Instituto de Auditores Internos del Perú MAPAS DE RIESGOS EN AUDITORIA INTERNA 28 De Agosto del 2015 Expositor : Rafael Fernando López Abad CPC, MsC, CRMA RAFAEL FERNANDO LÓPEZ ABAD • Presidente del Instituto de Auditores Internos del Peru, Periodo 2013-2015 • CPC - Universidad de San Martin de Porres • Máster en Ciencias MsC - Universidad Nacional de Ingeniería • IRCA – International Register of Certified Auditors • Especialista en Finanzas - ESAN • Gerente de Auditoría Interna de Southern Copper Corporation (GRUPO MEXICO) • Ex Auditor de Pricewaterhouse • Ex Auditor de Ernst & Young • Profesor de GERENS – Escuela de Gestión y Economía, ESAN, UTP CONTENIDO Antecedentes. Modelos de Control Interno. Riesgos de negocio en minería. Elementos de la gestión de riesgos. Ejemplos de Factores de riesgo. Conclusiones y Recomendaciones. Instituto de Auditores Internos del Perú Enron (2001) Registro indebido de instrumentos financieros. WorldCom (2002) Investigación de la SEC por uso de prácticas contables indebidas. HealthSouth (2003) Presentación de utilidades sobreestimadas. Shell (2004) Error en el registro de reservas, 3.9 billones de barriles. Coincidencias Son temas “exclusivos” de interpretación de la técnica contable. En todos los casos confluyó la intención (error) de personas clave. Debilidades en la clarificación de roles y responsabilidades. Debilidades en el ambiente de control. Conflictos de intereses y confabulación Fraude de cuello blanco Instituto de Auditores Internos del Perú Modelos de Control Interno. Modelos de Control Interno y Gestión de Riesgos 1946 1992 1995 1996 Marco Integral de Control Interno COSO (1992) Control 1998 1999 2001 2002 2004 Marco Integral de Gestión de Riesgos Riesgo COSO ERM (2004) Reforma regulatoria en los Estados Unidos Ley Sarbanes-Oxley La cadena de valor del reporte corporativo Ejecutivos Consejo Emisores de estándares Reguladores Tecnologías Auditores Analistas Inversionistas ¿Y el Perú? ¿es ajeno a ello?… LEY SARBANES OXLEY • El congreso americano en el año 2002, aprobó la Ley Sarbanes Oxley (SOX) en respuesta a una serie de fallas de negocios y escándalos corporativos que empezaron en el 2001 y que agudizaron la falta de confianza de los inversionistas en los mercados financieros. • Sarbanes Oxley es una reforma legal orientada a la mejora del gobierno corporativo y la transparencia informativa, fomentando la independencia de auditores y la adecuada resolución de conflictos de interés. La Ley SOX impone importantes obligaciones y restricciones a las compañías que realizan registros ante la Securities and Exchange Commission (SEC), sus directivos, auditores entre otros. Pero … ¿Por qué hablamos de la Ley Sarbanes Oxley? LEY SARBANES OXLEY • La Ley Sarbanes Oxley considera aspectos de Buen Gobierno Corporativo que fomentan una mayor credibilidad de la información financiera para el mercado de valores. Fundamentalmente se basa en la implementación de la sección 404: Control Interno. La estructura mínima de control interno requerida por la sección 404 es la establecida por el Informe del “Committee of Sponsoring Organizations of the Treadway Commission” – Informe COSO. • Asimismo, la sección 404 de la Ley SOX establece que las empresas que cotizan en la bolsa de Nueva York deben evaluar y certificar anualmente su sistema de Control Interno. ¿PARA QUE NECESITAMOS IMPLEMENTAR COSO? • Para dar cumplimiento a la ley Sarbanes Oxley. • Para Fortalecer el Sistema de Control Interno • COSO ayuda a las organizaciones en el logro de sus objetivos de negocios. • A fin de Garantizar la Transparencia de la Información Financiera en adherencia a las Normas y Regulaciones. • Fortalecer los Aspectos relacionados con “El Problema de Agencia”…………………….. INFORME COSO - INTERNAL CONTROL INTEGRATED FRAMEWORK Committee of Sponsoring Organizations of the Treadway Commission En los Estados Unidos la National Commission on Fraudulent Financial Reporting, a través de su Committee of Sponsoring Organizations, en 1992 publicó el famoso Informe COSO sobre Control Interno Marco Integrado, dicho informe desarrolló nuevos conceptos de control interno. Instituto de Auditores Internos del Perú El Panorama que enfrenta la Empresa Regulación Reguladores comerciales Ministerio de Energía y Minas Ente gubernamental Gobierno corporativo SUNAT Comité de riesgos Mercados de capital Prestamistas Administración De riesgos Banca de inversión Inversionistas Comité de auditoría Fusiones y adquisiciones Junta directiva Alta Gerencia Presión en márgenes de rentabilidad Otros Guerra de talentos Internet Presión política Avances tecnológicos Globalización - Complejidad regulatoria sin precedentes - Altos requerimientos de calidad - Incremento de reportes a entidades de vigilancia y control - Altos niveles de medición - Menor tolerancia al riesgo Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú …Y cuál el origen de los riesgos? Dirección Nivel Gerencial Procesos/ Subprocesos Proyectos Actividades Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú •La práctica de riesgos ha evolucionado durante este último tiempo. Tanto el mercado como las entidades regulatorias han ido perfeccionando sus enfoques, metodologías y con esto han ido generando mejoras que están siendo integradas por las organizaciones. • Uno de los precursores en establecer directrices en la materia ha sido Basilea, el mismo que ha ido otorgando cada vez mayor importancia a la administración y gestión del riesgo operacional. Esto lo han reconocido las organizaciones y han emprendido distintos caminos con el objetivo de avanzar en la gestión efectiva de este riesgo. •Basados en estos lineamientos y tendencias los organismos reguladores ha incrementado su foco y exigencias de supervisión en el ámbito de riesgo operacional en la industria financiera. •La teoría desarrollada en base a marcos referenciales de riesgo ha sido aplicada, probada y existen importantes conclusiones que requieren de toda la atención de los gestores de riesgo operacional. Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú Importancia del Proceso de Gestión de Riesgo Empresarial Asistir a la Alta Dirección en el cumplimiento de sus objetivos de forma eficiente y efectiva, a través de un proceso que le permita: Identificar y evaluar sus Riesgos. Definir Planes de Acción para mitigar la posibilidad de materialización de dichos riesgos o reducir sus efectos frente a los objetivos trazados. Generar una mejor asignación de recursos. Este proceso se desarrolla en tres niveles: 1. Entorno 2. Procesos 3. Información para la toma de Decisiones. Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú Monitorear el uso de información interna Comunicación Observar las “banderas rojas” Controlar los conflictos de intereses ..... Asegurar la ética organizacional Consultar al auditor externo Establecer una auditoria interna eficaz Asegurar la independencia del auditor externo Inteligencia en Riesgo Instituto de Auditores Internos del Perú Los cinco componentes del Control Interno . Ambiente de Control . • Establece el “tono” (crea conciencia en la organización hacia los controles) • Los factores Incluyen: • Integridad y valores éticos, • Capacidad del personal, • Prácticas de recursos humanos, • Filosofía de operación de la gerencia, • La forma en que la autoridad y la responsabilidad están asignadas, y • La atención y dirección proporcionada por el consejo directivo. • Es el fundamento para todos los otros componentes de control. Evaluación de Riesgos . • Antes de poder realizar una evaluación de riesgo, es necesario el establecimiento de objetivos, ligados entre sí a diferentes niveles y de manera consistente. • La identificación y el análisis de los riesgos relevantes para el cumplimiento de los objetivos . • Forma la base para determinar cómo deben ser administrados los riesgos . • Es necesario contar con mecanismos para identificar y confrontar con los riesgos asociados con el cambio. Actividades de Control . • Políticas/Procedimientos que aseguran el cumplimiento de las directrices de la gerencia. • Ayudan a asegurar el cumplimiento de las acciones necesarias para confrontar y reducir los riesgos . • Se llevan a cabo actividades de control a lo largo de toda la organización, a todos niveles y en todas las funciones. • El rango de actividades incluye: • Aprobaciones, autorizaciones, verificaciones, revisiones de desempeño, resguardo de activos, segregación de funciones, etc. Información y Comunicación . • Asegurar que la información importante es identificada, capturada, y comunicada en un tiempo que permita al personal cumplir sus responsabilidades. • Incluye información interna y externa sobre eventos, actividades y condiciones necesarias para la toma de decisiones del negocio y los reportes externos. • Existe un flujo de información que permite un control exitoso desde la emisión de instrucciones sobre las responsabilidades hasta la preparación de resúmenes de hallazgos para la administración. Monitoreo . • Evaluación del desempeño del sistema de control en el tiempo • Combinación de evaluaciones continuas y por separado. • Las deficiencias en el control interno deberán ser reportadas “hacia arriba”, asegurándose que los temas importantes sean reportados a la alta gerencia y al consejo. • La combinación de evaluaciones continuas y por separado aseguran que el proceso de control interno conserva su efectividad a través del tiempo . Monitoreo . • El monitoreo continuo incluye las actividades de supervisión realizadas comúnmente por la gerencia y otras acciones que realiza el personal durante el desempeño de sus labores diarias . • Las evaluaciones por separado proporcionan retroalimentación independiente en un momento preciso: • El alcance y frecuencia dependerán principalmente de la evaluación de riesgos y la efectividad de los procedimientos de monitoreo continuo. • La evaluación pudiera ser hecha a través de auto-evaluaciones, “checklists” y revisiones de control interno. • Estas revisiones pueden ser realizadas por el auditor interno o externo (para cumplir con los propósitos de su auditoria) y por consultores externos. Evaluación de Riesgos Corporativos COMERCIAL Precio Demanda Oferta Especulación Calidad del Producto Seguridad en el Transporte Embarque y Tráfico Clientes Contratos REPORTE FINANCIERO OPERATIVOS Equipos Mano de Obra Ferrocarril Proceso Operativo Condiciones Climatológicas Condiciones Ambientales Recursos Naturales Reservas Seguridad Industrial Insumos y Repuestos Energía Costo de Producción Cobranzas Custodia en Bancos Control de ME Tipo de Cambio Liquidez Endeudamiento Inversiones Integridad de los registros contables OTROS LEGAL RECURSOS HUMANOS ENTORNO GENERAL ENTORNO GUBERNAMENTAL IMAGEN CORPORATIVA Y GOBIERNO CORPORATIVO ESTRATÉGICO LO QUE ES ERM (ENTERPRISE RISK MANAGEMENT) . Un proceso efectuado por el Directorio, la Gerencia y otro personal, aplicado en la formulación de estrategias y a través de toda la empresa (en cada nivel o unidad), diseñado para identificar eventos potenciales que podrían afectar la entidad, y gerenciar los riesgos que se encuentren dentro de los límites de riesgo, con el propósito de proveer de una certeza razonable en el logro de los objetivos de la entidad LO QUE NO ES ERM (ENTERPRISE RISK MANAGEMENT) •Un remplazo de los esfuerzos actuales de gestión de riesgos. Otra Iniciativa o ejercicio burocrático de cumplimiento •Sólo relacionado con evitar los riesgos, sin considerar la Toma inteligente de los mismos. •Un sustituto para el Juicio de la Gestión. •Una Seguridad absoluta. •De propiedad exclusiva de Auditoría Interna o Finanzas Riesgos de Negocio en Minería PERDIDA CATASTROFICA SENSIBILIDAD SOBERANO POLITICA RELACIONES CON ACCIONISTAS LEGAL – TRIBUTARIO RIESGOS DEL ENTORNO RELACIONES CON COMUNIDADES Riesgos de Negocio en Minería RIESGOS DE OPERACIONES RIESGOS DE DIRECCION RIESGOS DE TECNOLOGÍA DE INFORMACIÓN RIESGOS DE INTEGRIDAD RIESGOS DEL PROCESOS RIESGOS FINANCIEROS Riesgos de Negocio en Minería INFORMACION OPERATIVA INFORMACION FINANCIERA INFORMACION ESTRATÉGICA RIESGOS DEL INFORMACION PARA LA TOMA DE DECISIONES GESTION DE RIESGOS RIESGOS ESTRATEGICOS DE NEGOCIO Riesgo Probabilidad Impacto Total Escasez de pérsonal calificado 3 2 5 Consolidación de la Industria 2 2 4 Acceso a la infraestructura 2 3 5 Mantenimiento de Licencia Social para operar 3 3 6 Inquietud para el cambio climático 2 2 4 Alza de Costos 2 2 4 Disminución de recursos 1 3 4 Nacionalización de recursos 1 3 4 Acceso a Energía Segura 1 2 3 Mayor reglamentación. 1 3 4 INFRAESTRUCTURA DE LA EMPRESA U ADMINISTRACION DE RR.HH. T DESARROLLO TECNOLOGICO I L ABASTECIMIENTO P R O S P E C C I O N E X P L O R Y A C I O N D E S A R R O L L O E X T R A C C I O N T R A N S F O R M A C I O N V E N T A D E M I N E R A L F I N A N CRIESGO I A M I ECALCULADO NTO ALTO RIESGO I C I E R R E D A D GESTION DE RIESGOS CORPORATIVOS CASH MANAGEMENT IMPLEMENTACION DE NIIF PROYECTOS DE INVERSION ESTABILIDAD DE TALUDES CARGOS DIRECTOS CIERRE DE MINA NIVELES DE INVENTARIOS SEGURIDAD POLITICAS CORPORATIVAS RESERVAS O ESTIMACIONES IMPUESTOS PRECIO DE COMODITIES FINANCIMIENTOS COBERTURAS INVERSIONES RETENCION DE PERSONAL PRECIOS DE TRANSFERENCIA CONTRATOS RELACIONES COMUNITARIAS GESTION LOGISTICA Instituto de Auditores Internos del Perú Clasificación de Riesgos ESTRATÉGICO Gobierno Corporativo Político y Económico Modelo de Negocios Apego a las Reglas Comunicación Relación con Accionistas Concurrencia y Mercado Estructura Organizacional Fusiones y Adquisiciones Innovación Tecnológica Cambio de Gobierno Incentivos de Desempeño Reputación e Imagen Responsabilidad Social Planeación Continuidad de los Negocios Gestión del Conocimiento Satisfacción del Cliente Economía Sucesión Fraude Desarrollo de Productos y Servicios Inversiones y Proyectos Marcas y Patentes Indicadores de Desempeño Política Pública FINANCIERO OPERACIONAL Personal Información y Tecnología Medio Ambiente Regulación Capacitación Acceso y confidencialidad Salud y Seguridad Contabilidad y Finanzas Crédito Mercado Liquidez Concentración Cambios Costo de Oportunidad Canal de Distribución Obligación contractual Garantías Derivados Disponibilidad de Capital Capacidad Operacional Tercerizados Flujo de Caja Efectividad y Eficiencia Perdidas y Obsoletos Dependencia de personal clave Límite de Autoridad Falla de Producto/Serv. Seguridad Patrimonial Retención de talento Fortalecimiento Práctica Comercial Incumplimiento Tasa de interés Participación Proceso REGLAMENTO Credibilidad Legal Disponibilidad Trabajo Integridad Tributario / Fiscal Civil Ambiental Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú Clasificación de Riesgos Instituto de Auditores Internos del Perú Instituto de Auditores Internos del Perú UNIVERSO DE RIESGOS 1. Competencia RIESGOS DE ENTORNO 3. Pérdida Catastrófica 6. Gobierno / Política 2. Disponibilidad de Capital RIESGOS OPERACIONALES 1. Satisfacción del cliente 2. Competencias profesionales 3. Retención de personal 4. Ambiente laboral 5. Dependencia del personal 6. Desarrollo del producto 7. Eficiencia operacional 8. Capacidad instalada 9. Brechas de desempeño 10. Disponibilidad de equipos y repuestos 11. Continuidad de negocio 12. Medio ambiente 13. Salud y seguridad 1. 2. 3. RIESGOS DE PROCESOS RIESGO DE JERARQUÍA Liderazgo Autoridad /Límites de autoridad Comunicación 1. 2. 3. RIESGOS DE INTEGRIDAD Fraude del personal Actos ilegales Reputación 1. 2. 3. 4. 5. RIESGOS DE TECNOLOGÍA Relevancia de información Integridad Seguridad de la información Disponibilidad de información Infraestructura 4. Legal 5. Disponibilidad (reclut.) RIESGO FINANCIERO PRECIO 1. Tasa de interés 2. Tipo de cambio 3. Capital LIQUIDEZ 1. Concentración CRÉDITO 2. Concentración 3. Crediticio 4. Colaterales RIESGOS DE INFORMACIÓN PARA LA TOMA DE DECISIONES RIESGOS OPERACIONALES 1. Fijación de precios 2. Medición de desempeño 5. Reporte regulatorio RIESGOS FINANCIEROS 1. Presupuesto y planeación 2. Información contable 3. Evaluación del reporte financiero 4. Impuestos RIESGOS ESTRATÉGICOS 1. Monitoreo de la información 2. Portafolio de negocios Instituto de Auditores Internos del Perú . Instituto de Auditores Internos del Perú De acuerdo a los mejores prácticas de Basilea II establece que los riesgos operacionales que las entidades deben identificar, medir y gestionar, deben clasificarse en la siguientes siete categorías de riesgo: Categorías de Riesgo Fraude Interno Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al Menos una parte interna a la empresa de beneficio propio. Fraude externo Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte de un tercereo. Relaciones laborales y Seguridad en el trabajo Pérdidas ocasionadas por actuaciones incompatibles con la legislación o acuerdos laborales, de Higiene y seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de Eventos de diversidad/discriminación. Prácticas con clientes Productos y negocios Multas, sanciones, indemnizaciones y gastos ocasionados por litigios por infracciones de la Normativa vigente y el marco jurídico existente cometidas por la entidad, y por reclamaciones de Clientes que hayan sufrido un quebranto económico o se consideren perjudicados por la acción u Omisión de la entidades la comercialización de productos o servidos. Daños en activos físicos Daños a activos materiales como consecuencia de desastres naturales u otros acontecimientos Incidencias en el negocio Y fallos en los sistemas Pérdidas directas derivadas de fallos en los sistemas que soportan la actividad de la entidad Ejecución, entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores Instituto de Auditores Internos del Perú LA RESPUESTA AL RIESGO TIENE QUE DARSE EN UN MARCO DE DESARROLLO SOSTENIBLE Ó PARA ALCANZAR UN DESARROLLO SOSTENIBLE, ES NECESARIO TOMAR EN CUENTA DE MANERA SIMULTANEA EL CRECIMIENTO ECONÓMICO, EL DESARROLLO SOCIAL Y EL CUIDADO DEL MEDIO AMBIENTE. ASI SE ESTARÍAN CONSIDERANDO LAS NECESIDADES DE LAS GENERACIONES ACTUALES SIN COMPROMETER LAS NECESIDADES DE LAS GENERACIONES FUTURAS. CLAVES PARA LA IMPLEMENTACION EXITOSA DE UN SISTEMA ERM Desarrollo y puesta Seguimi Preparación Diagnostico Visión del equipo de de Desarrollo riesgos lalíder situación Plan corporativos de capacidades de implantación en marcha de la ento gestión de cambio APOYO Y COMPROMISO DE LA ALTA DIRECCIÓN Preparación del equipo líder Desarrollo de Capacidades Desarrollo del Plan de Plan de Implantación Implementación Desarrollo y puesta en marcha de Diagnóstico de la Situación la Gestión de Cambio Actual Seguimiento Visión de la Gestión de Riesgos Corporativos Conclusiones y recomendaciones El ERM no es solamente un lineamiento para la implementación y la Gerencia de Riesgos, es una filosofía que debe ser adoptada desde lo más Alto de la Organización. Muchas de las variables o de los factores de riesgos no son controlables y dependen de factores externos que requieren de gran atención. ERM se puede convertir en una valiosa herramienta que puede generar valor, ejemplo a través de su aplicación en los procesos de las organizaciones. Se requiere alinear el esquema de la Evaluación de Riesgos con una Filosofía de Buen Gobierno Corporativo. La resultande de las Evaluaciones de riesgos requiere de su revelación por transparencia. Conclusiones y recomendaciones • Los Riesgos afectan de manera diferente a Industrias del mismo sector, esto debido a su estructura, filosofía, solidez y posicionamiento en el mercado entre otros. • El Perú tiene una cartera estimada de US $ 41,000 millones de dólares en Proyectos Mineros, cuya inversión requerirá de profesionales calificados que dentro de sus competencias manejen la cultura de la administración de riesgos. • Se Recomienda su implementación Muchas gracias Correo electrónico : [email protected]
© Copyright 2024