacin relevante para el proceso de la toma de decisiones y la comunicacin, que

es para confirmar objetivos, orientar esfuerzos y generar sinergias, y para cambiar un

comportamiento. Es decir, si yo les comunico algo, es porque pretendo y espero que acten de

la forma comunicada. Y, otra vez, la estrategia y la integracin.

Supervisin: La totalidad de la gestin de riesgos corporativos se supervisa, realizando

modificaciones oportunas cuando se necesiten. Esta supervisin se lleva a cabo mediante

actividades permanentes de la direccin, evaluaciones independientes o ambas actuaciones a

la vez.


Pgina 11





Evaluaciones separadas, evaluaciones dinmicas, quin evala. ERM es un proceso de

evaluacin en s mismo, es decir, todo el proceso, que es continuo y que tiene los pasos que

nombramos y que se amplan cada da.

La gestin de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada

componente afecta slo al siguiente, sino un proceso multidireccional e iterativo en que casi

cualquier componente puede influir en otro.

Relacin entre objetivos y componentes

Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la

gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin

se representa con una matriz tridimensional, en forma de cubo.

Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimiento estn

representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las

unidades de la entidad, por la tercera dimensin del cubo. Este grfico refleja la capacidad de

centrarse sobre la totalidad de la gestin de riesgos corporativos de una entidad o bien por

categora de objetivos, componente, unidad o cualquier subconjunto deseado.

Eficacia

La afirmacin de que la gestin de riesgos corporativos de una entidad es eficaz es un juicio

resultante de la evaluacin de si los ocho componentes estn presentes y funcionan de modo

eficaz. As, estos componentes tambin son criterios para estimar la eficacia de dicha gestin.

Para que estn presentes y funcionen de forma adecuada, no puede existir ninguna debilidad

material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad.

Cuando se determine que la gestin de riesgos es eficaz en cada una de las cuatro categoras de

objetivos, respectivamente, el consejo de administracin y la direccin tendrn la seguridad

razonable de que conocen el grado de consecucin de los objetivos estratgicos y operativos de la

entidad, que su informacin es fiable y que se cumplen las leyes y la normas aplicables.

Los ocho componentes no funcionan de modo idntico en todas las entidades. Su aplicacin en

las pequeas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin

embargo, estas entidades podran poseer una gestin eficaz de riesgos corporativos, siempre que

cada componente est presente y funcione adecuadamente.


Pgina 12





Limitaciones

Aunque la gestin de riesgos corporativos proporciona ventajas importantes, tambin presenta

limitaciones. Adems de los factores comentados anteriormente, las limitaciones se derivan de

hechos como que el juicio humano puede ser errneo durante la toma de decisiones, que las

decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta

los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse

los controles mediante connivencia de dos o ms personas y que la direccin puede hacer caso

omiso a las decisiones relacionadas con la gestin de riesgos corporativos. Estas limitaciones

impiden que el consejo o la direccin tengan seguridad absoluta de la consecucin de los objetivos

de la entidad.

Inclusin del Control Interno

El control interno constituye una parte integral de la gestin de riesgos corporativos. Este Marco lo

incluye, constituyendo una conceptualizacin y una herramienta ms slidas para la direccin. El

control interno se define y describe en el documento Control Interno Marco integrado. Dado que

ste ha perdurado a lo largo del tiempo y es la base para las reglas, normas y leyes existentes, se

mantiene vigente para definir y enmarcar el control interno. Aunque el presente documento slo

recoge partes de Control Interno Marco integrado, su estructura entera se incorpora en l a travs

de referencias.

Roles y Responsabilidades

Todas las personas que integran una entidad tienen alguna responsabilidad en la gestin de

riesgos corporativos. El consejero delegado es su responsable ltimo y debera asumir su

titularidad. Otros directivos apoyan la filosofa de gestin de riesgos de la entidad, promueven el

cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus reas de responsabilidad

en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno

u otros, desempean normalmente responsabilidades claves de apoyo. El restante personal de la

entidad es responsable de ejecutar la gestin de riesgos corporativos de acuerdo con las

directrices y protocolos establecidos.

El consejo de administracin desarrolla una importante supervisin de la gestin de riesgos

corporativos, es consciente del riesgo aceptado por la entidad y est de acuerdo con l. Algunos

terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas

financieros, proporcionan a menudo informacin til para el desarrollo de la gestin de riesgos

corporativos, aunque no son responsables de su eficacia en la entidad ni forman parte de ella.


Pgina 13





Estructura del informe COSO II

El informe COSO II se divide en dos partes:

La primera contiene el marco y un resumen ejecutivo. El marco define la gestin de riesgos

corporativos y describe principios y conceptos, proporcionando orientacin a todos los niveles

de direccin en empresas y otras organizaciones para ser usada en la evaluacin y mejora de

la eficacia de dicha gestin. El resumen ejecutivo es una perspectiva de alto nivel dirigida a

los consejeros delegados, otros altos directivos, consejeros y reguladores.

La segunda parte del documento corresponde a las tcnicas de aplicacin y proporciona

ejemplos de tcnicas tiles para aplicar los componentes del Marco.

Las acciones sugeridas que podran adoptarse como resultado de este documento dependen de la

posicin y papel de las partes implicadas:

Partes

implicadas

Acciones sugeridas

Consejo de

Administracin

El consejo debera comentar con la alta direccin el estado de la gestin de

riesgos corporativos de la entidad y aportar su supervisin segn se necesite.

Asimismo, debera asegurarse de que es informado de los riesgos ms

significativos, de las acciones que la direccin est realizando y cmo sta

asegura una gestin eficaz de riesgos.

Alta direccin Este documento sugiere que el consejero delegado evale las capacidades de

gestin de riesgos corporativos de la organizacin. Por ejemplo, reuniendo a los

responsables de unidad de negocio y al personal clave del staff para comentar

una evaluacin inicial de las capacidades y eficacia de la gestin de riesgos

corporativos. Sea cual sea su forma, esta evaluacin inicial debera determinar si

existe la necesidad de otra evaluacin ms profunda y amplia y, en caso

afirmativo, cmo proceder a realizarla.

Otro personal

de la entidad

Los directivos y dems personal deberan considerar cmo estn desempeando

sus responsabilidades y comentar sus ideas con responsables superiores para

reforzar la gestin de riesgos corporativos. Los auditores internos deberan

considerar el alcance de su enfoque sobre dicha gestin.


Pgina 14





Partes

implicadas

Acciones sugeridas

Reguladores Este Marco puede fomentar una visin compartida de la gestin de riesgos

corporativos, incluyendo lo que se puede hacer y sus limitaciones. Los

reguladores pueden referirse a este Marco al establecer sus expectativas, bien

mediante normas o guas o en la realizacin de inspecciones en las entidades

bajo su supervisin.

Organizaciones

profesionales

Las entidades encargadas de establecer normas y otras organizaciones que

proporcionan orientacin sobre gestin financiera, auditora y temas afines,

deberan considerar sus normas y guas a la luz de este Marco. A medida que se

eliminen divergencias de conceptos y terminologa, todas las partes se

beneficiarn de ello.

Educadores Este Marco puede ser tema de investigacin y anlisis universitario, para ver

dnde se pueden realizar futuras mejoras. En la idea de que este documento sea

aceptado como base compartida de comprensin, sus conceptos y trminos

deberan encontrar una forma de integrarse en los programas de estudios

universitarios.

Establecidos estos cimientos para una comprensin mutua, todas las partes podrn hablar un lenguaje

comn y se comunicarn ms eficazmente. Los directivos estarn en posicin de evaluar el proceso de

gestin de riesgos corporativos de su entidad respecto a una norma y podrn potenciar el proceso de

consecucin de los objetivos establecidos. La investigacin futura puede apoyarse en esta base slida,

mientras que los legisladores y reguladores podrn incrementar su comprensin de la gestin de

riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes interesadas utilizan este

Marco comn para dicha gestin, se podrn obtener las ventajas comentadas.

Con pequeas modificaciones al concepto general de COSO, al control interno se define como:

Un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una

entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la

consecucin de objetivos dentro de las siguientes categoras:

Honestidad y responsabilidad.

Eficacia y eficiencia en las operaciones.

Fiabilidad de la informacin.


Pgina 15





Salvaguarda de los recursos.

Cumplimiento de las leyes y normas.

A continuacin algunas reflexiones para facilitar la comprensin de la definicin:

1. El Control Interno como un proceso: El control interno es un proceso aplicado en la ejecucin

de las operaciones de toda la organizacin, es una herramienta y un medio utilizado para apoyar

la consecucin de los objetivos institucionales.

2. El Control interno ejecutado por personas: El control interno es ejecutado por personas. La

principal responsabilidad del diseo y aplicacin del control interno asumen las mximas

autoridades. Su ejemplo impulsar el ambiente de control en todos los empleados que laboran en

las organizaciones. Los auditores internos, como parte de la organizacin, son responsables de

evaluar la calidad y cabal aplicacin de los controles internos establecidos que incluye la gestin

de los riesgos corporativos.

3. Aportar un grado de seguridad razonable: El control interno aporta seguridad razonable a la

direccin superior de la organizacin, respecto del cumplimiento de los objetivos y la existencia de

errores o irregularidades en las operaciones. No aporta seguridad total o absoluta.

4. Promover la honestidad y la responsabilidad: El control interno diseado y aplicado

adecuadamente es el mejor antdoto contra las irregularidades, el fraude y la corrupcin en sus

diferentes manifestaciones, porque establece la obligacin de asumir conducta tica en todos los

niveles de organizacin, como base para su funcionamiento. Adems, la responsabilidad se

entiende como la obligacin de los funcionarios pblicos o privados de: responder, reportar,

explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por los

deberes y funciones asignados y aceptados.

5. Facilitar la consecucin de los objetivos de la organizacin: El control interno facilita la

consecucin de los objetivos de la organizacin, con eficiencia, economa, tica, transparencia,

proteccin de los recursos, fiabilidad de la informacin y, cumplimiento de las leyes y otras

normativas. Para alcanzar sus objetivos estratgicos, la entidad establece estrategias y objetivos

conexos que desea alcanzar, que fluyen en cascada hacia gerencias, departamentos, unidades

operativas y procesos.

6. Aplicado en toda la organizacin: El control interno, debe ser adoptado de manera integral

por toda la entidad. Esto requiere que quienes dirijan la organizacin en todos los niveles, tengan

la autoridad necesaria para asumir sus responsabilidades de alcanzar los objetivos.


Pgina 16





Componentes del control de los Recursos y los Riesgos

Estructura del Informe COSO II y sus componentes, agrupados en el siguiente orden:

1. Ambiente Interno de Control.

2. Establecimiento de Objetivos.

3. Identificacin de Eventos.

4. Evaluacin de Riesgos.

5. Respuesta a los Riesgos.

6. Actividades de Control.

7. Informacin y Comunicacin.

8. Supervisin.


Pgina 17





Todos los componentes tienen como base el ambiente interno de control y, dentro de ste, la

integridad y los valores ticos. Por su importancia, este elemento se presenta en la parte ms

amplia de la pirmide, sobre la que se soportan todos los dems elementos. Se lograr eficiencia y

eficacia si los ocho componentes funcionan de manera integrada en toda la organizacin, bajo el

liderazgo del consejo de administracin o de la mxima autoridad, como principal responsable de

su diseo, aplicacin y actualizacin, en las instituciones pblicas y privadas.

Por sus caractersticas, el componente informacin y comunicacin, permite una amplia relacin

entre la base y la cima de la pirmide, constituyndose en el elemento integrador del sistema. Los

supervisores de todos los niveles de la organizacin, principalmente los ms altos, estn en

condiciones de adoptar las decisiones, sobre la base de los resultados de las actividades de

control establecidos para disminuir los riesgos en todas sus categoras.

1. Ambiente interno

Vamos a desarrollar los siguientes contenidos:

Filosofa de la gestin de riesgos.

Integridad y valores ticos.

Enfoques organizativos para la asignacin de responsabilidades en la gerencia de riesgos de

la empresa.

El ambiente de control refleja el espritu tico vigente en una entidad respecto del

comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la

importancia que le asignan al control interno.

Sirve de base de los otros componentes, ya que es dentro del ambiente reinante que se evalan

los riesgos y se definen las actividades de control tendientes a neutralizarlos.

Simultneamente se capta la informacin relevante y se realizan las comunicaciones pertinentes,

dentro de un proceso supervisado y corregido de acuerdo con las circunstancias.

El modelo refleja el dinamismo propio de los sistemas de control interno. As, la evaluacin de

riesgos no slo influye en las actividades de control, sino que puede tambin poner de relieve la

conveniencia de reconsiderar el manejo de la informacin y la comunicacin.


Pgina 18





No se trata de un proceso en serie, en el que un componente incide exclusivamente sobre el

siguiente, sino que es interactivo multidireccional en tanto cualquier componente puede influir, y de

hecho lo hace, en cualquier otro.

Existe tambin una relacin directa entre los objetivos (Eficiencia de las operaciones, confiabilidad

de la informacin y cumplimiento de leyes y reglamentos) y los otros componentes, la que se

manifiesta permanentemente en el campo de la gestin: las unidades operativas y cada agente de

la organizacin conforman secuencialmente un esquema orientado a los resultados que se

buscan, y la matriz constituida por ese esquema es a su vez cruzada por los componentes.

El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una

entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en

que los principios de este ltimo imperan sobre las conductas y los procedimientos

organizacionales.

Es, fundamentalmente, consecuencia de la actitud asumida por la alta direccin, la gerencia, y por

carcter reflejo, los dems agentes con relacin a la importancia del control interno y su incidencia

sobre las actividades y resultados.

Fija el tono de la organizacin y, sobre todo, provee disciplina a travs de la influencia que ejerce

sobre el comportamiento del personal en su conjunto.

Constituye el andamiaje para el desarrollo de las acciones y de all deviene su trascendencia, pues

como conjuncin de medios, operadores y reglas previamente definidas, traduce la influencia

colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de polticas y

procedimientos efectivos en una organizacin.

Los principales factores del ambiente de control son:

La filosofa y estilo de la direccin y la gerencia.

La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.

La integridad, los valores ticos, la competencia profesional y el compromiso de todos los

componentes de la organizacin, as como su adhesin a las polticas y objetivos establecidos.

Las formas de asignacin de responsabilidades y de administracin y desarrollo del personal.

El grado de documentacin de polticas y decisiones, y de formulacin de programas que

contengan metas, objetivos e indicadores de rendimiento.


Pgina 19





En las organizaciones que lo justifiquen, la existencia de consejos de administracin y comits de

auditoras con suficiente grado de independencia y calificacin profesional.

El ambiente de control reinante ser tan bueno, regular o malo como lo sean los factores que lo

determinan. El mayor o menor grado de desarrollo y excelencia de stos har, en ese mismo

orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la

organizacin.

Tiene como propsito establecer pronunciamientos relativos a los valores ticos y de conducta que

se espera de todos los miembros de la Organizacin durante el desempeo de sus actividades, ya

que la efectividad del control interno depende de la integridad y valores de la gente que lo disea y

lo establece.

Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores ticos

y de conducta. La participacin de la alta administracin es clave en este asunto, ya que su

presencia dominante fija el tono necesario a travs de su empleo. La gente imita a sus lderes.

Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los

valores ticos como pueden ser: controles dbiles o requeridos; debilidad de la funcin de

auditora; inexistencia o inadecuadas sanciones para quienes actan inapropiadamente.

NORMAS DE AMBIENTE DE CONTROL

1. Integridad y valores ticos

La autoridad superior del organismo debe procurar suscitar, difundir, internalizar y vigilar la

observancia de valores ticos aceptados, que constituyan un slido fundamento moral para su

conduccin y operacin.

Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad y

compromiso personal.

Los valores ticos son esenciales para el Ambiente de Control. El sistema de Control Interno se

sustenta en los valores ticos, que definen la conducta de quienes lo operan. Estos valores ticos

pertenecen a una dimensin moral y, por lo tanto, van ms all del mero cumplimiento de las

Leyes, Decretos, Reglamentos y otras disposiciones normativas.

El comportamiento y la integridad moral encuentran su red de sustentacin y su caldo de cultivo en


Pgina 20





la cultura del organismo. Esta determina, en gran medida, cmo se hacen las cosas, que normas y

reglas se observan. Si se tergiversan o se eluden. En la creacin de una cultura apropiada a estos

fines juega un papel principal la Direccin Superior del organismo, la que con su ejemplo

contribuir a construir o destruir diariamente este requisito de control interno.

2. Competencia profesional

La competencia del personal se refiere a los conocimientos y habilidades que debe poseer el

personal para cumplir adecuadamente con sus tareas

Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les

permita comprender la importancia del desarrollo, implantacin y mantenimiento de controles

internos apropiados.

Tanto directivos como empleados deben contar con un nivel de competencia profesional ajustado

a sus responsabilidades.-comprender suficientemente la importancia, objetivos y procedimientos

del control interno.

La Direccin debe especificar el nivel de competencia requerido para las distintas tareas y

traducirlo en requerimientos de conocimientos y habilidades.

Los mtodos de contratacin de personal deben asegurar que el candidato posea el nivel de

preparacin y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el

personal debe recibir la orientacin, capacitacin y adiestramiento necesarios en forma prctica y

metdica.

El Sistema de Control Interno operar ms eficazmente en la medida que exista personal

competente que comprenda los principios del mismo.

3. Atmosfera de confianza mutua

Debe fomentarse una atmsfera de mutua confianza para respaldar el flujo de informacin entre la

gente y su desempeo eficaz hacia el logro de los objetivos de la organizacin.

Para el control resulta esencial un nivel de confianza mutua entre la gente que respalda el flujo de

informacin que la gente necesita para tomar decisiones y entrar en accin. Respalda, adems, la

cooperacin y la delegacin que se requieren para un desempeo eficaz tendiente al logro de los

objetivos de la organizacin. La confianza est basada en la seguridad respecto de la integridad y


Pgina 21





competencia de la otra persona o grupo.

La comunicacin abierta crea y depende de la confianza dentro de la organizacin. Un alto nivel

de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de

conocimiento de ms de una persona. El compartir tal informacin fortalece el control reduciendo

la dependencia de la presencia, el juicio y la capacidad de una nica persona.

4. Filosofa y estilo de la direccin

La Direccin Superior debe transmitir a todos los niveles de la organizacin, de manera explcita,

contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los

valores ticos.

La Direccin Superior y las Gerencias deben hacer comprender, a todo el personal, que las

responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un

rol importante dentro del Sistema de Control y que cada rol est relacionado con los dems.

La filosofa y el estilo de la Direccin influencian y traducen la manera en la que el organismo es

conducido. Son ejemplos: la transparencia de la gestin, la postura ante las innovaciones y el

aprendizaje, la forma de resolver los problemas y medir los desempeos y resultados.

La actitud de inters de la Direccin, por un control interno efectivo, debe penetrar la organizacin.

Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y actitudes

concretas.

Este ejemplo de la Direccin hacia el control interno suscita, indefectiblemente, en todo el personal

una actitud positiva hacia ste.

De esta forma los empleados se desempearn en un ambiente que les facilite tanto la

comprensin y respeto por el control interno, como la motivacin para la sugerencia de medidas

que fomenten su perfeccionamiento.

5. Misin, objetivos y polticas

La Misin, los Objetivos y las Polticas de cada organismo deben estar relacionados y ser

consistentes entre s, debiendo estar explicitados en documentos oficiales.

Dichos documentos debern ser adecuadamente difundidos a la comunidad y a todos los niveles

organizacionales. En el primer caso, como antecede para la posterior rendicin de cuenta. En el


Pgina 22





segundo, como medio de conseguir el encolumnamiento de las acciones organizacionales en la

persecucin de aqullos.

Una organizacin qu desconoce que es, hacia donde va, y que medios utilizar en el camino,

marcha a la deriva y con pocas posibilidades de xito. En esta condicin el control interno

carecera de sus ms importantes fundamentos y tan slo se limitara a la verificacin del

cumplimiento de ciertos aspectos formales.

La Misin tiene vocacin de permanencia e indica:

Qu somos?

Para qu estamos?

Qu necesidades servimos?

Y generalmente est fijada en las Leyes, Decretos, Cartas Orgnicas o Estatutos.

Los objetivos se ajustan a la realidad cambiante e indican:

Hacia dnde se va?

Cul es nuestro propsito?

Y son definidos peridicamente en los planes de accin y presupuestos.

Las Polticas en general, tambin tienen permanencia, an cuando pueden modificarse o

sustituirse al cambiar los objetivos, delimitan la accin y definen:

Cules son los medios preferidos?

Qu valoramos?

Qu restricciones les imponemos?

6. Organigrama

Todo organismo debe desarrollar una estructura organizativa qu atienda el cumplimiento de la

misin y objetivos, la que deber ser formalizada en un Organigrama.

La estructura organizativa, formalizada en un organigrama, constituye el marco formal de


Pgina 23





autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los

objetivos del organismo, son planeadas, efectuadas y controladas.

Lo importante es que su diseo se ajuste a sus necesidades, esto es que proporcione el marco

organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos

fijados. Lo apropiado de la estructura organizativa podr depender, por ejemplo, del tamao del

organismo. Estructuras altamente formales que se ajustan a las necesidades de un organismo de

gran tamao, pueden ser desaconsejables en un organismo pequeo.

7. Asignacin de autoridad y responsabilidad

Todo organismo debe complementar su Organigrama, con un Manual de Organizacin, en el cual

se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes

relaciones jerrquicas y funcionales para cada uno de estos.

El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen

claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y

solucionar los problemas, actuando siempre dentro de los lmites de su autoridad.

Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las

decisiones queden en manos de quienes estn ms cerca de la operacin. Un aspecto crtico de

esta corriente es el lmite de la delegacin: hay que delegar tanto cuanto sea necesario pero

solamente para mejorar la probabilidad de alcanzar los objetivos.

Toda delegacin conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el

trabajo de sus subordinados y que ambos cumplan con la debida rendicin de cuentas de sus

responsabilidades y tareas.

Tambin requiere que todo el personal conozca y responda a los objetivos de la organizacin. Es

esencial que cada integrante de la organizacin conozca cmo su accin se interrelaciona y

contribuye a alcanzar los objetivos generales.

Para que sea eficaz un aumento en la delegacin de autoridad se requiere un elevado nivel de

competencia en los delegatarios, as como un alto grado de responsabilidad personal. Adems, se

deben aplicar procesos efectivos de supervisin de la accin y los resultados por parte de la

Direccin.


Pgina 24





8. Polticas y prcticas en personal

La conduccin y tratamiento del personal del organismo debe ser justa y equitativa, comunicando

claramente los niveles esperados en materia de integridad, comportamiento tico y competencia.

Los procedimientos de contratacin, induccin, capacitacin y adiestramiento, calificacin,

promocin y disciplina, deben corresponderse con los propsitos enunciados en la poltica.

El personal es el activo ms valioso que posee cualquier organismo. Por ende, debe ser tratado y

conducido de forma tal que se consigna su ms elevado rendimiento. Debe procurarse su

satisfaccin personal en el trabajo que realiza, propendiendo a que en este se consolide como

persona, y se enriquezca humana y tcnicamente. La Direccin asume su responsabilidad en tal

sentido, en diferentes momentos:

Seleccin: al establecer requisitos adecuados de conocimiento, experiencia e integridad para las

incorporaciones.

Induccin: al preocuparse para que los nuevos empleados sean metdicamente familiarizado con

las costumbres y procedimientos del organismo.

Capacitacin: al insistir en que sean capacitados convenientemente para el correcto desempeo

de sus responsabilidades.

Rotacin y promocin: al procurar que funcione una movilidad organizacional que signifique el

reconocimiento y promocin de los ms capaces e innovadores.

Sancin: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con

rigurosidad que no se tolerarn desvos del camino trazado.

9. Comit de control

En cada organismo deber constituirse un Comit de Control integrado, al menos, por un

funcionario del mximo nivel y el auditor interno titular. Su objetivo general es la vigilancia del

adecuado funcionamiento del Sistema de Control Interno y el mejoramiento continuo del mismo.

La existencia de un Comit con tal objetivo refuerza el Sistema de Control Interno y contribuye

positivamente al Ambiente de Control.

Para su efectivo desempeo debe integrarse adecuadamente, esto es, con miembros que generen


Pgina 25





respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y

experiencia que les permita apoyar a la Direccin del organismo mediante su gua y supervisin.

El Consejo de Administracin y/o comit de auditora son los rganos fijan los criterios que

perfilan el ambiente de control y es determinante que sus miembros cuente con la experiencia,

dedicacin e involucramiento necesario para tomar las acciones adecuadas e interacten con los

Auditores Internos y Externos.

En la Filosofa Administrativa y Estilo de Operacin, los actores ms relevantes son las

actitudes mostradas hacia la informacin financiera, el procesamiento de la informacin y

principios y criterios contables, entre otros.

Otros elementos que influyen en el ambiente de control se refieren a aspectos relacionados con:

Estructura Organizativa, Delegacin de Autoridad y Responsabilidad y Polticas de Recursos

Humanos.

El ambiente de control tiene gran influencia en la forma como se desarrollan las operaciones, se

establecen los objetivos y se estiman los riesgos. Tiene que ver igualmente en el comportamiento

de los sistemas de informacin y con la supervisin en general. A su vez es influenciado por la

historia de la Entidad y su nivel de cultura administrativa.

2. Establecimiento de objetivos

Vamos a desarrollar los siguientes temas:

Objetivos estratgicos, relacionados y seleccionados.

Nivel de riesgo aceptado.

Tolerancia al riesgo.

Los objetivos deben establecerse antes de que la direccin pueda identificar potenciales eventos

que afecten a su consecucin. El consejo de administracin debe asegurarse que la direccin ha

establecido un proceso para fijar objetivos y que los objetivos seleccionados estn en lnea con la

misin/visin de la entidad, adems de ser consecuentes con el riesgo aceptado.

A partir de los objetivos se facilita la gestin de los riesgos empresariales mediante la identificacin

de los eventos externos e internos; la evaluacin de los riesgos; la respuesta a los riesgos; y, el

diseo de actividades de control.


Pgina 26





Los siguientes factores integran este componente:

1. Objetivos Estratgicos.

2. Objetivos Especficos.

3. Relacin entre Objetivos y Componentes.

4. Consecucin de Objetivos.

5. Riesgo Aceptado y Niveles de Tolerancia.

1. Objetivos Estratgicos

La misin de una entidad establece en amplios trminos su razn de ser y lo que se aspira

alcanzar. En el sector pblico y en organizaciones sin fines de lucro, la finalidad o la misin

generalmente constan en la norma de su creacin. Sea cual sea el trmino empleado, como

misin, o finalidad, es importante que la direccin con la supervisin del consejo de

administracin establezca expresamente la razn de ser de la entidad en trminos generales. A

partir de esto, la direccin fija los objetivos estratgicos, formula las estrategias y establece los

correspondientes objetivos operativos, de informacin y de cumplimiento para la organizacin.


Pgina 27





Aunque la misin de una entidad y sus objetivos estratgicos sean generalmente estables, su

estrategia y muchos objetivos relacionados con ella son ms dinmicos y se adecuan a las

cambiantes condiciones internas y externas.

Los objetivos estratgicos son de alto nivel, estn alineados con la misin de la entidad y le dan su

apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la entidad crear valor

para sus grupos de inters.

En la actualidad, la elaboracin de planes estratgicos es muy utilizado por las organizaciones

para establecer la misin, visin, objetivos, estrategias, valores y otros elementos.

Tambin se utilizan herramientas administrativas como el marco lgico para elaborar proyectos

con indicadores de gestin, los medios de verificacin objetiva y los supuestos establecidos.

Cualquiera sea la metodologa utilizada, es indispensable que la direccin establezca los objetivos

estratgicos respecto de los que asume la responsabilidad de gestionar su cumplimiento evitando

los riesgos correspondientes.

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

calidad de los elementos de este componente, se deben considerar como mnimo los siguientes

puntos:

Existencia formal de la misin o finalidad aprobada por el consejo de administracin.

Hasta qu punto los objetivos de los organismos e instituciones expresan clara y

completamente lo que la entidad desea conseguir y la forma en que prev conseguir teniendo

en cuenta sus particularidades.

Grado de vinculacin de los diferentes niveles de la organizacin en el establecimiento de

objetivos estratgicos y de las estrategias.

La eficacia con que los objetivos de los organismos e instituciones se comunican a sus

miembros.

Establecimiento de la viabilidad de cumplimiento de los objetivos.

Fijacin de tiempos, responsables, indicadores de rendimiento, supuestos o eventualidades,

recursos, informes o reportes.


Pgina 28





2. Objetivos Especficos

Al enfocar primero los objetivos estratgicos y la estrategia, una entidad est en posicin de

establecer objetivos de menor jerarqua vinculados con las operaciones y actividades, cuya

consecucin crear y conservar valor para las partes relacionadas. Los objetivos estratgicos de

la empresa estn vinculados y se integran con otros objetivos ms especficos, que repercuten en

cascada en la organizacin hasta llegar a las diversas actividades.

Al fijar los objetivos para los distintos niveles y actividades de la entidad, la organizacin puede

identificar factores crticos de xito. Estos factores crticos de xito afectan a la entidad, a cada

unidad, funcin o departamento y a sus integrantes. Estos factores crticos de xito se representan

en indicadores de gestin o estndares para medir el rendimiento.

Los objetivos deben ser fcilmente entendibles y medibles. Deben fijar como mnimo:

tiempo/perodo, responsables, recursos, productos, factores crticos de xito, formas de medicin,

informes, impactos, entre otros. La gestin de riesgos corporativos exige que el personal en todos

los niveles alcance suficiente entendimiento de los objetivos de la entidad. Todas las personas, en

los diferentes niveles de la organizacin, deben tener una comprensin mutua de lo que se ha de

lograr y de los medios para medir lo que se consiga.

Segn el estudio COSO II, a pesar de existir diversidad de objetivos entre entidades, se pueden

establecer algunas categoras amplias como las siguientes:

Objetivos operativos: Representan la eficacia y eficiencia de las operaciones de la entidad,

incluyendo los objetivos de rendimiento y rentabilidad y de salvaguardia de recursos frente a

prdidas o usos indebidos. Los objetivos operativos deben reflejar los entornos empresarial o

institucional, sectorial y econmico en los que acta la entidad.

Objetivos de informacin: Relativos a la fiabilidad de la informacin. Incluyen informacin

interna y externa, tanto financiera como no financiera. La informacin tambin est relacionada

con los documentos preparados para su difusin externa, como es el caso de los estados

financieros y sus notas de detalle, los comentarios y anlisis de la direccin y los informes

presentados a entidades reguladoras.

Objetivos de cumplimiento: Se refieren al cumplimiento de leyes y normas. Ciertos objetivos

dependen del tipo de actividad de la entidad. El historial de cumplimientos de una entidad

puede afectar de modo significativo positiva o negativamente - a su reputacin en la

comunidad y su entorno. Resulta til desagregar estas categoras de objetivos, para facilitar la

comunicacin interna y externa sobre temas ms especficos.


Pgina 29







puntos:

Conexin de los objetivos especficos con los objetivos y planes estratgicos de la entidad.

Coherencia entre los objetivos especficos para facilitar la coordinacin y evitar duplicacin de

esfuerzos y uso de recursos.

Relacin de los procesos con los objetivos.

Cantidad y calidad de los recursos en relacin con los objetivos.

Identificacin de factores crticos de xito, indicadores de gestin, medios de verificacin

objetiva, impactos.

Participacin en la determinacin de objetivos de los empleados que ocupan puestos de

responsabilidad a todos los niveles, y grado de compromiso con la consecucin de los

mismos.

Mtodos utilizados para informar los objetivos a los miembros de la organizacin.

3. Relacin entre objetivos y componentes

Se destaca que el logro de los objetivos estratgicos y operativos, pueden estar sujeto a

acontecimientos externos no siempre bajo control de la organizacin, lo que obliga a establecer

mecanismos para que la direccin y el consejo de administracin en su papel de supervisin,

estn siendo informados oportunamente sobre estos eventos.

Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes, que

facilitan su logro. La relacin se representa en la siguiente matriz tridimensional, en forma de cubo.

Las cuatro categoras de objetivos son:

Estratgico o de estrategia.

Operaciones.

Informacin.

Cumplimiento.


Pgina 30





Los componentes deben ser considerados de manera integral en toda la organizacin para

alcanzar los objetivos.

Este grfico refleja la capacidad de centrarse sobre la totalidad de una entidad o bien por

categora de objetivos, componente, unidad o cualquier subconjunto deseado, sin perder de vista

la totalidad de la organizacin.



puntos:

La visin integral que tenga la entidad sobre los objetivos estratgicos, de operacin, de

informacin y de cumplimiento con los componentes, en todos los niveles de la organizacin.

Compromiso de la alta direccin y de todos los niveles de la organizacin para alcanzar los

objetivos cumpliendo los controles y la gestin de los riesgos.


Pgina 31





Grado de conocimiento de todos los niveles de la organizacin de los elementos establecidos

y de los objetivos que se espera alcanzar.

Relacin de los objetivos y componentes con la estructura orgnica de la entidad.

4. Consecucin de Objetivos

El Consejo de Administracin y todos los niveles de la organizacin, asumen la responsabilidad de

alcanzar los objetivos con eficiencia y honestidad. Proporciona una seguridad razonable de que la

direccin y el consejo, en su papel de supervisin, estn informados oportunamente del progreso

de la entidad en su camino hacia el logro de dichos objetivos. En su orden, quienes dirigen las

unidades operativas o productivas as como de apoyo, deben estar seguros de que se estn

cumpliendo las polticas, las tcnicas y los procesos establecidos con eficiencia, tica y diligencia

para alcanzar los objetivos especficos. Actuando as, todos los miembros de la organizacin

apuntan hacia el cumplimiento de los objetivos dentro de sus especficas competencias. La

supervisin oportuna y proactiva crea las condiciones necesarias para que se produzca

informacin confiable como resultado de cada uno de los procesos.

En todos los niveles de la organizacin debe existir el compromiso de cumplir con las normas

establecidas. Para asegurarse de su cumplimiento, nuevamente la supervisin oportuna y de

calidad, es de importancia.

A diferencia de los objetivos estratgicos y de operacin que estn expuestos a eventos externos,

los de informacin y cumplimiento tienen un entorno altamente interno. Por esa razn dependen

del compromiso del consejo de administracin y de todos los miembros de la organizacin para

que se cumplan los objetivos de esta categora.

Por la misma razn anotada, los objetivos estratgicos y de operacin requieren atencin de los

acontecimientos externos para actuar con oportunidad frente a los eventos que puedan afectar su

cumplimiento. Se destaca que el logro de este tipo de objetivos es ms complejo porque la gestin

de sus riesgos no depende de la actitud de los miembros de la organizacin sino de una serie de

factores sobre los que no se tiene control, razn por la que es necesario una amplia vinculacin de

la alta direccin para poder tener acceso a la informacin en forma oportuna y permanente.



puntos:


Pgina 32





La calidad de la informacin sobre eventos externos relacionados con los objetivos,

principalmente los estratgicos y de operacin.

Disposicin de la alta direccin para conocer y analizar los informes de cumplimiento de

objetivos.

Calidad de la supervisin en todos los niveles.

Incorporacin de controles en los procesos que aseguren el cumplimiento de las normas

establecidas.

Conocimiento y actualizacin de las polticas, normas y procedimiento por parte de los todos

los miembros de la organizacin.

Idoneidad de los indicadores de rendimiento.

Informes de cumplimiento de indicadores y estndares.

Apoyo de la alta direccin a los informes de auditores internos, principalmente en lo relativo a

deficiencias y recomendaciones.

5. Riesgo aceptado y niveles de tolerancia

Segn COSO II, El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad

est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgo de la

entidad e impacta a su vez en su cultura. Es conveniente destacar que el riesgo aceptado puede

ser establecido de manera altamente subjetiva o con un mayor grado de precisin, dependiendo

del grado de tecnologa que se utilice. En todo caso, siempre depender del criterio y del estilo de

gestin de la direccin.

El riesgo aceptado se debe tener en cuenta al fijar la estrategia, pues el rendimiento deseado de la

estrategia deber estar alineado con el riesgo aceptado de la entidad.

Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando categoras

como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de

crecimiento y rendimiento y los equilibre con los riesgos.

El riesgo aceptado conocido tambin como apetencia de riesgo, establecido por la direccin bajo

control del consejo de administracin, es una orientacin para establecer los objetivos. Algunas

entidades, como las organizaciones sin fines de lucro, expresan su riesgo aceptado como el nivel


Pgina 33





de riesgo que aceptaran a cambio de crear valor para sus grupos de inters.

Existe una relacin entre el riesgo aceptado de una entidad y su estrategia. Si la estrategia no est

alineada con el riesgo aceptado por la entidad, se revisa la estrategia, lo que puede ocurrir cuando

la direccin formula inicialmente una estrategia que exceda el nivel de riesgo aceptado.

La direccin busca alinear la organizacin, el personal, los procesos y la infraestructura para

facilitar la implantacin de la estrategia con xito y capacitar a la entidad a mantenerse dentro de

los lmites de su riesgo aceptado.

Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la consecucin de

objetivos.

Las medidas de rendimiento ayudan a asegurar que los resultados reales se ajusten a los niveles

establecidos de tolerancia al riesgo. Por ejemplo, una empresa fija un objetivo del 98% de

puntualidad para sus entregas, con un riesgo aceptable de error entre el 1% y el 3%; y espera que

el personal responda a todos los reclamos de los clientes en un plazo de 24 horas, pero acepta

que hasta un 25% de ellos se atiendan entre 24 y 26 horas.

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la calidad

de los elementos de este componente, se deben considerar como mnimo los siguientes puntos:

Estilo de la direccin para la fijacin del riesgo aceptado para de los objetivos establecidos.

Inters de la alta direccin para apoyar la necesidad de determinar el nivel de riesgo aceptable

y su tolerancia.

Grado de comprensin de lo que implica la responsabilidad de aceptar niveles de riesgo y su

correspondiente tolerancia.

Evidencia de las acciones realizadas por la organizacin para determinar los niveles de

aceptacin de riesgo y su tolerancia relacionada.

Supervisin y evaluaciones internas para medir la razonabilidad de los niveles de riesgo

aceptado as como su tolerancia, con base en los resultados obtenidos.

Calidad de los sistemas de informacin para medir la forma en que se alcanzan los estndares

y su relacin con el cumplimiento de los objetivos institucionales.


Pgina 34





Atencin de los niveles directivos a los cambios ocurridos entre el riesgo aceptado y los

resultados.

RSG M01 Introduccion 1N3 COSO III

Documents

Transcript of RSG M01 Introduccion 1N3 COSO III