COSO, Procesos de Negocios, Control y Riesgo Operacional

Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, publicó el Internal Control - Integrated Framework para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.

Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones de la Ley Sarbanes-Oxley.

A medida que acelera el ritmo de cambio, la mayoría de las organizaciones necesitarán mejorar su capacidad de aprovechar oportunidades, evitar riesgos y manejar la incertidumbre. Esta nueva metodología proporciona la estructura conceptual y el camino para lograrlo.
La premisa principal de la gestión integral de riesgo es que cada entidad, con o sin fines de lucro, existe para proveer valor a sus distintos “grupos de interés”. Sin embargo, todas estas entidades enfrentan incertidumbres y el desafío para la administración es determinar que cantidad de incertidumbre esta la entidad preparada para aceptar, como esfuerzo, en su búsqueda de incrementar el valor de esos “grupos de interés”. Esa incertidumbre se manifiesta tanto como riesgo y oportunidad, con el potencial de erosionar o generar valor.
La gestión integral de riesgo permite a la administración tratar efectivamente la incertidumbre, riesgo y oportunidad, de tal modo de aumentar la capacidad de la entidad de construir valor.

La incertidumbre es generada por factores externos a la entidad como la globalización, tecnología, reestructuraciones, cambios en los mercados, competencia y regulaciones, y por factores internos como las elecciones estratégicas de la organización. La incertidumbre emana de la inhabilidad para determinar con precisión la probabilidad asociada a la ocurrencia de un evento y a sus impactos correspondientes.
El valor es creado, preservado o erosionado por las decisiones de la administración en todas las actividades, desde la planificación estratégica a la operación del día a día.

La creación de valor ocurre por la asignación de recursos, incluyendo personal, capital, tecnología, y marca, donde el beneficio derivado es mayor que los recursos utilizados. La preservación de valor ocurre cuando el valor creado es sostenido en el tiempo, a través de calidad superior del producto o servicio, capacidad de producción, satisfacción al cliente, entre otras. El valor puede ser erosionado cuando estos objetivos no son alcanzados debido a una pobre estrategia o a su débil ejecución.

El valor es maximizado cuando la administración fija estrategias y objetivos para poner un balance óptimo entre objetivos de crecimiento, retorno y riesgos relacionados, y despliega eficiente y eficazmente los recursos en búsqueda de los objetivos de la entidad.

La gestión integral de riesgos es un proceso desarrollado por toda la organización para identificar eventos potenciales que pueden afectar la consecución de sus objetivos, de modo de administrarlos dentro de su apetito al riesgo, para proveer una seguridad razonable respecto del logro de los objetivos de la organización".

Relatores:

Marcelo Guerra

  • Es consultor líder del área Financial Risk Services (FRS) en PricewaterhouseCoopers. Es Ingeniero Civil Industrial de la Universidad de Chile, con amplia experiencia en gestión integral de riesgo en compañías del sector financiero como entidades del sector real en diversas industrias. Su trabajo se ha enfocado principalmente en el diseño e implementación del marco de gestión de riesgo, abarcando desde la identificación de los riesgos del negocio y sus procesos hasta las actividades de administración.

La gestión integral de riesgos permite:

  • Alinear la estrategia con el apetito al riesgo
  • Incrementar las respuestas al riesgo
  • Reducir las pérdidas y sorpresas operacionales
  • Identificar y administrar riesgos que cruzan la organización
  • Proveer respuestas integradas a múltiples riesgos
  • Identificar oportunidades
  • Mejorar la distribución de capital

Objetivo General

  • Al término de este Curso los participantes comprenderán como desarrollan las empresas líderes la administración de riesgos bajo un enfoque corporativo (Enterprise Risk Management - Integrated Framework).

Objetivos Específicos

  • Conocer la definición de Administración Integral de Riesgos e identificar sus componentes
  • Comprender los conceptos claves, técnicas y metodologías asociadas a cada componente de la Administración Integral de Riesgos
  • Conocer los roles y responsabilidades del personal interno y entes externos, en la Administración Integral de Riesgo
  • Conocer las limitaciones de la administración integral de riesgo y sus implicancias

Destinado a

  • Contralores, Auditores Internos, Encargados de Control de Gestión, Administradores de Riesgo Corporativo y en general a todos aquellos que por sus funciones asignadas estén involucrados en la evaluaciones de control interno basada en riesgo.

Nota: los participantes deben llevar una calculadora financiera para el correcto desarrollo del curso.

Día n° 1A Definición de Administración Integral de Riesgo - ERM (Enterprise Risk Management - Integrated Framework), sus componentes y conceptos relacionados

  • Definir Administración Integral de Riesgos e identificar los conceptos claves:
  • incertidumbre, valor, eventos, riesgos y oportunidades
  • Definición de Administración Integral de Riesgo - Enterprise Risk Management
  • Categorías de objetivos corporativos
  • Componentes de la Administración Integral de Riesgos y su relación con los objetivos corporativos
  • Relación de la Administración Integral de Riesgos con el control interno y el proceso de administración

Día n° 1B Primer componente de ERM - Entorno Interno

  • Comprender el significado, importancia y los elementos claves del entorno interno:
    • Filosofía de administración de riesgo
    • Apetito al riesgo
    • Junta de directores
    • Integridad y valores éticos
    • Competencias
    • Estructura Organizacional
    • Asignación de autoridad y responsabilidad
    • Políticas de Recursos Humanos
    • Implicancias del entorno interno
  • Ejercicio práctico

Día n° 2A Segundo componente de ERM - Definición de Objetivos

  • Comprender las categorías de los objetivos, sus características, relaciones y su importancia en la Administración Integral de Riesgo:
    • Concepto de objetivos estratégicos, operacionales, reportes y cumplimiento
    • Logro de los objetivos
    • Selección de los objetivos
    • Concepto de apetito al riesgo
    • Concepto de tolerancia al riesgo
  • Ejercicio práctico

Día n° 2B Tercer componente de ERM - Identificación de Eventos

  • Comprender que son los eventos, sus categorías y las técnicas de identificación:
    • ¿Que se entiende por eventos?
    • Factores que influencian los eventos
    • Técnicas de identificación de eventos
    • Interdependencia de eventos
    • Categorías de eventos
    • Eventos - Riesgos u Oportunidades
  • Ejercicio práctico.

Día n° 3A Cuarto componente de ERM - Evaluación de Riesgos

  • Comprender los conceptos y las técnicas de evaluación de riesgo:
    • Contexto para la evaluación de riesgos
    • Conceptos de riesgo inherente y residual
    • Estimación de impacto y probabilidad
    • Fuentes de información para la evaluación de riesgos
    • Técnicas de evaluación de riesgos
    • Relación de los eventos en el proceso de evaluación de riesgos
  • Ejercicio práctico

Día n° 3B Quinto componente de ERM - Respuesta al Riesgo

  • Dar a conocer las estrategias y categorías de respuesta al riesgo:
    • Cuatro categorías de respuesta al riesgo
    • Evaluación de posibles respuestas
    • Selección de la respuesta al riesgo
    • Concepto de portafolio de riesgos
  • Ejercicio práctico

Día n° 3C Sexto componente de ERM - Actividades de Control

  • Comprender los conceptos y tipos de actividades de control:
    • Su integración con las respuestas a los riesgos
    • Tipos de actividades de control
    • Políticas y procedimientos
    • Controles sobre sistemas de información
    • Controles generales
    • Controles de aplicación
  • Ejercicio práctico

Día n° 4A Séptimo componente de ERM - Información y Comunicación

  • Comprender los conceptos de información y comunicación:
    • Concepto, importancia y características de la información
    • Tipos y medios de comunicación
  • Caso práctico

Día n° 4B Octavo componente de ERM – Monitoreo

  • Comprender el concepto de monitoreo, su elaboración y reporte:
    • Monitoreo de actividades en curso
    • Concepto de evaluaciones independientes
    • Reportando deficiencias
  • Ejercicio práctico

Día n° 4C Roles y Responsabilidades

    • Conocer los roles y responsabilidades del personal interno y entes externos, en la Administración Integral de Riesgo:
      • Roles y responsabilidades del personal de la organización
      • Roles y responsabilidades de partes externas a la organización

Día n° 4D Conclusiones y próximos pasos

      • Realizar una revisión de las principales conclusiones, reflexiones y lecciones aprendidas a lo largo del curso:
        • Limitaciones de la Administración Integral de Riesgo
        • Otros estándares de Administración de Riesgo
        • Experiencias de otras empresas
      • Prueba de evaluación