gestion de riesgos erm - coso ii - actcontrol&infocomun&monitor 4.pdf
TRANSCRIPT
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
1/35
Actividades de Control
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
2/35
Actividades de Control
Las actividades de control son las polticas y procedimientos
que ayudan a asegurar que se llevan a cabo las respuestas
de la direccin a los riesgos.
Las actividades de control tienen lugar a travs de laorganizacin, a todos los niveles y en todas las funciones.
Incluyen una gama de actividades tan diversas como
aprobaciones, autorizaciones, verificaciones, conciliaciones,
revisiones del funcionamiento operativo, seguridad de losactivos y segregacin de funciones.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
3/35
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
4/35
Integracin con la Respuesta al Riesgo
Despus de haber seleccionado las respuestas al riesgo, la
direccin debe identificar las actividades de control
necesarias para que se lleven a cabo adecuada y
oportunamente
Las respuestas al riesgo sirven como puntos bsicos para
establecer las actividades de control
Debe existir un vnculo entre objetivos, respuestas a los
riesgos y actividades de control
En este sentido, las actividades de control estn integradas
directamente en el proceso de gestin
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
5/35
Tipos de Actividades de Control
Revisiones a Alto Nivel
Gestin Directa de Funciones o Actividades
Procesamiento de la Informacin Controles Fsicos
Indicadores de Rendimiento
Segregacin de Funciones
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
6/35
Polticas y Procedimientos
Las actividades de control implican dos componentes:
una poltica que establece lo que debe hacerse y
procedimientos para llevarla a cabo.
Por ejemplo, una poltica podra exigir la revisin de las
actividades de contratacin de clientes por parte de un
director de oficina de una entidad.
El procedimiento constituye dicha revisin en s misma,realizada de manera oportuna y con atencin a los factores
establecidos en la poltica.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
7/35
Controles sobre los Sistemas de Informacin
Pueden usarse dos amplios grupos de actividades de control de
los sistemas de informacin.
El primero lo forman los controles generales, que se aplican a
muchos de esos sistemas, si no a todos, y ayudan a asegurar que
siguen funcionando continua y adecuadamente.
El segundo son los controles de aplicacin, que incluyen fases
informatizadas dentro del software para controlar el proceso.
Ambos tipos de controles, combinados con controles manuales deproceso cuando sea necesario, operan juntos para asegurar la
integridad, exactitud y validez de la informacin.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
8/35
Controles Generales
Gestin de Tecnologas de Informacin
Infraestructuras de la Tecnologa de Informacin Gestin de la seguridad
Adquisicin, desarrollo y mantenimiento de software
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
9/35
Controles de Aplicacin
Equilibrar las Actividades de Control
Dgitos de Control Listados predefinidos de datos
Pruebas de razonabilidad de datos
Pruebas lgicas
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
10/35
Aspectos Especficos
Debido a que cada entidad tiene su propio conjunto de objetivos y
enfoques de implantacin, existirn diferencias en las respuestas al
riesgo y las actividades de control relacionadas.
Incluso cuando dos entidades tuvieran objetivos idnticos y tomasen
decisiones similares respecto a cmo alcanzarlos, las actividades decontrol probablemente seran distintas.
Cada entidad est gestionada por personas diferentes que tienen
criterios individuales diferentes en la aplicacin de controles. Es ms, los
controles reflejan el entorno y sector en que opera una entidad, as como
su dimensin y complejidad de organizacin, la naturaleza y alcance de
sus actividades y sus antecedentes y cultura.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
11/35
Informacin y Comunicacin
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
12/35
Informacin y Comunicacin
La informacin pertinente se identifica, capta y comunica deuna forma y en un marco de tiempo que permiten a laspersonas llevar a cabo sus responsabilidades
Los sistemas de informacin usan datos generados
internamente y otras entradas de fuentes externas y sussalidas informativas facilitan la gestin de riesgos y la toma dedecisiones informadas relativas a los objetivos
Tambin existe una comunicacin eficaz fluyendo en todasdirecciones dentro de la organizacin.
Todo el personal recibe un mensaje claro desde la altadireccin de que deben considerar seriamente lasresponsabilidades de gestin de los riesgos corporativos.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
13/35
Las personas entienden su papel en dicha gestin y cmo las
actividades individuales se relacionan con el trabajo de los
dems
Asimismo, deben tener unos medios para comunicar haciaarriba la informacin significativa
Tambin debe haber una comunicacin eficaz con terceros,
tales como los clientes, proveedores, reguladores y
accionistas
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
14/35
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
15/35
Informacin
La informacin se necesita a todos los niveles de laorganizacin para identificar, evaluar y responder a losriesgos y por otra parte dirigir la entidad y conseguir susobjetivos
La informacin operativa de fuentes internas y externas, tantofinanciera como no financiera, es relevante para mltiplesobjetivos de negocio
La informacin financiera, por ejemplo, se usa para elaborar
los estados financieros con fines de informacin y tambinpara tomar decisiones operativas, tales como la supervisindel funcionamiento y la asignacin de recursos
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
16/35
De la Informacin al Conocimiento
La informacin procede de muchas fuentes internas y
externas, de forma cuantitativa y cualitativay facilita
respuestas a las condiciones cambiantes.
Un reto para la direccin es cmo procesar y depurar grandesvolmenes de datos para convertirlos en informacin
manejable y se enfrenta a l estableciendo una
infraestructura de sistemas de informacin para buscar,
captar, procesar, analizar y comunicar la informacin
relevante.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
17/35
Sistemas Estratgicos e Integrados
Como las empresas se han hecho ms colaboradoras con losclientes, proveedores y socios de negocio y se integran mscon ellos, la divisin entre los sistemas de informacin de unaentidad y la de los terceros es cada vez ms tnue.
Como resultado, el procesamiento y la gestin de datos amenudo llega a ser una responsabilidad compartida demltiples entidades.
En tales casos, la arquitectura de los sistemas de informacin
de una organizacin debe ser suficientemente flexible y gilcomo para integrarse eficazmente con los tercerosvinculados.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
18/35
Integracin con las Operaciones
Los sistemas de informacin a menudo estn totalmente integrados en la
mayora de los aspectos de las operaciones.
Los sistemas de Internet o basados en la red son frecuentes y muchas
empresas tienen sistemas de informacin para toda la entidad, tales
como la planificacin corporativa de recursos
Estas aplicaciones facilitan el acceso a informacin previamente
enmarcada en silos funcionales o departamentales, hacindola as
disponible para un uso amplio de la direccin
Las transacciones se registran y siguen en tiempo real, permitiendo a losdirectivos acceder inmediatamente a informacin financiera y operativa
de forma ms eficaz para controlar las actividades del negocio
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
19/35
Profundidad y Oportunidad de la Informacin
La infraestructura de la informacin busca y capta datosdentro de un marco de tiempo y con una profundidadconsecuentes con la necesidad de la entidad de identificar,evaluar y responder al riesgo y permanecer dentro de las
tolerancias a l La oportunidad del flujo de informacin necesita ser
coherente con el ritmo de cambio de los mbitos externo einterno de la entidad
La importancia de la profundidad de los datos se ilustra siobservamos diferentes eventos que afectan a una agencia devalores ubicada en una ciudad propensa a las inundaciones
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
20/35
Calidad de la Informacin
La calidad de la informacin incluye averiguar si:
Su contenido es adecuado Est al nivel correcto de
detalle?
Es oportuna
Est disponible cuando se necesita ydentro de un plazo adecuado?
Est actualizada Es la ltima informacin disponible?
Es exacta
Sus datos son correctos? Est accesible Las personas que la necesitan pueden
obtenerla fcilmente?
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
21/35
Comunicacin
La comunicacin es inherente a los sistemas de informacin.
Como ya se ha comentado antes, estos sistemas deben
proporcionar informacin al personal adecuado, para que
pueda llevar a cabo sus responsabilidades operativas, deinformacin y de cumplimiento.
Pero la comunicacin tambin debe tener lugar en un sentido
ms amplio, abordando las expectativas, las
responsabilidades de los individuos y grupos y otros temasimportantes.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
22/35
Comunicacin Interna
La comunicacin debe expresar eficazmente:
La importancia y relevancia de una gestin eficaz de
riesgos de la organizacin
Los objetivos de la entidad
El riesgo aceptado y las tolerancias al riesgo de la entidad
Un lenguaje comn de riesgos
Los papeles y responsabilidades del personal aldesarrollar y apoyar los componentes de la gestin de
riesgos de la organizacin
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
23/35
Comunicacin Externa
Existe la necesidad de una comunicacin adecuada no slo
dentro de la entidad, sino tambin con el mundo exterior
Con canales de comunicacin externos abiertos, los clientes
y proveedores pueden proporcionar inputs muy significativossobre el diseo o la calidad de los productos o servicios,
permitiendo a la empresa tratar las demandas o preferencias
del cliente en evolucin
Por ejemplo, las quejas y reclamaciones presentadas por losclientes o proveedores sealan problemas operativos y
posiblemente prcticas fraudulentas o inadecuadas
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
24/35
Medios de Comunicacin
La comunicacin puede tomar formas tales como un manual de
polticas, escritos internos, correos electrnicos, novedades en los
tablones de anuncios, mensajes en la web y de vdeo
Cuando los mensajes se transmiten verbalmente en grandes
grupos, reuniones reducidas o entrevistas personales
el tono de
voz y el lenguaje corporal ponen nfasis a lo que se dice
La manera como la direccin trata al personal puede comunicar un
mensaje potente
Los directivos deberan recordar que sus acciones hablan ms
fuerte que sus palabras
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
25/35
Monitoreo / Supervisin
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
26/35
Monitoreo / Supervisin
La gestin de riesgos corporativos se supervisa revisando
la presencia y funcionamiento de sus componentes a lo largo
del tiempo, lo que se lleva a cabo mediante actividades
permanentes de supervisin, evaluaciones independientes o
una combinacin de ambas tcnicas.
Durante el transcurso normal de las actividades de gestin,
tiene lugar una supervisin permanente.
El alcance y frecuencia de las evaluaciones independientesdepender fundamentalmente de la evaluacin de riesgos y
la eficacia de los procedimientos de supervisin permanente.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
27/35
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
28/35
Actividades de Supervisin Permanente
Muchas actividades sirven para seguir la eficacia de la
gestin de riesgos durante el transcurso normal de la
organizacin
Se derivan de las actividades de gestin, que podran implicarcomparaciones de informacin de fuentes diferentes y el
anlisis y tratamiento de acontecimientos inesperados
Son los jefes de lnea o funcin de apoyo quienes llevan a
cabo las actividades de supervisin y dan meditadaconsideracin a las implicaciones de la informacin que
reciben
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
29/35
Evaluaciones independientes
Los procedimientos de supervisin permanente normalmente
proporcionan una retroalimentacin importante sobre la
eficacia de otros componentes de la gestin de riesgos
Resulta provechoso echar un nuevo vistazo de vez encuando, centrndose directamente sobre la eficacia de dicha
gestin
Esto proporciona una oportunidad de tener en cuenta la
eficacia continuada de los procedimientos de supervisinpermanente
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
30/35
Alcance y Frecuencia
Las evaluaciones de la gestin de riesgos varan en alcance y
frecuencia segn la significatividad de los riesgos y la
importancia de las respuestas a ellos, as como los
correspondientes controles disponibles para gestionarlos
Las reas de riesgo de alta prioridad y sus respuestas
tienden a evaluarse ms a menudo
El alcance de la evaluacin tambin depender de qu
categoras de objetivos
estratgicos, operativos, deinformacin y de cumplimiento- van a tenerse en cuenta
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
31/35
Quin evala?
A menudo, las evaluaciones tienen la forma de
autoevaluaciones, en las que los responsables de una
determinada unidad o funcin establecen la eficacia de la
gestin de riesgos corporativos en sus actividades.
Los directores de lnea se centran en los objetivos operativos
y de cumplimiento y el controller de la divisin afronta los
objetivos de informacin.
A continuacin, la alta direccin considera las evaluacionesde la divisin, junto con las de otras divisiones de la empresa.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
32/35
Proceso de Evaluacin
La evaluacin de la gestin de riesgos corporativos constituye
un proceso en s misma
Aunque los enfoques o tcnicas varan, hay que aportar al
proceso una disciplina, con fundamentos inherentes a ella El evaluador debe entender cada actividad de la entidad y
cada componente de la gestin de riesgos corporativos a
abordar
Puede resultar til centrarse primero en cmo la gestin deriesgos corporativos funciona de manera significativa a veces,
esto se denomina diseo del sistema o proceso
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
33/35
Metodologa
Se dispone de una variedad de metodologas y herramientasde evaluacin, incluyendo listas de comprobacin,cuestionarios, cuadros de mando y tcnicas de diagramas deflujo.
Como parte de su metodologa de evaluacin, algunasempresas comparan su proceso de gestin de riesgoscorporativos con el de otras empresas con buena reputacinen este terreno, que pueden facilitar informacin comparativa.
Las comparaciones pueden realizarse directamente o bajo el
control de asociaciones o sectoriales y, as, las funciones derevisin cercana de algunos sectores pueden ayudar a unaentidad a evaluar su gestin de riesgos respecto a susiguales.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
34/35
Documentacin
El alcance de la documentacin sobre gestin de riesgos
corporativos de una entidad vara con su dimensin,
complejidad y factores similares.
Las organizaciones ms grandes normalmente disponen demanuales escritos de polticas, organigramas formales,
descripciones escritas de las funciones del personal,
instrucciones operativas y diagramas de flujo de los sistemas
de informacin.
Las entidades ms pequeas habitualmente tienen un
volumen considerablemente menor de documentacin.
-
7/25/2019 Gestion de Riesgos ERM - COSO II - ActControl&InfoComun&Monitor 4.pdf
35/35
Informacin de Deficiencias
Las deficiencias en la gestin de riesgos corporativos de una
entidad pueden proceder de muchas fuentes, incluyendo los
procedimientos de supervisin permanente de la entidad, las
evaluaciones independientes e informacin de terceros.
Una deficiencia es una situacin dentro de la gestin de
riesgos corporativos que merece atencin y que puede
representar una debilidad percibida, potencial o real, o una
oportunidad para fortalecer la gestin de riesgos corporativos
y aumentar la probabilidad de que se logren los objetivos de
la entidad.