1
ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile )
DOCUMENTOS DE APOYO
PARA EL ANALISIS Y REVISIÓN DEL FRAUDE
1
Santiago, diciembre de 2012
© Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000
«Risk management- Principles and guidelines «
2
OBJETIVO • Esta Asociación entrega aquí a sus Firmas asociadas, a los lectores de su
página web, incluidos profesores y estudiantes del mundo académico y a quienes estén interesados, una guía para el análisis de la ISO 31.000.
• Este documento es adicional a los que cada Firma tuviere y es por tanto, material de lectura, análisis y apoyo en un tema importante como lo es el Riesgo.
José Monsalve
Presidente
2 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
3
REFERENTE A ISO • ISO es una entidad que agrupa a 163 países ( Chile pertenece ) que emite
diversa normativa, que si bien no es obligatoria, constituyen mejores prácticas. Es para todo tipo de empresas públicas y privadas.
• http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n
• La ISO 31.000 fue aprobada en noviembre del 2009 después de dos años de trabajo. Es la única ISO de Riesgos. Fue aprobada por todos los países
( un voto en contra y dos abstenciones ) Chile la aprobó.
• El documento se titula . “Risk management- Principles and Guidelines” , está sólo en inglés y francés; no es público y al comprarlo vale unos
US $ 100.
Está basada principalmente en la norma australiana nuevo zelandesa
AS/NZC 4360.
• La guía 73 es el documento con las definiciones el que también, para
quienes les interese, debe comprarse.
• Aquí se acompañan algunas diapositivas con referencias y
definiciones de la ISO .
3 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
4
REFERENTE A ISO
• La ISO recomienda revisar lo que tenga cada empresa en administración y control de riesgos y compararlo con lo contenido en esta ISO .
• Por ahora , esta ISO no es certificable, pero si es una buena práctica acordada por 160 países, incluido Chile, o sea, internacional.
• Esta ISO es para todo tipo de empresas.
• Es recomendable analizar el contenido de cada una de las tres diapositivas siguientes y comparar con lo que se tiene, levantar los eventuales Gaps y establecer planes de acción.
• Estas diapositivas pueden considerarse un resumen; se han tomado tal cual y se ha hecho una traducción libre al español.
4 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
5
5 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela
6
6 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela
7
7 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela
8
RIESGO
• Riesgo : algo que afecta positiva o negativamente al logro de los objetivos, con la potenciales eventos y consecuencias asociados a probabilidades de ocurrencia.
• Suele usarse riesgo sólo en sentido negativo; el mensaje es que cuando se afecta positivamente, debe revisarse si no hubieren existido riesgos en esos logros.
• La realidad tanto chilena como extranjera nos muestra empresas que a primera vista eran exitosas y con grandes logros comerciales y financieros y terminaron evidenciándose que las realidades eran muy diferentes.
• Lo contenido en la Guía 73, está simultáneamente en inglés y francés , los dos idiomas que usa ISO, en español, no por ahora.
8
© Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
9
CONCEPTO DE RIESGO
• Para ISO 31.00o riesgo es algo así como efecto de incertidumbre en el logro de objetivos, desviación que puede ser negativa o positiva
• Los objetivos pueden ser de distinto tipo; financieros, estratégicos , proyectos, productos, procesos etc.
• Dicha ISO se refiere a Administración de riesgos como la coordinación de actividades para dirigir y controlar a la entidad respecto a los riesgos.
• Comenta luego que hay que tener un “ framework” ( estructura ) que provea a la empresa arreglos para diseñar, implementar , monitorear y revisar continuamente la administración de riesgos a través de la organización.
• Lo anterior incluye :políticas, objetivos y mandatos superiores, así como las relaciones,” accountabilities “ ( dar cuenta ) recursos, procesos y actividades.
• Expresa que dicho framework debe estar integrado con la organización, la estrategia, las políticas y prácticas.
9 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
10
DIAPOSTIVA 5 , PRINCIPIOS DE AR BREVE EXPLICACIÓN • Creación de valor: La administración de riesgos ( AR )
contribuye a ello para el logro de los objetivos, eficiencia en las operaciones , gobierno y reputación.
• Parte integral del proceso de organización :AR es parte y no algo aislado, incluye las estrategias, procesos y es parte de la responsabilidad de la Administración .
• Parte del proceso de decisiones:AR ayuda en las evaluaciones y decisiones.
• Elección de decisiones entre alternativas inciertas.AR ayuda a administrar las decisiones inciertas.
• Sistemática, estructurada y operación en contexto de tiempo
Contribuye a la eficiencia, consistencia y comparaciones de resultados.
10 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
11
DIAPOSTIVA 5 , PRINCIPIOS continuación • Basada en la mejor información disponible. Contar con ella,
saber sus limitaciones , usar el juicio, modelarla y considerar las divergencias entre expertos.
• Para empresa a la medida. Cada empresa debe formular y aplicar la ISO 31.000 según su realidad, cultura etc.; aquí no hay un check list genérico.
• Considera aspectos humanos y culturales de la empresa.
AR considera todos los aspectos internos y externos de cada empresa en particular.
• Transparente e inclusiva, debe incluir a la empresa y a los stakeholders y considerar sus visiones en los criterios de riesgo.
11 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
12
DIAPOSTIVA 5 , PRINCIPIOS continuación • Dinámica, iterativa que responde a los cambios. El mundo es
dinámico, deben monitorearse los cambios e ir ajustando AR.
• Facilita mejoras continuas y progresos en la organización.
Tener estrategias para ir conociendo en la medida que AR va madurando, los ajustes de mejoras necesarios.
12 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
13
DIAPOSTIVA 5 , ESTRUCTURA Mandato y compromiso • Requiere política explícita de AR.
• Asegura que la empresa esté alineada con los objetivos.
• Ayuda al cumplimiento legal y regulatorio.
• Determina indicadores de riesgo y los mide.
• Especifica las accountabilities en los distintos niveles.
• Asigna los recursos para cumplir con AR
• Comunica a los stakeholders los beneficios de cumplir con AR.
13 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
14
DIAPOSTIVA 5 . Diseño de estructura para Administración de riesgo • Entender la organización y su contexto.
• Establecer la política de admnistración de riesgo.
• Tener un sistema de accountability.
• Integración de AR con los procesos de la empresa.
• Dotar a la organización de recursos para AR:personas capacitadas, recursos materiales y financieros, programas de capacitación, dotación de sistemas y documentación de procesos y procedimientos.
• Establecer comunicaciones y mecanismos de reportes.
14 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
15
DIAPOSTIVA 5 . Implementación de la administración de riesgos • Implementando el framework
• Calendario y estrategia para implementarla.
• Aplicar la política y el proceso de AR al proceso de organización.
• Cumplir con los requerimientos legales y regulatorios.
• Asegurarse que las decisiones que se tomen y el establecimiento de los objetivos están alineados con el proceso de AR.
• Mantener información y capacitación.
• Mantener comunicaciones con los stakeholders para asegurarse que el framework es apropiado.
15 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
16
DIAPOSTIVA 5 . . Implementación de la administración de riesgos • Implementando el proceso
• En todos los niveles.
• En todas las funciones.
• Como parte de las prácticas y procesos.
16 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
17
DIAPOSTIVA 5 . Monitoreando y revisando el framework • Medir las performances contra indicadores que deben
revisarse periódicamente.
• Analizar las desviaciones contra el plan.
• Revisar periódicamente si el framework sigue siendo apropiado.
• Informar si se está cumpliendo.
• Revisar la efectividad del framework
17 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
18
DIAPOSTIVA 5 . Mejora continua del framework • Basado en los monitoreos y revisiones , deben tomarse
decisiones de cómo el framework, la política y el plan pueden ser mejorados. Estas decisiones deberían llevar a mejoras en la organización de AR y la cultura de AR.
18 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
19
DIAPOSTIVA 5 Comunicación y consultas • Debe tenerse con entes internos y con los stakeholders
durante todo el proceso de AR.
• El plan de comunicaciones debe establecerse tempranamente.
• Ayuda a que todos los riesgos sean bien comprendidos.
• Se tiene distintas visiones lo que potencia AR.
• Ello puede hacer mejorar AR.
19 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
20
DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto • En lo general, considerar el alcance del proceso de AR.
• En el contexto externo, considerar entre otros : aspectos sociales, culturales, políticos, regulatorios, financieros, tecnológicos, entorno competitivo y otros.
• En el contexto interno, considerar entre otros :AR y su nexo con los objetivos de la empresa, las estrategias y los valores.
• Gobierno Corporativo, estructura organizacional, roles y accountabilities.
• Recursos humanos y tecnológicos.
• Especificar las decisiones que deben tomarse.
• Ver metas , objetivos.
• Establecer roles y funciones con detalle para AR.
20 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
21
DIAPOSTIVA 5 PROCESO DE AR Estableciendo el contexto • Establecer el criterio para los riesgos significativos.
• Al establecer el criterio, debe considerarse entre otros puntos:
a ) Causas y consecuencias de los riesgos.( impacto)
b ) La probabilidad de ocurrencia y cómo será establecida.
c ) Cómo se determina el nivel de riesgo.
d ) La visión de los stakeholders.
e ) El nivel de riesgo aceptable.
f ) La combinación de riesgos.
21 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
22
CONCEPTOS El detalle está en el documento original que conviene comprar • Política de administración de riesgos. • Apetito de riesgo. • Plan de administración de riesgos. • “ owner risk “. • Contexto interno. • Contexto externo. • Stakeholder. • Medición de riesgos. • Identificación de riesgos. • Evento. • Consecuencia. • Probabilidad. • Análisis de riesgos. • Evaluación de riesgos. • Control. • Riesgo residual. • Monitoreo. • PRINCIPIOS
22
© Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
23
ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Riesgo • Riesgo e incertidumbre. Se refiere a la incertidumbre en el
logro de los objetivos.
• Los riesgos deben estar identificados y especificadas sus causas.
• Análisis de riesgos. Determinar las causas, sus consecuencias tanto positivas como negativas y la probabilidad que dichas consecuencias puedan ocurrir y la existencia y operación de los controles para mitigar los riesgos.
• Evaluación de riesgos. Debe compararse el riesgo existente con el planificado y tomar las decisiones que ameriten.
• Tratamiento de riesgos. Seleccionar una o más opciones para modificar los riesgos y de ser necesario , los controles.
23 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
24
ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos a Administración de riesgos. • Coordinación de actividades para dirigir y controlar una
organización en lo referente a riesgo.
• Estructura ( framework ) para administración de riesgo. Fundamentos con los que se diseña, implementa, monitorea y revisa continuamente AR, incluyendo políticas, planes y relaciones con las estrategias.
24 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
25
ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Es un proceso sistemático con políticas y procedimientos para
establecer , monitorear y revisar los riesgos.
• Debe haber un proceso de comunicaciones y consultas.
• Debe establecerse el contexto tanto interno como externo.
• En la medición de riesgos, debe haber: identificación de riesgos, análisis de ellos y su evaluación.
• La identificación debe incluir su definición, causas, impactos y consecuencias.
• Debe establecerse los dueños de los riesgos ( risk owner ).
• Se trabaja con impacto ( cuantitativo o cualitativo y probabilidad.
• Debe tenerse una matriz de riesgos.
• El nivel de riesgos resulta de calcular impacto y probabilidad.
25 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
26
ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Debe determinarse el apetito y tolerancia al riesgo.
• Debe haber sistemas de monitoreo.
• Debe definirse cuales riesgos no se aceptarán.
• El riesgo residual es aquel después de administrarlos.
• Debe existir un sistema de monitoreo continuo de AR.
• Debe también haber registros en el sistema de AR.
• Como parte de AR deben haber informes a los stakeholders
• Finalmente, deben existir auditorías independientes y documentadas para determinar el funcionamiento de AR y si una o más partes de la estructura son adecuadas y efectivas.
26 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
27
ALGUNOS CONCEPTOS QUE INCLUYE EL DOCUMENTO Relativos al proceso de AR • Debe haber registros y trazabilidad.
• La organización necesita un aprendizaje continuo.
• Usar la información en beneficio de la administración de la empresa.
• Los métodos de acceso a la información deben ser fáciles y también los registros y almacenamiento de la información.
• Determinar el período en el que debe mantenerse la información.
• Contar con criterios de cuál es información sensible.
27 © Auditores Externos Chile 2012 | Av. Kennedy 5735 of 401, Torre Poniente, Marriott - Teléfonos: (56 2) 245 5189 - 245 5332 | www.aechile.cl
Top Related