Definición de Gobierno Corporativo
Sistema interno de una empresa el cual establece las directrices que deben regir su ejercicio, buscando transparencia, objetividad y equidad en el trato a los socios y accionistas, identificando la gestión de su Junta Directiva o Consejo de Administración y la responsabilidad social de sus organismos de control internos y externos, frente a los grupos de interés como clientes, proveedores, competidores, empleados terceros colocadores de recursos y hacia la comunidad en general.
La Administración de Riesgos (ERM) y el Gobierno Corporativo van entrelazados y enfocados hacia el control operativo, legal, financiero, logístico y de medio ambiente, independientes de parte de la Junta Directiva o Consejo de Administración, desligándolos de los controles administrativos y contables utilizados dentro de la organización a nivel interno.
Principios de Gobierno Corporativo
Los principios rectores del Gobierno Corporativo fueron expresados en 1999 por la OCDE (Organización para la Cooperación y Desarrollo Económico) bajo tres dimensiones del desarrollo sostenible:
a) Enriquecer el crecimiento económico.
b) Promover el desarrollo humano y social.
c) Protección del medio ambiente, es decir dirigidos a lograr resultados económicos, sociales y ambientales.
La OCDE emitió un conjunto de guías sobre el gobierno corporativo, identificando cinco principios rectores organizados de la siguiente manera:
a) Derechos de los accionistas.
b) Tratamiento equitativo de los accionistas.
c) Rol de los accionistas.
d) Revelación y transparencia en la presentación de los reportes financieros.
e) Responsabilidad del consejo de administración o juntas directivas.
La estructura del gobierno corporativo debe asegurar que se hacen revelaciones oportunas y exactas sobre todos los asuntos relacionados con la corporación, incluyendo la situación financiera, desempeño, propiedad y gobierno d la compañía.
1. La revelación debe incluir:
– Resultados financieros y operacionales de la compañía.
– Objetivos de la compañía.
– Factores de riesgo materiales y previsibles.
– Estructuras y políticas de gobierno.
2. La información se debe preparar, auditar y revelar de acuerdo con estándares de alta calidad de contabilidad, de revelación financiera y no financiera, y de auditoría.
3. Un auditor independiente debe realizar una auditoría anual en orden a proveer un aseguramiento externo y objetivo sobre la manera como han sido preparados y presentados los estados financieros.
Otros elementos prácticos de un Código de Gobierno Corporativo
El Institute Of International Finance estableció algunos elementos para las economías emergentes, en vías de desarrollo o en transición, así:
– Protección de los accionistas minoritarios.
– Estructura y responsabilidades de la junta directiva.
– Contabilidad y Auditoría.
– Transparencia de la propiedad y del control.
– Entorno regulador.
La International Chamber Of Commerce (ICC) emitió una guía de gobierno corporativo bajo los siguientes componentes:
– ¿Por qué gobierno corporativo?
– Estándares de contabilidad.
– Práctica de la auditoria.
– Consejo de directores.
– Revelación y transparencia.
– Derechos de los accionistas.
– Negocios pequeños o propiedad de familias.
Los estándares de contabilidad son esenciales para el funcionamiento eficiente de la economía dado que las decisiones sobre la asignación de recursos (inversiones) descansan en información financiera que sea creíble, concisa, transparente, fácilmente comparable y entendible sobre las operaciones y la posición financiera de las compañías.
Existe un consenso amplio sobre los siguientes principios básicos:
a) Compañías que preparan estados financieros:
– La administración no debe usar estrategias contables legitimas o ilegitimas par aumentar de manera artificial sus ganancias reportadas.
– Las compañías no deben revelar solamente información sobre el desempeño financiero, sino los intangibles y la información no financiera que es más importante para la creación de valor y la sólida toma de decisiones.
b) Auditores:
– La función de auditoría debe ser desempeñada por una entidad calificada e independiente.
– Los auditores deben alertar a los emisores de estándares de contabilidad y auditoría sobre las técnicas emergentes de propiedad dudosa.
– Las asociaciones nacionales de profesionales de la contabilidad deben asegurar que sus miembros, en cuanto auditores de estados financieros, cumplen con los estándares profesionales aplicables.
c) Reguladores (Autoridad supervisora gubernamental u organización autoreguladora):
– Los reguladores deben monitorear de manera apropiada los requerimientos de contabilidad y revelación.
– Los reguladores deben establecer reglas apropiadas de sanción par el no cumplimiento y para la violación.
Administración de Riesgo Empresarial o E.R.M.
A raíz de todos los problemas que se sucedieron en varios países del mundo manifestando desconfianza a las normas de auditoría vigentes establecidas por las asociaciones de contadores y no por disposiciones gubernamentales, los gobiernos vieron las necesidad de efectuar intervenciones y determinar exigencias especiales a los auditores externos y a los administradores en el cumplimiento de aspectos fundamentales de control interno, procesos y en especial exigencias de la llamada inicialmente Gestión de Riesgos o Gerencia de Riesgos diseñada por el Acuerdo de Basilea I y II para las entidades financieras.
Específicamente en Estados Unidos fue promulgada en el 2002 la Ley Sabarnes – Oxley en la que se establecen formalidades de control gubernamental, externo e interno y referidos a la responsabilidad de control interno. Dicha ley establece:
Sección 404: Informe Anual de Control Interno preparado y firmado por el Auditor Externo:
– Requiere que la compañía evalúe y prepare una declaración sobre la efectividad de sus sistemas de control interno sobre información financiera.
– Requiere que el auditor externo verifique y dictamine sobre su evaluación efectuada por la administración en su reporte anual.
Además, que la administración cuente con documentación completa y suficiente que sirva como base tanto para sustentar sus aseveraciones como para la revisión de control interno por el auditor externo.
El E.R.M. del COSO II, es reconocido como el estándar para cumplir con la sección 404 de la Ley Sabarnes-Oxley, por tanto, se prepara un resumen del E.R.M. COSO II, así como una aplicación a la labor de auditoría de las diferentes empresas, en la cual se puede aplicar un apoyo de asesoría fundamental a las administraciones de las diferentes organizaciones como un verdadero valor agregado de sus labores, como es el caso en las auditorías internas, representativas en el sector público y privado en su dirección y manejo por contadores públicos.
Definición
Es un proceso efectuado por la Junta de directores, la Administración y otro personal de la entidad, aplicando en la definición de la estrategia y a través del emprendimiento, diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad razonable en relación con el logro del objetivo de la entidad.
Está definición refleja ciertos conceptos fundamentales:
• Un proceso, es un medio para un fin, no un fin en sí mismo.
• Efectuado por gente en cada nivel de la organización.
• Aplicado en la definición de la estrategia.
• Aplicado a través de la administración en cada nivel y unidad, incluye asumir un punto de vista de portafolio de los riesgos a nivel de la entidad.
• Diseñado para identificar los eventos que potencialmente afectan a la entidad y para administrar los riesgos dentro del apetito por los riesgos.
• Provee seguridad razonable para la administración y para la junta de una entidad.
• Orientado al logro de los objetivos en una o más categorías separadas pero al mismo tiempo se sobreponen unas con otras.
Fundamentos del E.R.M.
Las empresas con ánimo o sin ánimo de lucro deben propender a crear valor a sus protectores, dueños o accionistas, así como la de enfrentar y superar las incertidumbres, desafiándolas con preparación suficiente, para poder proveer una estructura conceptual, así la gerencia trate de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y así enriquecer su capacidad para generar valor.
Beneficios del E.R.M.
Opera en un entorno libre de riesgos, y el E.R.M. no crea tal entorno, sin embargo, si representa beneficios importantes para operar más efectivamente en entornos llenos de riesgos representado capacidad enriquecida para:
a) Alinear el apetito por el riesgo y la estrategia.
b) Vincular crecimiento, riesgo y retorno.
c) Enriquecer las decisiones de respuesta frente al riesgo.
d) Minimizar sorpresas y pérdidas operacionales.
e) Identificar y administrar los riesgos de los impactos.
f) Proveer respuestas integradas para los riesgos múltiples.
g) Sopesar oportunidades.
h) Racionalizar el capital.
E.R.M. es una metodología orientada a lograr “benchmarking” o generación de valor para los dueños o accionistas y hacia la permanencia de la organización o empresa y de su imagen en el largo plazo.
Componentes de la administración de riesgos empresariales
Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputación, el riesgo de mercado, el riesgo de crédito y el riesgo operacional en todas sus divisiones; como formalidad de prevención, detección y mitigación a dichos riesgos, el E.R.M. determinó 8 componentes interrelacionados, los cuales muestra como la alta gerencia opera un negocio, y cómo están integrados dentro del proceso administrativo en general, ellos son:
1. Entorno Interno.
Es el fundamento de todos los otros componentes del E.R.M., creando disciplina y organizando adecuadamente la estructura empresarial, determinando las estrategias y los objetivos, como también estructurando las actividades del negocio e identificando, valorando y actuando sobre los riesgos.
2. Definición de objetivos.
Dentro del contexto de la misión o visión, se establecen los objetivos estratégicos, selecciona estrategias y establece objetivos relacionados, alineados y vinculados con la estrategia, así como los relacionados con las operaciones que aportan efectividad y eficiencia de las actividades operativas, ayudando a la efectividad en la presentación de reportes o informes interno y externos (financiera y no financiera), como la de cumplir con las leyes y regulaciones aplicables y de sus procedimientos internos determinados.
3. Identificación de eventos.
La Alta Gerencia reconoce normalmente que existen incertidumbres, factores internos y externos que afectan la ocurrencia de un evento.
La metodología de identificación de eventos pueden comprender una combinación de técnicas vinculadas con herramientas de apoyo, como identificación de eventos pasados (cesación de pago, cambios en los precios, pérdidas por accidentes) y futuros (cambios demográficos, mercados nuevos y acciones de los competidores). Las técnicas que se centran en las planeaciones consideran asuntos como cambios demográficos, mercados nuevos y acciones de los competidores. Potencialmente los eventos tienen un impacto negativo, positivo o de ambos, representando los primeros riesgos inmediatos, mediatos o de largo plazo, los cuales deben ser evaluados dentro del E.R.M.
Dentro de las metodologías más conocidas para la identificación de eventos, las cuales se han aplicado de parte de varias firmas de auditores y dentro de las metodologías internas de la empresa son las matrices “análisis PETS o GESI, análisis FODA o DOFA, análisis de las cinco fuerzas y matriz de conocimiento del negocio e identificación de riesgos”.
4. Valoración de riesgos.
Le permite a una entidad considerar como los eventos potenciales pueden afectar el logro de los objetivos. La gerencia valora los eventos bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento) e impacto (efecto debido a su ocurrencia), con base en datos pasados internos (de carácter subjetivo) y externos (son más objetivos).
5. Respuesta al riesgo.
Identifica y evalúa las posibles respuestas de los riesgos y considera su efecto en la probabilidad y el impacto.
Evalúa las opciones en relación con el apetito del riesgo en la entidad, el costo y su beneficio de la respuesta a los riesgos potenciales, y el grado que más reporta las posibilidades de riesgo. Las respuestas al riesgo caen dentro de las categorías de evitar, reducir, compartir y aceptar el riesgo.
6. Actividades de control.
Son las políticas y los procedimientos que ayudan a asegurar que se están ejecutando de manera apropiada las respuestas al riesgo, hacen parte del proceso mediante el cual una empresa intenta lograr sus objetivos. Se clasifican en controles generales y de aplicación.
Controles generales representan la infraestructura de la tecnología, seguridad y adquisición de hardwares, y el desarrollo y mantenimiento de los softwares; y los controles de aplicación aseguran complejidad, exactitud, autorización y validez de la base de datos.
7. Información y comunicación.
Identifica, captura y comunica información de fuentes internas y externas, en una forma y en una franja de tiempo que le permite al personal llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido amplio, hacia abajo o a través y hacia arriba en la entidad. En todos los niveles, se requiere información para identificar, valorar y responder a los riesgos, así como para operar y lograr los objetivos.
8. Monitoreo (Ongoing).
Es un proceso que valora tanto la presencia como el funcionamiento de sus componentes y la calidad de su desempeño en el tiempo. Se puede realizar mediante una evaluación continua y periódica que hace la gerencia de la eficacia del diseño y operación de la estructura del control interno, para lograr una adecuada identificación del riesgo, de acuerdo a lo planificado, modificando los procedimientos cuando se requiera.
Para un adecuado Monitoreo, el COSO II estableció las siguientes reglas de monitoreo:
a) Obtención de evidencia de que existe una cultura a la identificación del riesgo.
b) Sí las comunicaciones externas corroboran las internas.
c) Sí se hacen comparaciones periódicas.
d) Sí se revisan y se hacen cumplir las recomendaciones de los auditores.
e) Sí las capacitaciones proporcionan realidad de lograr una cultura de riesgo.
f) Sí el personal cumple las normas y procedimientos y es cuestionado.
g) Sí son confiables y efectivas las actividades de la auditoría interna y externa.
Practica de la Administración de Riesgos Empresariales E.R.M. en la Auditoría Interna
La definición de la auditoría interna separada en los dos grandes servicios a prestar como son el de aseguramiento y consulta para agregar valor y mejorar las operaciones para evaluar y mejorar la eficacia de los procesos de la administración o gestión de riesgos, control y gobierno corporativo.
Dentro de las normas de auditoría interna internacionales, se encuentran varias normas específicas dirigidas a manejar la metodología de la administración de riesgos dentro de los dos servicios enunciados, las cuales se recomiendan se apliquen por parte de los auditores interno, para cada caso los siguientes:
Plan de Auditoría referidos al riesgo
1. El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos y exposiciones que puedan afectar el ente económico.
2. El universo de auditoría puede incluir componentes del plan estratégico.
3. El calendario de trabajo de auditoría debe estar basado en las prioridades de una evaluación de riesgos, tales como: materialidad, liquidez de activos, competencia de la gerencia, calidad de los controles internos, grado de cambio o estabilidad, tiempo transcurrido desde la última auditoría, complejidad, relaciones del personal y gubernamentales, etc.
4. Los cambios en la dirección de la gestión, objetivos, énfasis y enfoques, deben reflejarse en las actualizaciones del universo de auditoría y el plan de trabajo relacionado.
5. Al llevar a cabo trabajo de auditoría interna, los métodos y técnicas de pruebas y validaciones deben reflejar la materialidad del riesgo y la probabilidad de ocurrencia.
6. La información y comunicación a la alta gerencia deben transmitir conclusiones de gestión de riesgos y recomendaciones para reducirlos o contrarrestarlos.
7. El jefe de auditoría interna debe preparar en estado de la adecuación de los controles internos para mitigar los riesgos, al menos una vez al año.
Informe de Auditoría Interna sobre la Administración de Riesgos (E.R.M.).
Las observaciones significativas surgidas del trabajo son aquellas situaciones que a juicio del Jefe de Auditoría Interna pueden afectar adversamente al ente económico, los cuales pueden referirse a irregularidades, actos ilegales, errores, ineficiencias, desperdicios, conflictos de intereses, y debilidades de control, resultando aquellos ya enunciados y que no han sido corregidos.
Así mismo, incluirse observaciones y recomendaciones significativas, aclarando que es responsabilidad de la administración en general, la de tomar decisiones sobre las medidas apropiadas a adoptar. La alta gerencia puede tomar el riesgo de no corregirse debido a su costo u otras consideraciones, siendo su responsabilidad o la de no asumir medidas de monitoreo para erradicarlas.
La auditoría interna y la administración de riesgo empresarial (E.R.M.)
Introducción
El Gobierno Corporativo, en todas las áreas de una administración total, se ha vuelto importante y sobretodo las relacionadas con la administración o gestión de riesgos.
Uno de los procedimientos que se ha implementado en las empresas públicas y privadas ha sido la formulación de mapas de riesgo o marcos de gestión de riesgos reconociéndose las ventajas que han representado para muchas empresas dentro del concepto administrativo de beneficios netos dentro de la comparación de la relación costo VS beneficio.
¿Qué es la Gestión de riesgo Empresarial (ERM)?
Es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.
Responsabilidad por el ERM
La Junta Directiva o Consejo de Administración posee la responsabilidad de asegurarse que los riesgos son gestionados. En la práctica la Junta Directiva delega en el equipo gerencial la operación de marco de gestión de riesgo, quienes son los responsables de realizar actividades para detectarlos y prevenirlos. Podría existir una función separada que coordine y maneje estas actividades y aplique destrezas y conocimientos especiales.
Todos en la organización juegan un rol en el aseguramiento de éxito de la gestión de riesgo pero la responsabilidad principal de la identificación y manejo de éstos recae sobre la junta directiva o la alta gerencia.
Beneficios del ERM
El ERM puede realizar una enorme contribución ayudando a la organización a gestionar los riesgos para poder alcanzar sus objetivos.
Los beneficios incluyen:
– Mayor posibilidad de alcanzar los objetivos.
– Consolida reportes de riesgos distintos a nivel de la Junta.
– Incrementa el entendimiento de riesgos claves y sus más amplias implicaciones.
– Identifica y comparte riesgos alrededor del negocio,
– Incrementa la posibilidad de que se puedan lograr cambios en iniciativas.
– Capacidad de tomar mayor riesgo por mayores recompensas.
Actividades incluidas en el ERM:
– Articulación y comunicación de los objetivos de la organización.
– Determinación del apetito de riesgo de la organización.
– Establecimiento de un ambiente interno, que incluya un marco de gestión de riesgos,
– Identificación de amenazas potenciales.
– Evaluación de riesgos, por ejemplo: impacto y posibilidad de ocurrencia de las amenazas.
– Selección e implementación de respuestas a los riesgos.
Aseguramiento en el ERM
Uno de los fundamentos claves de la Junta directiva o Consejo Administrativo es el de obtener aseguramiento de que el proceso de gestión de riesgo está trabajando efectivamente y que los riesgos claves están siendo manejados en niveles aceptables, para lo cual, la auditoría interna es una fuente clave, ya que provee aseguramiento en tres áreas:
1. Procesos de gestión de riesgos, en su diseño como en la forma en que están trabajando.
2. Gestión de aquellos riesgos clasificado como clave, incluyendo efectividad d los controles y otras respuestas a éstos.
3. Confiabilidad, evaluaciones apropiadas y reportes de riesgo y estatus de controles.
Rol de la Auditoría Interna en el ERM
La auditoría interna es una actividad independiente, objetiva de aseguramiento y consulta. Su rol básico con relación al ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestión de riesgo, igualmente, investigaciones han demostrado que la junta de directores y los auditores internos están de acuerdo con que las dos formas más importantes de que la auditoría interna provea valor a la organización, es brindando aseguramiento objetivo de que los principales riesgos de negocios están siendo manejados apropiadamente y proveyendo aseguramiento de que la gestión de riesgo y el marco de control interno están operando efectivamente.
La auditoría interna puede proveer servicios de aseguramiento que mejoren procesos de gobierno, gestión de riesgos y control en la organización. El alcance de la consultoría de auditoría interna en ERM depende de otros recursos, internos o externos, disponibles para la junta y de la madurez del riesgo de la organización y su posibilidad de variar en el tiempo.
En relación con el ERM, mientras más se incluya la auditoría interna en la gestión de riesgos, mayores serán las salvedades que deben requerirse para asegurar objetividad e independencia de su parte.
Los roles de consultoría dentro de una auditoría interna que se pueden prestar, podrían:
– Poner a disponibilidad de la gerencia herramientas y técnica usadas por auditoría interna para analizar riesgos y controles.
– Ser un defensor de la introducción de ERM en la organización, aportando su experiencia en gestión de riesgo y conocimientos de la organización.
– Proveyendo consejo, facilitando talleres, entrenando en la organización sobre riesgos y controles, y promoviendo el desarrollo de un lenguaje, marco y entendimiento común.
– Actuando como punto central de la coordinación, monitoreo y reporte sobre riesgos.
– Apoyando a la gerencia en su trabajo, identificando mejores vías para mitigar un riesgo.