Siegfried abordar los desafíos actuales del gobierno y la gestión de riesgos en organizaciones gubernamentales e internacionales

ICGFM ‐ Conferencia de invierno 2010

6 de diciembre de 2010

Abordar los desafíos actuales del gobierno y la gestión de riesgos en organizaciones gubernamentales e internacionales

Alan SiegfriedCIA, CCSA, CFSA, CGAP, CPA, CISA, CBA, CSP, CITP, MBAAuditor General, Banco Interamericano de Desarrollo

Presidente del Instituto de Auditores Internos (IIA), North American Board

Abordar los desafíos actuales del gobierno y la gestión de riesgos en organizaciones gubernamentales e internacionales. Alan N. Si f i d

2

• Desafíos y problemas económicos mundiales• Entorno regulador en constante cambio• Agitación en los mercados financieros• Reducción de la fuerza de trabajo y despidos masivos• Restricciones de presupuesto• Esfuerzos poco eficaces para gestionar el riesgo• Conmoción en la confianza de las partes interesadas• Incertidumbre e imprevisibilidad

Un panorama de nuestro mundo

Oportunidad para que los auditores internos demuestren su liderazgo en la gestión de riesgos, el control y el gobierno


3

Riesgo de no responder• Categoría disminuida de las auditorías internas en la

cobertura y el abordaje de los riesgos emergentes

• Credibilidad significativamente reducida como socio confiable en el gobierno

• Valor disminuido de las actividades de auditoría interna

• Considerada poco flexible y poco receptiva ante riesgosemergentes

¿Dónde estaban los auditores internos?


4

Lecciones de gestión de riesgos aprendidasRecorte de costos a corto plazo con implicancias operativas y de control

perniciosasDependencia de un proveedor tercero, distribuidor, contraparte o socio de

emprendimiento conjunto con dificultades financieras: ¿qué planes alternativos existen?

Falta de satisfacción de los clientes con respecto a cuentas por cobrar valoradas

Problemas de liquidez debido a la escasez de crédito y la reducción de la demanda

Incremento de los incentivos para el fraude financieroEmpleados actuales y anteriores descontentos que sabotean y hurtan

bienesPérdida o daño a la reputación

Rol de la auditoría internaAyudar a la gerencia a identificar riesgos, diseñar estrategias de gestión de riesgos, evaluar

y vigilar la eficacia de los controles aplicables


5

Desafíos actuales para el gobierno y la gestión de riesgos

1. Alinear la cobertura de la auditoría interna para satisfacer nuevas expectativas

2. Adoptar una estrategia centrada en el riesgo3. Realinear habilidades para abordar nuevos requerimientos 4. Aprovechar la tecnología para alcanzar una mejor eficacia 5. Lidiar con menos recursos6. Mantener la imagen ante el comité de auditoría7. Integrar investigaciones de fraude, prevención y ética en las

estrategias de auditoría8. Demostrar mayor compromiso con la calidad9. Realzar la coordinación a nivel interno10. Demostrar y agregar valor al resultado final

El IIA 2009


6

Posible participación de la auditoría interna en el gobierno y la gestión de riesgos

Participar en debates interdisciplinarios de tipo hipotéticos parareconsiderar los riesgos e identificar planes de acción

Ayudar a diseñar procesos de gestión/vigilancia de riesgos (es decir, controles) para abordar los riesgos

Redirigir recursos de auditoría para volver a evaluar las áreas de mayor riesgo

Revisión de la gestión de riesgos y del gobierno organizativo porparte de la auditoría interna.


7

Videohttp://www.youtube.com/watch?v=laKprX‐HP94


8

Comprender la diferencia• Gestión de riesgos

“Un proceso para identificar, evaluar, gestionar y controlar posibles eventos o situaciones a fin de proporcionar una seguridad razonable respecto del logro de los objetivos de la organización”.

• Control"Toda acción realizada por la gerencia, el directorio y otras partes

para gestionar el riesgo y aumentar la posibilidad de que se alcancen los objetivos establecidos".

• Gobierno"La combinación de procesos y estructuras implementados por el

directorio a fin de informar, dirigir, gestionar y vigilar las actividades de la organización hacia el logro de sus objetivos".


9

¿Por qué se trata de gobierno organizativo?

El proceso a través del cual

(1) se establecen y comunican los valores y los objetivos,

(2) se vigila el logro de los objetivos,

(3) se garantiza la responsabilidad, y

(4) se preservan los valores.

Gestión ejecutiva EA

IA

Directorio

RM

C

ORGANIZACIÓN


10

Partes del proceso de gobierno

Grupo de vigilancia: directorio y comités del directorio

Grupo de administración: gestión ejecutiva: Rol dual de la administración de los recursos asignados por

el directorio y la rendición de los resultados de lasoperaciones

Grupo de rendimiento: gestión y personal operativo y de soporte

Grupo de aseguramiento: funciones de auditoría interna y externa, y, en algunas organizaciones, las funciones de vigilancia del cumplimiento y la gestión de riesgos, tambiénson parte del grupo de aseguramiento.


11

Dos responsabilidades básicas del directorio

DIRECTORIOParagüas del gobierno

Dirección estratégica

ValoresLímites

Vigilancia de gobierno

ResponsabilidadPreservación de valores


12

Comitéde

auditoría:Áreas de enfoque

Informesfinancieros

Gestión de riesgos

Controles internos

Auditoríaexterna

Comunicacióne informes

Mantener ymedir

la eficacia

Cuestiones regulatorias,

de cumplimiento

yéticas

Auditoríainterna

Áreas de enfoque del comité de auditoría


13

Componentes clave de la vigilancia del gobierno

Partes interesadas

Paragüas del gobiernoBOD

Gestión de riesgos

Gestión superior - Dueños de los riesgos

Aseguramiento Interno -externo


14

Oportunidades de gobierno"El cambio en las condiciones comerciales y económicas provee una oportunidad

para reevaluar las prioridades del directorio y reenfocar la agenda".

KPMG

Las habilidades y capacidades del directorio reflejan el cambiante entorno de negocios

Intensificar la vigilancia de la gestión de riesgos

Mantenerse a la vanguardia de la agenda estratégica

Extraer lo máximo posible de los comités del directorio

Revisar el flujo de información de la gerencia al directorio

Crear y sustentar una organización ética

Reclutar, desarrollar y retener gerentes talentosos

Fortalecer el gobierno del directorio y las políticas organizativas


15

¿Qué aportan las auditorías internas?

Proporcionan evaluaciones independientes y objetivas sobre:

Efectividad de la estructura de gobierno Eficacia operativa de las actividades de gobierno.

Actúan como catalizadores del cambio de las siguientes maneras:

Asesorando o recomendando mejoras en la estructura de gobierno y las prácticas

Proporcionando garantías respecto de la gestión de riesgos, el control y el gobierno

El IIA


16

Riesgo y gestión de riesgos

• El riesgo es la probabilidad/posibilidad de que suceda algo que tendrá un efecto adverso sobre los objetivos.

• La gestión de riesgos es la aplicación sistemática de procesos y estructurasque le permiten a una organización identificar, evaluar, analizar, optimizar, vigilar, mejorar o transferir los riesgos, y, a la vez, comunicar dichos riesgos y las decisiones respecto de ellos a las partes interesadas.

La Gestión de Riesgos de Empresas (ERM) trata los riesgos y oportunidadesque afectan la creación o la preservación de valor.

ERM es un proceso llevado a cabo por el directorio y la gerencia de unaentidad que se aplica en un entorno de estrategias y en toda la empresa. Está diseñado para identifcar posibles eventos que podrían afectar la entidad y para gestionar esos riesgos a fin de proporcionar garantíasrazonables respecto del logro de los objetivos.

Fuente: Committee of Sponsoring Organizations, “Enterprise Risk Management – Integrated Framework, Executive Summary”,2004


17

Beneficios de ERM Visión holística de los riesgos en la organización Mayor probabilidad de lograr objetivos Informe consolidado de riesgos a nivel directorio Mejor comprensión de los riesgos e implicancias clave Identificación y coparticipación de riesgos en toda la actividad Mayor enfoque de la gerencia en los problemas realmente

importantes Menos sorpresas o crisis Mayor probabilidad de lograr iniciativas de cambio Capacidad de asumir mayores riesgos a cambio de mejores

recompensas y Toma de riesgos y de decisiones más basadas en información.


18

Clasificaciones de la calidad de ERM

Excelente

• Capacidades avanzadas para identificar, medir, gestionar toda exposición al riesgo dentro de ciertos límites de tolerancia

• Implementación avanzada, desarrollo y ejecución de parámetros de ERM• Optimiza de manera constante las ganancias ajustadas al riesgo en toda la organización

Sólida

• Visión clara de la tolerancia al riesgo y perfil general del riesgo• El control del riesgo es más que adecuado para la mayoría de los riesgos• Cuenta con procesos sólidos de identificación de riesgos emergentes y preparación para

ellos• Incorpora la gestión de riesgos y la toma de decisiones a fin de optimizar las ganancias

ajustadas al riesgo

Adecuada

• Cuenta con sistemas de control de todos sus riesgos principales que funcionan perfectamente

• Puede no contar con un proceso sólido de identificación de riesgos emergentes y preparación para ellos

• Realizar una buena gestión de riesgos clásica basada en “silos”• Proceso no completamente desarrollado para optimizar las ganancias ajustadas al riesgo

Débil• Proceso de control incompleto para uno o más riesgos principales• Capacidades poco constantes o limitadas para identificar, medir o gestionar las principales

exposiciones al riesgo

Fuente: Standard & Poor’s


19

Principios fundamentales de una estrategia efectiva de gestión del riesgo en organizaciones internacionales

Definición común de riesgo y marco de riesgo

Roles clave, responsabilidades y autoridad claramente

definidos

Infraestructura común de gestión de riesgos

Transparencia y visibilidad adecuadas de

los organismos de gobierno

Gerencia ejecutiva responsable de diseñar,

implementar y mantener una eficaz gestión de riesgos

Las unidades de negocio son responsables de la gestión de riesgos

Las funciones de soporte tienen un

impacto dominante en el negocio y la gestión

de riesgos

Las funciones de vigilancia proveen aseguramiento de la calidad, control de

informes


20

Prácticas efectivas de gestión de riesgos

Adoptar una política de gestión de riesgos y definiciones específicas de los componentes del riesgo

Designar un gerente de riesgos

Proporcionar información significativa

sobre riesgos a la gerencia superior y el

directorio

Cuantificar y comunicar las pérdidas por riesgos

Establecer y revisar los límites de riesgos con el

directorio

Realizar evaluaciones regulares.

Transferir riesgos si el costo es menor que el costo de retenerlos.

Gerencia de capacitación y el

directorio en cuestiones de riesgo.

Proporcionar garantías anuales sobre el estado

de la gerencia de riesgos.


21

Responsabilidades del Gerente de Riesgos

Implementar una estrategia de gestión de riesgos que abarquetoda la empresa, los procesos y los controles

Proponer una política de gestión de riesgo para que el Directoriola apruebe

Coordinar esfuerzos de gestión de riesgo en toda la organización Recopilar y combinar información sobre riesgos Evaluar la información recopilada Identificar, evaluar e informar los riesgos Comunicar la información sobre los riesgos al directorio y a la

gerencia Proporcionar aseguramiento anual sobre el estado de la gestión

de riesgos Confirmar que las políticas sean apropiadas para el futuro

previsible.


22

Rol de las auditorías internas en ERM

Roles principales de la auditoría interna en ERM

Roles legítimos de la auditoría interna con resguardos

Roles que debería asumir la auditoría interna

Proporcionar garantías sobre los procesos de gestión de riesgosProporcionar garantías de que los riesgos son correctamente evaluadosEvaluar los procesos de gestión de riesgos

Evaluar el informe de riesgos clave

Revisar la gestión de riesgos clave

Facilitar la identificación y evaluación de riesgosCapacitar a la gerencia en la respuesta a riesgosCoordinar actividades de ERM

Informes consolidados sobre los riesgos

Mantener y desarrollar el marco de ERMDefender el establecimiento de ERM

Desarrollar una estrategia de RM para aprobación del directorio

Establecer el apetito de riesgo

Imponer procesos de gestión de riesgos

Aseguramiento de los riesgos por parte de la gerenciaTomar decisiones sobre la respuesta a los riesgosImplementar respuestas a riesgos en representación de la gerenciaResponsabilidad de la gestión de riesgos


23

Propuesta de valor de las auditorías internasCambiar las contribuciones de la profesión a su organización y a la garantía de las partes interesadas de una categoría de reconocidasa una de fiables y a una de valoradas

Comprender las estrategias de la gerencia comercial y los objetivos

Enfocarse en las áreas y los riesgos correctos Proporcionar recomendaciones prácticas, relevantes y

persuasivas Convertirse en un catalizador proactivo para el cambio

positivo Equilibrar los servicios de consultoría y aseguramiento Ayudar a proteger Y desarrollar el negocio Ganar un "lugar en la mesa" Actuar como asesor fiable en cuestiones de riesgo,

control y gobierno

Reconocido

Fiable

Valorada


24

Responsabilidades HOY Buscar comprender las expectativas de las partes interesadas y

evaluar la eficacia de la satisfacción de dichas expectativas

Desarrollar y demostrar sólidas habilidades de comunicación a fin de transmitir eficazmente los hallazgos y recomendaciones

Adoptar y llevar a cabo un plan de auditoría equilibrado y basadoen los riesgos

Proporcionar liderazgo en cuestiones de gobierno corporativo, fraude, gestión de riesgos, control interno e informes financieros

Estar dispuesto a desafiar el status quo y adoptar el rol de agentesde cambio

Proporcionar un entorno de aprendizaje y una vía para el desarrollo profesional


25

Herramientas útilesMarco para la evaluación de la gestión de riesgos

Nivel Criterios de evaluación de riesgos

Nivel 1

Proporcionar políticas y procedimientos claros de gestión de riesgos

Proporcionar estructuras claras de gobierno corporativo de la gestión de riesgos

Proporcionar herramientas y marcos para capacitar a la gerencia de línea en la gestión de riesgos

Apovechar el conocimiento de la empresa para identificar y evaluar los riesgos

Enfocarse en los puntos fuertes y débiles de los riesgos a fin de optimizar la toma estratégica de riesgos

Priorizar el riesgo basado en las probabilidades y el impacto inherente

Proporcionar visibilidad clara de los riesgos clave y el estado de mitigación

Incorporar información sobre riesgos y mitigación en una base de datos central

Nivel 2

Priorizar el riesgo basado en las probabilidades y el impacto residual

Incluir consideraciones de riesgos en la planificación diaria y la toma de decisiones

Vincular la gestión de riesgos con el rendimiento de los empleados

Evaluar la eficacia de los esfuerzos de mitigación de riesgos

Coordinar actividades de aseguramiento de riesgos en toda la organización

Nivel 3

Evaluar la velocidad de los riesgos a fin de priorizar los esfuerzos de mitigación de riesgos

Definir formalmente el apetito de riesgo de la unidad de negocios como parte del análisis de oportunidades de riesgo

Incluir la retroalimentación para la mejora continua en la estrategia de riesgos

Aprovechar la métrica predictiva de riesgos para evaluar los probables impactos y las estrategias de mitigación

Desarrollar una visión de 360 grados de riesgos de la contraparte a fin de identificar niveles de exposición

Directorio Ejecutivo Corporativo


26

Riesgos a considerar en 2010 Tipo de riesgo Riesgo

Financiero • Integridad de los informes

• Los informes/declaraciones financieras están mal expresadas según los estándares de contabilidad

• Falta de fiabilidad en los sistemas que informan datos financieros clave

• Vulnerabilidad de la seguridad del sistema

• Registro/supervisión inadecuada de la información financiera

• Las estimaciones no son adecuadas

• Tasa de interés/riesgo de mercado

• Intercambio de divisas extranjeras

• Liquidez insuficiente

• Riesgo fuera del balance

• Las transacciones no se aprueban adecuadamente

• Falta de habilidad para recaudar capital

• Riesgo de activos/pasivos

• Riesgo de inversión

• Riesgo de crédito

Cumplimiento • Falta de cumplimiento con las prácticas de empleo

• Contaminación ambiental

• Política de retención de registros

• Falta de habilidad para cumplir con las obligaciones contractuales

• Violación de los requerimientos de capital existentes

• Falta de adhesión a los convenios de deudas

• Datos usados para sustentar la afirmación de que el cumplimiento no es fiable

• Adhesión a los requerimientos de los planes de pensión

• Explotación ilícita de información privilegiada

• Violaciones a la seguridad de la privacidad de la salud

• Fraude

Estratégico • Alianzas estratégicas

• El planeamiento estratégico no tiene en cuenta los impactos externos

• Nuevos productos y servicios

• Escasez de demanda de los clientes

• Presión competitiva

• Pérdida de clientes clave

• Fallas de las contrapartes

• Presión en los precios para los clientes

• Tecnologías negativas

• Tendencias litigiosas e incertidumbre judicial

• Riesgo de reputación

• Estructura y prácticas de gobierno insuficientes

Operativo • Pérdida de personal clave

• Tecnología obsoleta

• Información insuficiente

gobierno de la tecnología

• Inadecuada eficacia del desarrollo

• Desastres naturales

• Actos de terrorismo

• Tercerización

• Violaciones de seguridad

• Falta de continuidad en el negocio /planeamiento de recuperación ante desastres

• Calidad del servicio

• Gestión de proyectos/cambios

• Interrupción de los negocios/fallas en los sistemas

• Falta de suficiente supervisión contractual

• Riesgo de control de procesos

Grant Thornton,


27

Reflexiones finales

Los riesgos que afrontan nuestras organizaciones no tienen precedentes y las expectativas de las partesinteresadas continúan aumentando

Las auditorías internas tienen una oportunidad de avanzar y convertirse en un jugador clave en la gestión del gobierno y los riesgos

Los profesionales individuales y las organizacionesdeben "elevar el estándar" a fin de representar de una manera más eficiente un gobierno sólido y la gestión de riesgos y abogar por ellos


28

Reflexiones finales

Retrospectivamente

Introspectivamente

Previsión

Valor

Enfoque

¿Preguntas?

Business

Siegfried abordar los desafíos actuales del gobierno y la gestión de riesgos en organizaciones gubernamentales e internacionales