Mapas de Riesgos en Auditoria Interna

Instituto de Auditores Internos del Perú
MAPAS DE RIESGOS EN AUDITORIA INTERNA
28 De Agosto del 2015
Expositor :
Rafael Fernando López Abad
CPC, MsC, CRMA
RAFAEL FERNANDO LÓPEZ ABAD
•
Presidente del Instituto de Auditores Internos del Peru, Periodo 2013-2015
•
CPC - Universidad de San Martin de Porres
•
Máster en Ciencias MsC - Universidad Nacional de Ingeniería
•
IRCA – International Register of Certified Auditors
•
Especialista en Finanzas - ESAN
•
Gerente de Auditoría Interna de Southern Copper Corporation (GRUPO
MEXICO)
•
Ex Auditor de Pricewaterhouse
•
Ex Auditor de Ernst & Young
•
Profesor de GERENS – Escuela de Gestión y Economía, ESAN, UTP
CONTENIDO

Antecedentes.

Modelos de Control Interno.

Riesgos de negocio en minería.

Elementos de la gestión de riesgos.

Ejemplos de Factores de riesgo.

Conclusiones y Recomendaciones.
Instituto de Auditores Internos del Perú
Enron (2001)
Registro indebido de instrumentos
financieros.
WorldCom (2002)
Investigación de la SEC por uso de
prácticas contables indebidas.
HealthSouth (2003)
Presentación de utilidades
sobreestimadas.
Shell (2004)
Error en el registro de reservas, 3.9
billones de barriles.
Coincidencias
 Son temas “exclusivos” de
interpretación de la técnica contable.
 En todos los casos confluyó la
intención (error) de personas clave.
 Debilidades en la clarificación de
roles y responsabilidades.
 Debilidades en el ambiente de control.
Conflictos de intereses y confabulación
Fraude de cuello blanco
Instituto de Auditores Internos del Perú
Modelos de Control Interno.
Modelos de Control Interno y
Gestión de Riesgos
1946
1992
1995
1996
Marco Integral de
Control Interno
COSO
(1992)
Control
1998
1999 2001
2002
2004
Marco Integral de
Gestión de Riesgos
Riesgo
COSO ERM
(2004)
Reforma regulatoria en los Estados Unidos
Ley Sarbanes-Oxley
La cadena de valor del reporte corporativo
Ejecutivos
Consejo
Emisores de estándares
Reguladores
Tecnologías
Auditores
Analistas
Inversionistas
¿Y el Perú? ¿es ajeno a
ello?…
LEY SARBANES OXLEY
• El congreso americano en el año 2002, aprobó la Ley Sarbanes Oxley
(SOX) en respuesta a una serie de fallas de negocios y escándalos
corporativos que empezaron en el 2001 y que agudizaron la falta de
confianza de los inversionistas en los mercados financieros.
• Sarbanes Oxley es una reforma legal orientada a la mejora del gobierno
corporativo y la transparencia informativa, fomentando la
independencia de auditores y la adecuada resolución de conflictos de
interés. La Ley SOX impone importantes obligaciones y restricciones a
las compañías que realizan registros ante la Securities and Exchange
Commission (SEC), sus directivos, auditores entre otros.
Pero … ¿Por qué hablamos
de la Ley Sarbanes Oxley?
LEY SARBANES OXLEY
• La Ley Sarbanes Oxley considera aspectos de Buen Gobierno
Corporativo que fomentan una mayor credibilidad de la información
financiera para el mercado de valores. Fundamentalmente se basa en la
implementación de la sección 404: Control Interno. La estructura
mínima de control interno requerida por la sección 404 es la
establecida por el Informe del “Committee of Sponsoring Organizations
of the Treadway Commission” – Informe COSO.
• Asimismo, la sección 404 de la Ley SOX establece que las empresas que
cotizan en la bolsa de Nueva York deben evaluar y certificar
anualmente su sistema de Control Interno.
¿PARA QUE NECESITAMOS IMPLEMENTAR
COSO?
• Para dar cumplimiento a la ley Sarbanes Oxley.
• Para Fortalecer el Sistema de Control Interno
• COSO ayuda a las organizaciones en el logro de sus objetivos de
negocios.
• A fin de Garantizar la Transparencia de la Información Financiera en
adherencia a las Normas y Regulaciones.
• Fortalecer los Aspectos relacionados con “El Problema de
Agencia”……………………..
INFORME COSO
-
INTERNAL CONTROL INTEGRATED FRAMEWORK
Committee of Sponsoring
Organizations of the
Treadway Commission
En los Estados Unidos la
National
Commission
on
Fraudulent Financial Reporting, a
través de su Committee of
Sponsoring Organizations, en
1992 publicó el famoso Informe
COSO sobre Control Interno Marco Integrado, dicho informe
desarrolló nuevos conceptos de
control interno.
Instituto de Auditores Internos del Perú
El Panorama que enfrenta la Empresa
Regulación
Reguladores comerciales
Ministerio de Energía y Minas
Ente gubernamental
Gobierno
corporativo
SUNAT
Comité de riesgos
Mercados de
capital
Prestamistas
Administración
De riesgos
Banca de inversión
Inversionistas
Comité de auditoría
Fusiones y adquisiciones
Junta directiva
Alta Gerencia
Presión en
márgenes de rentabilidad
Otros
Guerra de talentos
Internet
Presión política
Avances tecnológicos
Globalización
- Complejidad regulatoria sin precedentes
- Altos requerimientos de calidad
- Incremento de reportes a entidades
de vigilancia y control
- Altos niveles de medición
- Menor tolerancia al riesgo
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
…Y cuál el origen de los riesgos?
Dirección
Nivel Gerencial
Procesos/
Subprocesos
Proyectos
Actividades
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
•La práctica de riesgos ha evolucionado durante este último tiempo. Tanto el
mercado como las entidades regulatorias han ido perfeccionando sus enfoques,
metodologías y con esto han ido generando mejoras que están siendo integradas
por las organizaciones.
• Uno de los precursores en establecer directrices en la materia ha sido Basilea, el
mismo que ha ido otorgando cada vez mayor importancia a la administración y
gestión del riesgo operacional. Esto lo han reconocido las organizaciones y han
emprendido distintos caminos con el objetivo de avanzar en la gestión efectiva de
este riesgo.
•Basados en estos lineamientos y tendencias los organismos reguladores ha
incrementado su foco y exigencias de supervisión en el ámbito de riesgo
operacional en la industria financiera.
•La teoría desarrollada en base a marcos referenciales de riesgo ha sido aplicada,
probada y existen importantes conclusiones que requieren de toda la atención de
los gestores de riesgo operacional.
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
Importancia del Proceso de Gestión de Riesgo Empresarial
Asistir a la Alta Dirección en el cumplimiento de sus objetivos de forma
eficiente y efectiva, a través de un proceso que le permita:
 Identificar y evaluar sus Riesgos.
 Definir Planes de Acción para mitigar la posibilidad de materialización de
dichos riesgos o reducir sus efectos frente a los objetivos trazados.
 Generar una mejor asignación de recursos.
Este proceso se desarrolla en tres niveles:
1. Entorno
2. Procesos
3. Información para la toma de Decisiones.
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
Monitorear el uso de
información interna
Comunicación
Observar las
“banderas rojas”
Controlar los
conflictos de
intereses
.....
Asegurar la ética
organizacional
Consultar al auditor
externo
Establecer una
auditoria interna
eficaz
Asegurar la
independencia del
auditor externo
Inteligencia en Riesgo
Instituto de Auditores Internos del Perú
Los cinco componentes del Control Interno
.
Ambiente de Control
.
• Establece el “tono” (crea conciencia en la
organización hacia los controles)
• Los factores Incluyen:
• Integridad y valores éticos,
• Capacidad del personal,
• Prácticas de recursos humanos,
• Filosofía de operación de la gerencia,
• La forma en que la autoridad y la
responsabilidad están asignadas, y
• La atención y dirección proporcionada
por el consejo directivo.
• Es el fundamento para todos los otros
componentes de control.
Evaluación de Riesgos
.
• Antes de poder realizar una
evaluación de riesgo, es necesario
el establecimiento de objetivos,
ligados entre sí a diferentes niveles
y de manera consistente.
• La identificación y el análisis de los
riesgos
relevantes
para
el
cumplimiento de los objetivos .
• Forma la base para determinar
cómo deben ser administrados los
riesgos .
• Es
necesario
contar
con
mecanismos para identificar y
confrontar con los riesgos asociados
con el cambio.
Actividades de Control
.
• Políticas/Procedimientos que aseguran
el cumplimiento de las directrices de la
gerencia.
• Ayudan a asegurar el cumplimiento de
las
acciones
necesarias
para
confrontar y reducir los riesgos .
• Se llevan a cabo actividades de control
a lo largo de toda la organización, a
todos niveles y en todas las funciones.
• El rango de actividades incluye:
• Aprobaciones,
autorizaciones,
verificaciones,
revisiones
de
desempeño, resguardo de activos,
segregación de funciones, etc.
Información y Comunicación
.
• Asegurar
que
la
información
importante
es
identificada,
capturada, y comunicada en un
tiempo que permita al personal
cumplir sus responsabilidades.
• Incluye información interna y externa
sobre
eventos,
actividades
y
condiciones necesarias para la toma
de decisiones del negocio y los
reportes externos.
• Existe un flujo de información que
permite un control exitoso desde la
emisión de instrucciones sobre las
responsabilidades
hasta
la
preparación de resúmenes de
hallazgos para la administración.
Monitoreo
.
• Evaluación del desempeño del
sistema de control en el tiempo
• Combinación de evaluaciones
continuas y por separado.
• Las deficiencias en el control
interno deberán ser reportadas
“hacia arriba”, asegurándose que
los temas importantes sean
reportados a la alta gerencia y al
consejo.
• La combinación de evaluaciones
continuas y por separado aseguran
que el proceso de control interno
conserva su efectividad a través
del tiempo .
Monitoreo
.
• El monitoreo continuo incluye las actividades
de supervisión realizadas comúnmente por la
gerencia y otras acciones que realiza el
personal durante el desempeño de sus
labores diarias .
• Las evaluaciones por separado proporcionan
retroalimentación
independiente
en
un
momento preciso:
• El alcance y frecuencia dependerán
principalmente de la evaluación de
riesgos y la efectividad de los
procedimientos de monitoreo continuo.
• La evaluación pudiera ser hecha a través
de
auto-evaluaciones, “checklists” y
revisiones de control interno.
• Estas revisiones pueden ser realizadas
por el auditor interno o externo (para
cumplir con los propósitos de su
auditoria) y por consultores externos.
Evaluación de Riesgos Corporativos
COMERCIAL
Precio
Demanda
Oferta
Especulación
Calidad del Producto
Seguridad en el Transporte
Embarque y Tráfico
Clientes
Contratos
REPORTE
FINANCIERO
OPERATIVOS
Equipos
Mano de Obra
Ferrocarril
Proceso Operativo
Condiciones Climatológicas
Condiciones Ambientales
Recursos Naturales
Reservas
Seguridad Industrial
Insumos y Repuestos
Energía
Costo de Producción
Cobranzas
Custodia en Bancos
Control de ME
Tipo de Cambio
Liquidez
Endeudamiento
Inversiones
Integridad de los registros
contables
OTROS
LEGAL
RECURSOS HUMANOS
ENTORNO GENERAL
ENTORNO GUBERNAMENTAL
IMAGEN CORPORATIVA Y GOBIERNO CORPORATIVO
ESTRATÉGICO
LO QUE ES ERM
(ENTERPRISE RISK MANAGEMENT)
.
Un proceso efectuado por el Directorio, la Gerencia y
otro personal, aplicado en la formulación de
estrategias y a través de toda la empresa (en cada nivel
o unidad), diseñado para identificar eventos
potenciales que podrían afectar la entidad, y gerenciar
los riesgos que se encuentren dentro de los límites de
riesgo, con el propósito de proveer de una certeza
razonable en el logro de los objetivos de la entidad
LO QUE NO ES ERM
(ENTERPRISE RISK MANAGEMENT)
•Un remplazo de los esfuerzos actuales de gestión de
riesgos. Otra Iniciativa o ejercicio burocrático de
cumplimiento
•Sólo relacionado con evitar los riesgos, sin considerar la
Toma inteligente de los mismos.
•Un sustituto para el Juicio de la Gestión.
•Una Seguridad absoluta.
•De propiedad exclusiva de Auditoría Interna o Finanzas
Riesgos de Negocio en Minería
PERDIDA
CATASTROFICA
SENSIBILIDAD
SOBERANO
POLITICA
RELACIONES
CON
ACCIONISTAS
LEGAL –
TRIBUTARIO
RIESGOS DEL ENTORNO
RELACIONES
CON
COMUNIDADES
Riesgos de Negocio en Minería
RIESGOS DE
OPERACIONES
RIESGOS DE
DIRECCION
RIESGOS DE
TECNOLOGÍA
DE
INFORMACIÓN
RIESGOS DE
INTEGRIDAD
RIESGOS DEL PROCESOS
RIESGOS
FINANCIEROS
Riesgos de Negocio en Minería
INFORMACION
OPERATIVA
INFORMACION
FINANCIERA
INFORMACION
ESTRATÉGICA
RIESGOS DEL INFORMACION PARA LA TOMA DE DECISIONES
GESTION DE RIESGOS
RIESGOS ESTRATEGICOS DE NEGOCIO
Riesgo
Probabilidad
Impacto
Total
Escasez de pérsonal calificado
3
2
5
Consolidación de la Industria
2
2
4
Acceso a la infraestructura
2
3
5
Mantenimiento de Licencia Social
para operar
3
3
6
Inquietud para el cambio climático
2
2
4
Alza de Costos
2
2
4
Disminución de recursos
1
3
4
Nacionalización de recursos
1
3
4
Acceso a Energía Segura
1
2
3
Mayor reglamentación.
1
3
4
INFRAESTRUCTURA DE LA EMPRESA
U
ADMINISTRACION DE RR.HH.
T
DESARROLLO TECNOLOGICO
I
L
ABASTECIMIENTO
P
R
O
S
P
E
C
C
I
O
N
E
X
P
L
O
R Y
A
C
I
O
N
D
E
S
A
R
R
O
L
L
O
E
X
T
R
A
C
C
I
O
N
T
R
A
N
S
F
O
R
M
A
C
I
O
N
V
E
N
T
A
D
E
M
I
N
E
R
A
L
F I N A N CRIESGO
I A M I ECALCULADO
NTO
ALTO RIESGO
I
C
I
E
R
R
E
D
A
D
GESTION DE RIESGOS CORPORATIVOS
CASH MANAGEMENT
IMPLEMENTACION DE NIIF
PROYECTOS DE INVERSION
ESTABILIDAD DE TALUDES
CARGOS DIRECTOS
CIERRE DE MINA
NIVELES DE INVENTARIOS
SEGURIDAD
POLITICAS CORPORATIVAS
RESERVAS O ESTIMACIONES
IMPUESTOS
PRECIO DE COMODITIES
FINANCIMIENTOS
COBERTURAS
INVERSIONES
RETENCION DE
PERSONAL
PRECIOS DE TRANSFERENCIA
CONTRATOS
RELACIONES COMUNITARIAS
GESTION LOGISTICA
Instituto de Auditores Internos del Perú
Clasificación de Riesgos
ESTRATÉGICO
Gobierno Corporativo
Político y
Económico
Modelo de Negocios
Apego a las
Reglas
Comunicación
Relación con
Accionistas
Concurrencia y
Mercado
Estructura
Organizacional
Fusiones y
Adquisiciones
Innovación
Tecnológica
Cambio de Gobierno
Incentivos de
Desempeño
Reputación e
Imagen
Responsabilidad
Social
Planeación
Continuidad de
los Negocios
Gestión del
Conocimiento
Satisfacción del
Cliente
Economía
Sucesión
Fraude
Desarrollo de
Productos y Servicios
Inversiones y
Proyectos
Marcas y
Patentes
Indicadores de
Desempeño
Política Pública
FINANCIERO
OPERACIONAL
Personal
Información y
Tecnología
Medio
Ambiente
Regulación
Capacitación
Acceso y
confidencialidad
Salud y
Seguridad
Contabilidad y
Finanzas
Crédito
Mercado
Liquidez
Concentración
Cambios
Costo de
Oportunidad
Canal de
Distribución
Obligación
contractual
Garantías
Derivados
Disponibilidad
de Capital
Capacidad
Operacional
Tercerizados
Flujo de Caja
Efectividad y
Eficiencia
Perdidas y
Obsoletos
Dependencia
de personal
clave
Límite de
Autoridad
Falla de
Producto/Serv.
Seguridad
Patrimonial
Retención de
talento
Fortalecimiento
Práctica
Comercial
Incumplimiento Tasa de interés
Participación
Proceso
REGLAMENTO
Credibilidad
Legal
Disponibilidad
Trabajo
Integridad
Tributario / Fiscal
Civil
Ambiental
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
Clasificación de Riesgos
Instituto de Auditores Internos del Perú
Instituto de Auditores Internos del Perú
UNIVERSO DE RIESGOS
1. Competencia
RIESGOS DE ENTORNO
3. Pérdida Catastrófica
6. Gobierno / Política
2. Disponibilidad de Capital
RIESGOS OPERACIONALES
1.
Satisfacción del cliente
2.
Competencias profesionales
3.
Retención de personal
4.
Ambiente laboral
5.
Dependencia del personal
6.
Desarrollo del producto
7.
Eficiencia operacional
8.
Capacidad instalada
9.
Brechas de desempeño
10. Disponibilidad de equipos y repuestos
11. Continuidad de negocio
12. Medio ambiente
13. Salud y seguridad
1.
2.
3.
RIESGOS DE PROCESOS
RIESGO DE JERARQUÍA
Liderazgo
Autoridad /Límites de autoridad
Comunicación
1.
2.
3.
RIESGOS DE INTEGRIDAD
Fraude del personal
Actos ilegales
Reputación
1.
2.
3.
4.
5.
RIESGOS DE TECNOLOGÍA
Relevancia de información
Integridad
Seguridad de la información
Disponibilidad de información
Infraestructura
4. Legal
5. Disponibilidad (reclut.)
RIESGO FINANCIERO
PRECIO
1.
Tasa de interés
2.
Tipo de cambio
3.
Capital
LIQUIDEZ
1.
Concentración
CRÉDITO
2.
Concentración
3.
Crediticio
4.
Colaterales
RIESGOS DE INFORMACIÓN PARA LA TOMA DE DECISIONES
RIESGOS OPERACIONALES
1.
Fijación de precios
2.
Medición de desempeño
5.
Reporte regulatorio
RIESGOS FINANCIEROS
1.
Presupuesto y planeación
2.
Información contable
3.
Evaluación del reporte financiero
4.
Impuestos
RIESGOS ESTRATÉGICOS
1.
Monitoreo de la información
2.
Portafolio de negocios
Instituto de Auditores Internos del Perú
.
Instituto de Auditores Internos del Perú
De acuerdo a los mejores prácticas de Basilea II establece que los riesgos operacionales que las entidades
deben identificar, medir y gestionar, deben clasificarse en la siguientes siete categorías de riesgo:
Categorías de Riesgo
Fraude Interno
Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar
regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al Menos una parte interna a la
empresa de beneficio propio.
Fraude externo
Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar la
legislación, por parte de un tercereo.
Relaciones laborales y
Seguridad en el trabajo
Pérdidas ocasionadas por actuaciones incompatibles con la legislación o acuerdos laborales, de
Higiene y seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de
Eventos de diversidad/discriminación.
Prácticas con clientes
Productos y negocios
Multas, sanciones, indemnizaciones y gastos ocasionados por litigios por infracciones de la
Normativa vigente y el marco jurídico existente cometidas por la entidad, y por reclamaciones de
Clientes que hayan sufrido un quebranto económico o se consideren perjudicados por la acción u
Omisión de la entidades la comercialización de productos o servidos.
Daños en activos físicos
Daños a activos materiales como consecuencia de desastres naturales u otros acontecimientos
Incidencias en el negocio
Y fallos en los sistemas
Pérdidas directas derivadas de fallos en los sistemas que soportan la actividad de la entidad
Ejecución, entrega y
gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de
relaciones con contrapartes comerciales y proveedores
Instituto de Auditores Internos del Perú
LA RESPUESTA AL RIESGO TIENE QUE DARSE EN UN
MARCO DE DESARROLLO SOSTENIBLE
Ó
PARA
ALCANZAR
UN
DESARROLLO
SOSTENIBLE,
ES NECESARIO TOMAR EN
CUENTA
DE
MANERA
SIMULTANEA EL CRECIMIENTO
ECONÓMICO,
EL
DESARROLLO SOCIAL Y EL
CUIDADO
DEL
MEDIO
AMBIENTE. ASI SE ESTARÍAN
CONSIDERANDO
LAS
NECESIDADES
DE
LAS
GENERACIONES
ACTUALES
SIN
COMPROMETER
LAS
NECESIDADES
DE
LAS
GENERACIONES FUTURAS.
CLAVES PARA LA IMPLEMENTACION EXITOSA
DE UN SISTEMA ERM
Desarrollo y puesta
Seguimi
Preparación
Diagnostico
Visión
del equipo
de
de
Desarrollo
riesgos
lalíder
situación
Plan
corporativos
de capacidades
de implantación
en marcha de la
ento
gestión de cambio
APOYO Y COMPROMISO DE LA ALTA DIRECCIÓN
Preparación del equipo líder
Desarrollo de Capacidades
Desarrollo del Plan de
Plan de Implantación
Implementación
Desarrollo y puesta en marcha de
Diagnóstico de la Situación
la Gestión de Cambio
Actual
Seguimiento
Visión de la Gestión de
Riesgos Corporativos
Conclusiones y recomendaciones

El ERM no es solamente un lineamiento para la
implementación y la Gerencia de Riesgos, es una filosofía que
debe ser adoptada desde lo más Alto de la Organización.

Muchas de las variables o de los factores de riesgos no son
controlables y dependen de factores externos que requieren
de gran atención.

ERM se puede convertir en una valiosa herramienta que puede
generar valor, ejemplo a través de su aplicación en los
procesos de las organizaciones.

Se requiere alinear el esquema de la Evaluación de Riesgos
con una Filosofía de Buen Gobierno Corporativo.

La resultande de las Evaluaciones de riesgos requiere de su
revelación por transparencia.
Conclusiones y recomendaciones
• Los Riesgos afectan de manera diferente a
Industrias del mismo sector, esto debido a su
estructura, filosofía, solidez y posicionamiento en
el mercado entre otros.
• El Perú tiene una cartera estimada de US $ 41,000
millones de dólares en Proyectos Mineros, cuya
inversión requerirá de profesionales calificados
que dentro de sus competencias manejen la cultura
de la administración de riesgos.
• Se Recomienda su implementación
Muchas gracias
Correo electrónico :
flopeza@southernperu.com.pe