Post on 01-Feb-2018
La implementación de la Administración de Riesgos Empresariales en el Sistema de Gestión de la Calidad de la Administración Universitaria
1
Antecedentes del SGC de la UNAM
• El Sistema de Gestión fue implementado en el año 2005.
• El Sistema de Gestión de la Calidad de la Administración Universitaria abarca a 130 Secretarias y Unidades Administrativas de la UNAM.
• Anualmente las SyUA´s otorgan un total de 1.2 millones de servicios a la comunidad universitaria al año.
• En el año 2014 la Auditoria Superior de la Federación recomendó a la UNAM la incorporación del marco de control interno COSO 2013 para la administración universitaria; la UNAM decidió utilizar algunos componentes de éste.
Foro Mundial de la Calidad y Gestión para la Mejora 2015
2
Antecedentes del SGC de la UNAM
Foro Mundial de la Calidad y Gestión para la Mejora 2015
3
Antecedentes del SGC de la UNAM
Foro Mundial de la Calidad y Gestión para la Mejora 2015
4
EL MARCO COSO
5Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Introducción
• Comitee of Sponsoring Organizations of the Treadway Commission
• La Treadway Commission fue formada en 1985 por 5 organizaciones privadas en los EEUU.
– American Accounting Association (AAA),
– American Institute of Certified Public Accountants (AICPA),
– Financial Executive Institute (FEI),
– Institute of Internal Auditors (IIA),
– Institute of Management Accountants (IMA).
• En el año 1987 emite un reporte en el que sugiere que se desarrolle un marco general de control interno para ser adoptado en las organizaciones.
• En el año 1992 se emite el Reporte COSO I.
6Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Introducción
• Según COSO ¿Cuáles son los conceptos fundamentales sobre la definición de CONTROL INTERNO?
• Es un proceso: es el medio para alcanzar un fin, no es un fin en sí mismo. Su “eficacia” es un estado o condición en un momento determinado.
• Provee seguridad razonable: el costo del Control Interno no debe de exceder los beneficios.
• En el logro de objetivos:– Eficacia y eficiencia de las operaciones: está relacionada con el uso
eficaz y eficiente de los recursos de la entidad.– Confiabilidad en la preparación de información financiera: se relaciona
con la preparación de estados contables que se presentarán a terceros; se busca que sean confiables.
– Cumplimiento de leyes y normas aplicables: relacionada con el cumplimiento de las leyes y reglamentaciones aplicables.
7Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013
8
Ambiente de Control
Evaluación del riesgo
Actividades de Control
Información y comunicación
Actividades de Monitoreo
Activid
ad 2
Activid
ad 1
Un
idad
A
Un
idad
B
Los
5 componentes del sistema de control interno
3 objetivos de control
unidades y actividades del la organización
afectan los
y se aplican a todas las
Foro Mundial de la Calidad y Gestión para la Mejora 2015
Componentes de COSO 2013 y su alineación con un SGC• El Ambiente de Control es el conjunto de normas, procesos y estructuras que
proporcionan las bases para llevar a cabo el control interno en toda la organización.
• Hay 5 principios relacionados con el ambiente de control:
1. La organización demuestra su compromiso por los valores éticos y de integridad.
2. El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno.
3. La dirección establece, con la supervisión del consejo de administración, las estructuras, las líneas de reporte, las responsabilidades y la autoridad para el logro de los objetivos.
4. La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal.
5. La organización hace responsable a su personal acerca de sus obligaciones para el control interno y el logro de objetivos.
9Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013 y su alineación con un SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
10
Principios de COSO 2013 Requisitos de la norma ISO 9001:2008
1) La organización demuestra su compromiso con los valores éticos y de integridad.
5.1 Compromiso de la dirección5.2 Enfoque al cliente5.3 Política de calidad
2) El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno.
5.6 Revisión por la dirección
3) La dirección establece, con la supervisión del consejo de administración, las estructuras, líneas de reporte, responsabilidades y la autoridad para el logro de objetivos.
5.3 Política de calidad5.4 Planificación5.5 Responsabilidad, autoridad y comunicación
4) La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal.
6.2 Recursos humanos6.2.1 Generalidades6.2.2 Competencia, formación y toma de conciencia
5) La organización hace responsable a su personal sobre sus obligaciones para el control interno y el logro de objetivos
5.5 Responsabilidad, autoridad y comunicación
Componentes de COSO 2013 y su alineación con un SGC• La Evaluación del Riesgo involucra un proceso dinámico e interactivo para
identificar y analizar los riesgos para el logro de los objetivos de la organización, formando así las bases para determinar qué riesgos deben ser administrados. La dirección considera los posibles cambios en el ambiente externo y en el modelo de negocios que puedan impedir su habilidad para lograr sus objetivos.
• Hay 4 principios relacionados con la evaluación del riesgo:
1. La organización tiene objetivos claros que permiten la identificación y la administración de los riesgos asociados.
2. La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados.
3. La organización considera el potencial de fraude al momento de evaluar los riesgos.
4. La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno.
11Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013 y su alineación con un SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
12
Principios de COSO 2013 Requisitos de la norma ISO 9001:2008
1) La organización tiene claros que permiten la identificación y la administración de los riesgos asociados.
5.4.1 Objetivos de la calidad5.6 Revisión por la dirección
2) La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados.
7. Realización del producto7.1 Planificación de la realización del producto7.2 Procesos relacionados con el cliente
3) La organización considera el potencial de fraude al momento de evaluar los riesgos.
7. Realización del producto7.1 Planificación de la realización del producto7.2 Procesos relacionados con el cliente
4) La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno
4.2.3 Control de los documentos8.5.1 Mejora continua
Componentes de COSO 2013 y su alineación a un SGC• Las Actividades de Control son las acciones establecidas por las políticas y
procedimientos que le ayudan a la dirección a asegurar el poder mitigar los riesgos que impidan el logro de objetivos. Las actividades de control se llevan a cabo en todos los niveles de la entidad y en todas las etapas de los procesos de negocios y sobre los ambientes de las tecnologías de la información.
• Hay 3 principios relacionados con las actividades de control:
1. La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable.
2. La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos.
3. La organización implementa las actividades de control por medio de los procedimientos
que aseguran que las políticas se están cumpliendo.
13Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013 y su alineación a un SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
14
Principios de COSO 2013 Requisitos de la norma ISO 9001:2008
1) La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable.
5.6 Revisión por la dirección7.5.1 Control de la producción y de la prestación del servicio7.5.2 Validación de los procesos de la producción y de la prestación del servicio7.5.3 Identificación y trazabilidad8.4 Análisis de datos
2) La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos.
Fuera del alcance del SGC
3)La organización implementa las actividades de control por medio de los procedimientos que aseguran que las políticas se están cumpliendo.
Procedimientos incluidos dentro del SGC• Personal• Servicios generales• Bienes y suministros• Presupuesto
Componentes de COSO 2013 y su alineación a un SGC• La Información es necesaria para que la entidad lleva a cabo sus responsabilidades
de control interno para el logro de objetivos, las comunicaciones se dan tanto interna como externamente y proveen la información que necesita la entidad para ejecutar los controles día a día; éstas deben proveer al personal con un entendimiento de sus responsabilidades dentro del control interno y del logro de los objetivos
• Hay tres principios relacionados a la información y comunicación:
1. La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno.
2. La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno.
3. La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno.
15Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013 y su alineación con un SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
16
Principios de COSO 2013 Requisitos de la norma ISO 9001:2008
1) La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno.
8.2.3 Seguimiento y medición de los procesos8.4 Análisis de datos
2) La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno.
5.5 Responsabilidad, autoridad y comunicación
3) La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno.
Procedimientos incluidos dentro del SGC• Personal• Servicios generales• Bienes y suministros• Presupuesto
Componentes de COSO 2013 y su alineación a un SGC• Las Actividades de monitoreo son evaluaciones que realiza la organización en
donde evalúa los 5 componentes del control interno para corroborar la eficacia y eficiencia de éstos.
• Hay dos principios relacionados a las actividades de monitoreo:
1. La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización.
2. La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato universitario
17Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Componentes de COSO 2013 y su alineación con un SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
18
Principios de COSO 2013 Requisitos de la norma ISO 9001:2008
1) La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización.
8.2.1 Satisfacción del cliente8.2.2 Auditoría interna8.2.3 Seguimiento y medición de los procesos
2) La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato.
8.5.1 Mejora continua8.5.2 Acción correctiva8.5.3 Acción preventiva
IMPLEMENTACIÓN DE LA EVALUACIÓN DE RIESGOS
19Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Implementación de la evaluación de riesgos• La incertidumbre implica riesgos y oportunidades y posee el
potencial de erosionar o aumentar el valor de las organizaciones.
• Eventos: Riesgos y Oportunidades– Los eventos pueden tener un impacto negativo, positivo o de ambos
tipos a la vez. Los que tienen un impacto negativo representan riesgosque pueden impedir la creación de valor o erosionar el valor existente.
– Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que repercutan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas.
20Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Implementación de la evaluación de riesgos
Alinear el riesgo aceptado y la estrategia
•En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
•Proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas
•Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.
21Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Implementación de la evaluación de riesgos
Identificar y gestionar la diversidad de riesgos para toda la entidad
• Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización. La administración de riesgos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.
Aprovechar las oportunidades
• Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo.
Mejorar la dotación de recursos
• La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.
22Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Implementación de la evaluación de riesgos
• El apetito de riesgo es el máximo nivel de riesgo que la organización está dispuesta a aceptar.– Es una guía en el establecimiento de la estrategia.
– Se expresa como un balance entre: crecimiento, riesgo y el retorno.
– Dirige la asignación de recursos.
– Alinea la organización, el personal, los procesos y la infraestructura.
Foro Mundial de la Calidad y Gestión para la Mejora 2015
23
Probabilidad
Impa
cto
Bajo Medio Alto
Baj
o
Med
io
A
lto Excediendo el Apetito de
Riesgo
Dentro del Apetito de
Riesgo
Implementación de la evaluación de riesgos
• La tolerancia al riesgo se puede medir preferentemente en las mismas unidades que los objetivos relacionados de la organización.
Foro Mundial de la Calidad y Gestión para la Mejora 2015
24
Meta Fijada
Tiempo
Estrategia de negocio
Límite de tolerancia
Desempeño Real
Variación
Inaceptable
Límite de tolerancia
Variación
Inaceptable
Eventos externos
Económicos
•Disponibilidad de capital
•Incumplimiento de créditos
•Seguros
•Liquidez
•Mercado
•Huelgas
Medio ambiente
•Contaminación
•Energía
•Desastres naturales
Políticos
•Cambios gubernamentales
•Legislación externa e interna
•Regulaciones
Tendencias tecnológicas
•Tecnologías emergentes
•Interrupciones
•E-business, E-commerce
25Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Eventos internos
Tecnología
• Datos
• Capacidad
• Sistemas
Personal
• Competencia del personal
• Salud e higiene
• Ética e integridad
Proceso
• Diseño
• Ejecución
• Proveedor
Infraestructura
• Disponibilidad de activos
• Capacidad de activos
• Acceso a capital
26Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Respuesta al riesgo
Evitar el riesgo
• Reducir la expansión de una línea de productos a nuevos mercados
• Vender una división, unidad de negocio o segmento geográfico altamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
Compartir el riesgo
• Compra de seguros contra pérdidas inesperadas significativas
• Contratación de outsourcing para procesos del negocio
• Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios
Aceptar el riesgo
• Auto-asegurarse (Self-insuring) contra pérdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Mitigar el riesgo
• Fortalecimiento del control interno en los procesos
• Diversificación de productos
• Establecimiento de límites a las operaciones y monitoreo
• Reasignación de capital entre unidades operativas
Respuesta al riesgo
27Foro Mundial de la Calidad y Gestión para
la Mejora 2015
¿CÓMO SE HIZO EN LA UNAM?
Foro Mundial de la Calidad y Gestión para la Mejora 2015
28
Pasos para elaborar un plan de administración de riesgos
Identifique todos los elementos de riesgo
en la operación
Asigne una probabilidad de que
estos sucedan (Cuantitativamente o
Cualitativamente)
Determine el impacto de cada uno de éstos
Prepare una matriz de probabilidad vs
impacto por cada riesgo detectado
Asigne una prioridad para cada riesgo
identificado
Desarrolle una estrategia de
mitigación
Desarrolle planes de contingencia
Analice las eficacia de cada una de las estrategias para mitigar el riesgo
De seguimiento a los riesgos
Foro Mundial de la Calidad y Gestión para la Mejora 2015
29
Pasos para elaborar un plan de administración de riesgos
Costo Beneficio• Impacto
• ¿Qué tan malo es si pasa?• Mitigación
• ¿Qué tanto podemos reducir la probabilidad de que suceda?, ¿a qué costo?
• Contingencia• ¿Podemos reducir el impacto?, ¿a qué costo?
Foro Mundial de la Calidad y Gestión para la Mejora 2015
30
Pasos para elaborar un plan de administración de riesgos
BA MA AA
BM MM MA
BB BM BA
Pro
bab
ilidad
Impacto
Foro Mundial de la Calidad y Gestión para la Mejora 2015
31
Los riesgos a los cuales se les asignaron actividades de control son aquellos catalogados de medios a altos.
Cómo lo integramos en el SGC
• Son diseñados para evitar riesgos, errores o incidentes antes de su ocurrenciaControles preventivos
• Son diseñados para detectar de forma rápida los problemasControles detectivos
• Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos
Controles correctivos
32Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Cómo lo integramos en el SGC
Se identificaron los riesgos y controles por procedimiento
Incorporaron las matrices de riesgos en cada procedimiento
Se desarrolló una matriz de riesgos clave por SyUA´s
La RXD específica incorpora el seguimiento y monitoreo de los riesgos mediante los indicadores y metas
La RXD institucional encuentra los riesgos claves para cada proceso y les da seguimiento por medio de los indicadores y metas
Foro Mundial de la Calidad y Gestión para la Mejora 2015
33
Cómo lo integramos en el SGC
• ¿Cómo identificamos un control clave?
– Los controles que cumplen 3 o más de las siguientes aserciones que eviten el logro del objetivo, son considerados un control clave.
• Totalidad
• Exactitud
• Validez
• Acceso restringido
Foro Mundial de la Calidad y Gestión para la Mejora 2015
34
Cómo lo integramos en el SGC
35
Línea rectora Objetivos generalesObjetivos de la
calidadProceso Indicador
14. Mejorar las condiciones
de trabajo, seguridad y
bienestar de la comunidad
universitaria
Consolidar el
programa de
mantenimiento,
particularmente el
que se realiza en julio
y diciembre.
6. Mantener la
infraestructura en
condiciones
apropiadas para el
desarrollo de las
funciones sustantivas
Presupuesto
% Recursos utilizados para
conservación de la
infraestructura
Servicios generales
% Mantenimiento realizado
% Planta física conservada
% de trabajos realizados por
cláusula 15
% de trabajadores
favorecidos por cláusula 15
Eficiencia en el ejercicio de
los recursos
Crear acciones
estratégicas para la
protección del
ambiente y de los
recursos naturales en
los espacios
universitarios;
impulsar un proyecto
para el manejo de
residuos sólidos, así
como previsiones en
materia de
bioseguridad.
7. Contribuir a la
protección del medio
ambiente
Bienes y suministros
% de artículos, materiales y
útiles diversos de bajo
impacto ambiental
adquiridos.
Servicios generales% de lámparas fluorescentes
reemplazadas
Alineación de los objetivos Institucionales con los objetivos de calidad que son medibles a nivel SyUAs
Foro Mundial de la Calidad y Gestión para la Mejora 2015
Cómo lo integramos en el SGC
Se incluyeron los siguientes puntos en los procedimientos:
• Controles identificados en cada etapa del proceso.
• Matrices de riesgo incorporadas al procedimiento.
• Los controles están diseñados para poder identificar posibles riesgos de fraude. (Ej. cumplimiento de la normatividad universitaria)
• Los controles ayudan a mitigar el riesgo de servicios no conformes.
36Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Cómo lo integramos en el SGC
• Diseño de la matriz cubre
– Descripción del control
– Riesgos identificados por control
– Clasificación del riesgo (Probabilidad e impacto)
– Clasificación del control
• Operativo
• Económico
• Normativo, etc.
– Tipo de control
• Preventivo
• Detectivo
• Correctivo
37Foro Mundial de la Calidad y Gestión para
la Mejora 2015
Cómo lo integramos en el SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
38
Cómo lo integramos en el SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
39
Servicio no conforme
Riesgos: afectar las labores de docencia, investigación y difusión de la cultura
Cómo lo integramos en el SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
40
Alta probabilidad de que se materialice el riesgo
Cómo lo integramos en el SGC
Foro Mundial de la Calidad y Gestión para la Mejora 2015
41
Tolerancia al riesgo
Fuera de la tolerancia
Recomendaciones
1. Todos los niveles de la organización deben estar conscientes de la importancia de la administración de riesgo.
2. Los riesgos deben ser identificados por un equipo interdisciplinario.
3. Deben monitorearse continuamente ya que éstos se modifican en el tiempo.
4. La administración de riesgos debe ser parte de la planeación estratégicade la organización.
5. Capacitar, capacitar y capacitar.
Foro Mundial de la Calidad y Gestión para la Mejora 2015
42
Datos de contacto
Mtro. Ricardo Adolfo Vidal Castro
Dirección General de Servicios Administrativos / Dirección de planeación y gestión de la calidad
Teléfono (55) 56229698
Email: ricardo.vidal@unam.mx
Foro Mundial de la Calidad y Gestión para la Mejora 2015
43