Control de Los Sistemas de Negocios Semana 1[1]

MG. ALAN GUTIERREZ

CICLO 2015-II Módulo:1Unidad:1 Semana: 1

CONTROL DE LOS SISTEMAS DE NEGOCIOS

Agenda

I. Objetivos del taller

II. Conceptos

III. Modelo: Norma AS/NZS 4360:2004

IV. Aspectos a tener en cuenta

V. Pasos sugeridos

VI. Beneficios de la gestión de riesgos

VII. Roles

2

I. Objetivos del taller

Presentar el marco conceptual de la Gestión de Riesgos

Valorar el rol activo de los funcionarios y empleados públicos en la implementación del control interno en los procesos administrativos y operativos de la entidad

Destacar la importancia de la gestión de riesgos en un manejo eficiente y orientado al cumplimiento de los objetivos institucionales

Mejorar la cultura de control interno en el FONCODES.

3

II. Conceptos

a) Riesgo

b) Control

c) Gobierno

d) Control Interno

e) Mapa de Riesgos

f) Gestión de Riesgos

g) Apetito por el riesgo

h) Tolerancia al riesgo

4

II. Conceptos

a) Riesgo: La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad. Por otro lado peligro es la potencialidad de ocurrencia de un daño, pérdida o lesión

5

II. Conceptos

6Fuente: http://www.coool-stuff.com/tag/stupidity/

http://www.coool-stuff.com/tag/stupidity/

II. Conceptos

7

Peligro: cualquier cosa que puede causar daño

Ejemplo: escaleras = un peligro

Gente subiendo o bajando =situación peligrosa (personal interactuando con el peligro)

Tropezón o resbalón =evento peligroso (expone a una persona a daño)

Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html

http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html

II. Conceptos

8Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html

http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html

II. Conceptos

• Inherente: es aquel que está directamente relacionado con la naturaleza de los procesos desarrollados, en ausencia de controles.

• Residual es el riesgo subsistente una vez aplicados los controles.

Riesgo residual = Riesgo inherente - Control

9

II. Conceptos

b) Control: Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.

10

II. Conceptos

11

Riesgo Administrado

Ineficacia por

exposición

Ineficacia por

controles

Desinformado Gerenciado Obsesionado

- Controles +

Logro de Objetivos

Alto

Bajo

Ineficacia por

controles

Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno

II. Conceptos

c) Gobierno: La combinación de procesos y estructuras implantados por el Consejo de Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin de lograr sus objetivos.

12

II. Conceptos

d) Control Interno: Concepto fundamental de la administración y control, aplicable en las entidades del Estado para describir las acciones que corresponde adoptar a sus titulares y funcionarios para preservar, evaluar y monitorear las operaciones y la calidad del servicio.

13

II. Conceptos

d) Control Interno: Conforme al COSO, es un proceso efectuado por el Directorio de una organización, la gerencia y demás personal, diseñado para proveer seguridad razonable respecto al logro de los objetivos relacionados con:

– Efectividad y eficiencia de las operaciones– Confiabilidad de los reportes financieros– Cumplimiento con leyes y regulaciones

aplicables

14

II. Conceptos

• Coso: Corresponde a las siglas en inglés del comité de Organizadores y Patrocinadores de la Comisión Treadway, organismos que en conjunto emitieron el informe con recomendaciones referentes al Control Interno que lleva su nombre.

• Origen: Estados Unidos, 1985, se forma una comisión patrocinada diversas instituciones, con el objetivo de identificar las causas de la presentación de información financiera en forma fraudulenta o falsificada.

• En 1987 emite un informe que contenía una serie de recomendaciones en relación al control interno de cualquier empresa u organización.

• La comisión Treadway, debatió durante más de cinco años y finalmente en 1992, se emite el informe COSO, el cual tuvo gran aceptación y difusión en gran parte debido a la diversidad y autoridad que posee el grupo que se hizo cargo de la elaboración del Informe.

Monitoreo (Seguimiento)

Operacion

es

Reporte

Cumplim

iento

Un

ida

d A

Un i

da

d B

Ac

t ivid

ad

1A

c tiv

ida

d 2

Información y Comunicación

Actividades de Control

Evaluación de Riesgos

Ambiente de Control

COSO : Control Interno - Marco Conceptual Integrado

15

II. Conceptos

16

1992

2002

2004

2008

COSO IControl Interno Marco Integrado(Comisión Treadway)

Ley Marco Modernización del Estado Ley Nº 27658

Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República Nº 27785 - CGR

COSO IIGestión de RiesgosCorporativos – Marco Integrado

2006

Ley Nº 28716 de Control Interno de las Entidades del Estado Ley

Normas de Control Interno RC 320-2006-CGR

Guía para laImplementación delControl Interno RC 458-2008 - CGR 2011

2009

D.U Nº 067-2009Decreto de Urgencia que modifica el Art. 10 de la Ley Nª 28716

Ley Nº 29743 – Ley que modifica el Articulo 10ª de la Ley Nº 28716, Ley de Control Interno de las Entidades del Estado

Evolución del Control Interno en el Perú

17

Ley 27785, ART. 2°, OBJETO DE LA LEY propender al:

Ley 27785, ART. 2°, OBJETO DE LA LEY propender al:

APROPIADO OPORTUNO Y EFECTIVOEjercicio del control gubernamental

para

APROPIADO OPORTUNO Y EFECTIVOEjercicio del control gubernamental

para

PREVENIR Y VERIFICARMediante

Aplicación de:

PREVENIR Y VERIFICARMediante

Aplicación de:

PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOSla:

PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TÉCNICOSla:

CORRECTA EFICIENTE Y TRANSPARENTEUtilización y gestión de los recursos y bienes del Estado.

Desarrollo honesto y probo de las funciones y actos de las: Autoridades, Funcionarios y Servidores Público.

Cumplimiento de metas y resultados por las instituciones

finalidad Contribuir y orientar el mejoramiento de sus actividades y servicios en beneficio de la Nación.

II. Conceptos

Promover y optimizar la eficiencia, eficacia, transparencia y economía en las operaciones de la entidad, así como la calidad de los servicios públicos que presta;

Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo hecho irregular o situación perjudicial que pudiera afectarlos;

Cumplir la normatividad aplicable a la entidad y a sus operaciones;

Garantizar la confiabilidad y oportunidad de la información;

Fomentar e impulsar la práctica de valores institucionales;

Promover el cumplimiento de los funcionarios o servidores públicos de rendir cuentas por los fondos y bienes públicos a su cargo o por una misión u objetivo encargado y aceptado.

II. Conceptos

18

Objetivos de la implantación del Control Interno (Ley N° 28716)

II. Conceptos

19

Componente

Norma General

Normas Básicas (35)

Ambiente de Control

(Entorno organizacional favorable y sensibilización)

Filosofía de la Dirección, Integridad y los valores éticos, Administración estratégica, Estructura organizacional, Administración de RR.HH., Competencia profesional, Asignación de autoridad y responsabilidades, Órgano de Control Institucional.


(Identificación y análisis de los riesgos)

Planeamiento de la administración de riesgos, identificación de los riesgos, valoración de los riesgos, respuesta al riesgo.

Actividades de Control G.

(Políticas y procedimientos relacionados a la administración de los riesgos)

Procedimientos de autorización y aprobación, Segregación de funciones, Evaluación costo-beneficio, Controles sobre el acceso a los recursos o archivos, Verificaciones y conciliaciones, Evaluación de desempeño, Rendición de cuentas, Revisión de procesos, actividades y tareas, Controles para las TIC.


(Métodos, procesos, canales, medios y acciones que aseguren el flujo de la información con calidad y oportunidad)

Funciones y características de la información, Información y responsabilidad, Calidad y suficiencia de la información, Sistemas de información, Flexibilidad al cambio, Archivo institucional, Comunicación interna y externa.

Supervisión

(El SCI esta sujeto a supervisión a fin de evaluar su eficacia y calidad)

Prevención y monitoreo, Monitoreo oportuno del control interno, Reporte de deficiencias, Seguimiento e implementación de medidas correctivas, Autoevaluación, Evaluaciones independientes.

Resolución 320-2006-CG

II. Conceptos

20

Ambiente de Control

Un

ida

d A

Un

ida

d B

Ac

tivid

ad

1A

ctiv

ida

d 2


Actividades de Control


Monitoreo

COSO: Marco conceptual integrado, 1992

COSO ERM: Marco de Gestión Integral de Riesgo, 2004

II. Conceptos

e) Mapa de Riesgos: representación gráfica (usualmente en cuadrantes) de los riesgos de una entidad/proceso/procedimiento, conforme a un criterio de probabilidad e impacto

f) Gestión de Riesgos: un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización.

21

II. Conceptos

• Es un proceso continuo que fluye por toda la entidad• Es realizado por su personal en todos los niveles de la

organización• Se aplica en el establecimiento de la estrategia• Se aplica en toda la entidad, en cada nivel y unidad, e

incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad

• Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado

• Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad

• Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse

22

23

II. Conceptos

Proceso de Gestión de Riesgos

Arquitectura de riesgos Estrategia de riesgos

Protocolos de riesgos

• La arquitectura de riesgos especifica los roles, responsabilidades, comunicación y estructura de reporte de los riesgos

• La estrategia de riesgos, apetito, actitudes y filosofía están definidas en la política de gestión de riesgos

• Los protocolos de riesgos son presentados en la forma de lineamientos de riesgos para la organización e incluyen las reglas y los procedimientos, así como la identificación de la metodología a emplear, herramientas y técnicas que deberán ser usadas

Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010

Una política de gestión de riesgos debería incluir lo siguiente:

– Objetivos de control interno y de gestión de riesgos (gobierno)– Una declaración de la actitud de la organización para con los riesgos

(estrategia)– Descripción de la cultura consciente de los riesgos o ambiente de control– Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)– Organización de la gestión de riesgos y acuerdos (arquitectura)– Detalle de los procedimientos para el reconocimiento de riesgos y su

priorización (evaluación de riesgos)– Lista de documentación para analizar y reportar riesgos (protocolos de

riesgo)– Requerimientos de mitigación de riesgos y mecanismos de control

(respuesta al riesgo)– Asignación de los roles de la administración y sus responsabilidades– Prioridades y temas de entrenamiento en gestión de riesgos– Criterios para efectuar el monitoreo y benchmarking de riesgos– Asignación de los recursos apropiados para la gestión de riesgos– Actividades y prioridades relacionadas a la gestión de riesgos para el año

venidero

24

II. Conceptos

Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010

II. Conceptos

g) Apetito por el riesgo: el nivel de riesgo que la organización está dispuesta a asumir en su búsqueda de rentabilidad y valor

h) Tolerancia al riesgo: el nivel de variación que la organización está dispuesta a asumir en caso de desviación a los objetivos empresariales trazados

25

II. Conceptos

26

Probabilidad

Imp

acto

Bajo Medio Alto

Ba

jo

Me

dio

A

lto

Excediendo el Apetito de

Riesgo

Dentro del Apetito de

Riesgo

Meta Fijada

Tiempo

Estrategia de negocio

Límite de tolerancia

Desempeño Real

Variación Inaceptable

Límite de toleranciaVariación

Inaceptable

Fuente: Gestión Integral de Riesgos. PWC. 2009

Apetito por el riesgo

Tolerancia al riesgo


• Norma Australiana / Neozelandesa publicada en 1995, 2ed en1999 y 3ed 2004

• Suministra una guía genérica para la gestión de riesgos en general, “Enterprise Risk Management (ERM)”.

27

• Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades.

28



29

Comunicación y consulta

Monitoreo y revisión

1. Establecer el contexto

ObjetivosGrupos de interésCriteriosDefinir elementos clave

2. Identificación de riesgos

Qué puede suceder ?Cómo puede suceder ?

3. Análisis de riesgos

Revisar controlesProbabilidadesConsecuenciasNivel de riesgo

4. Evaluar los riesgos

Evaluar riesgosRanking

5. Tratar los riesgos

Identificar opcionesSeleccionar las mejores respuestasDesarrollar planes de gestión de riesgosImplementar

1. Establecer el contexto

• Identificar una persona con el conocimiento (control interno y riesgos) a nivel operativo

• La organización está basada en la gestión por procesos? Tiene metas y resultados esperados?

• Identificar los objetivos institucionales – grupal• Recordaris: riesgo es todo aquello que pudiera

afectar el logro de los objetivos• Se puede comenzar por riesgos de la entidad y luego

bajar a nivel de cada proceso, comenzando por los más críticos

• Es importante la participación de todas las partes interesadas

• Posteriormente se pueden clasificar y definir los tipos de riesgos

30

2. Identificación de Riesgos

• Esta etapa busca identificar los riesgos que deben ser gestionados

• Riesgo que no sea identificado, es excluido en cualquier análisis posterior

• Qué puede suceder: impida el logro de los objetivos o responsabilidades asignadas, afecte la eficiencia de mis funciones, genere pérdidas (tiempo, imagen, recursos, etc.)

• Los riesgos se identifican independientemente de que estén bajo el control de la entidad o no

31


32

Herramientas y Técnicas de identificación de riesgos

Técnicas de DiagramaciónTécnicas de Recopilación de Información

Tormenta de Ideas

Técnica Delphi

Cuestionarios y encuesta

Análisis FODA

Entrevistas

Diagrama causa/efecto

Diagrama flujo de proceso

Inventario de Riesgo


33

Clasificación del riesgo:• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. • Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte

operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.

• Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.

• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.


34

Riesgo de focalización: que los diferentes esfuerzos de entidades del Estado no sean identificados y por lo tanto no se atienda apropiadamente a la población objetivo. El proceso de definición de la población objetivo podría contemplar un enfoque integral de acción del Estado, tanto del gobierno nacional, como así también de los gobiernos locales y regionales; asimismo el identificar las actividades versus los actores podría colaborar en identificar matricialmente "cruces" en las intervenciones, evitando que el Estado invierte dos veces en lo mismo, deje desantendidos a grupos poblacionales o atienda insuficientemente

Riesgo de control de resultados: el no contar con herramientas que permitan medir el desempeño, conforme a metas en el tiempo y que las mismas cumplan con los resultados esperados, conlleva a un riesgo de no controlar adecuadamente las actividades, para ello podría necesitarse desarrollar una normatividad apropiada, un esquema de control permanente de los indicadores, gestión de riesgos y capacitación de los trabajadores promoviendo su especialización

Riesgo de articulación de actores: que no se articulen actores importantes en la generación de bienestar, como puede ser: ministerios de salud, producción, educación, agricultura y tecnología (Concytec, Inictel, entre otros), generando sinergias tanto en calidad de recursos, oportunidad en la intervención y brechas a cubrir

Riesgo de no orientación: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de capacidades productivas y de inversión, en la medida que no sintonice sus propuestas con las de los pobladores y no los ayude a viabilizar mediante orientación técnica, conforme a las estrategias que haya desarrollado, podrían darse iniciativas positivas, que sin embargo por una falta de control y orientación no logren los resultados esperados

Riesgo de priorización: en términos generales que los emprendimientos a nivel nacional no sean categorizados ni se estimen factores que permitan discernir la prioridad en la asignación del capital en base a identificar los riesgos, asimismo que el resultado del emprendimiento no sea medible o no se establezcan metas, con el consiguiente esquema de control

Riesgos estratégicos del FONCODES

Categorías de Riesgos

35

Estratégico

La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno (riesgo político), competencias claves de la empresa y en el proceso de generación e innovación de valor.

OperacionalLa posibilidad de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal y de cumplimiento.

Reputación

La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización.

FinancieroRelacionados a inadecuado manejo financiero de la organización, sus inversiones y activos (crediticio, tesorería, mercado)

Fuente: Resolución SBS N° 037-2008

Categorías de Riesgos


36

Frecuencia (Probabilidad)

ImpactoNivel del Riesgo

Madurez de la Gestión del

Riesgo

Acciones de Monitoreo

Responsable

1 Falla en el SAGUP ersonal capacitado y con experiencia, Gestión del SAGU

Operacional 2 4 2 Moderado Media Implementadas Supervisor

2 Carencia de un adecuado enfoque

Metodología para la Formulación, Informaciónpara el planeamiento, P ersonal capacitado ycon experiencia, Directiva de CGR,Comunicación con la Gerencia de Línea,Estimación de tiempos, Inventario de riesgos ycontroles

Operacional 1 4 2 Moderado Alta En proceso J efatura del OCI

2.00 Moderado

3 P resentación inoportunaDirectiva de CGR, Comunicación con la Gerencia de Línea, Remisión oportuna a la CGR, Gestión del SAGU

Estratégico 2 4 2 Moderado Alta Implementadas J efatura del OCI

2.00

2.00 Moderado

Acción de la Administración

PROCESO ESTRATEGICO

Formulación y aprobación del PACFormulación

Resultado

Incidencia en Objetivos

EstratégicosEvento de Riesgo

AUDITORIA EN CAMPO

Control Categoría del Riesgo

Aprobación

Resultado parcial

Resultado parcial


37

Nivel Criterio Descripción

1 BajoRequiere monitoreoperiódico a fin de mantenerlos riesgos en este nivel

Incumplimiento parcial de normas y procedimientos internos dentro del periodo evaluado (no repetitivo).

4 (Optimo)

2 ModeradoRequiere atención de laGerencia

Incumplimiento reiterativo de procedimientos internos dentro del periodo evaluado.

3 (Implementado)Desactualización de normas y procedimientos

internos relacionados con la administración de activos, recursos entre otros.

3 AltoRequiere atención urgentede las Gerenciasresponsables

Afectación al cumplimiento de los objetivosoperativos.

2 (En Proceso)

Atención y servicio al cliente (trascendencia publicalocal)

P erdidas y/o multas por incumplimiento denormatividad interna y externa (<o =al 50%porcientode la materialidad).

Omisión en la aplicación de controles criticos en losprocesos operativos y de soporte.

Carencia de normas y procedimientos internos relacionados con la administración activos y recursos.

Omision en la implantacion de recomendaciones en dos periodos consecutivos.

NIVEL DE RIESGOCriterios Fundamentales

Equivalente Nivel del Riesgo / Madurez

4 ExtremoRequiere de atenciónurgentede la Alta Direccion

Afectación al cumplimiento de los objetivosestrategicos.

1 (Inexistente / Inicial)

Afectación de la imagen institucional (trascendenciapública a nivel nacional)

Interrupción de las operaciones que afecten laprestacion de los servicios y que generen un efectoeconomico negativo.

Fraudes, robos e irregularidades intencionales.

P erdidas y/o multas por incumplimiento denormatividad interna y externa (> al 50% porciento de la materialidad).

Omisión en la aplicación de controles criticos en losprocesos estrategicos, operativos y soporte.

Estados del monitoreo

38

Categoría Concepto

ImplementadasLas acciones del responsable han sido las apropiadas en el tiempo comprometido

En procesoAlgunas acciones se encuentran desfasadas o en proceso de implementación

PendientesNo se evidencias acciones en la gestión del riesgo

Acciones de Monitoreo

3. Análisis de Riesgos

• El análisis de riesgos involucra prestar consideración a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias

• Implica determinar: fuentes del riesgo, posibilidad, consecuencias, responsables, acciones

• La lista de riesgo debe ser excluyente• Se deben identificar los controles o

acciones que ayuden a minimizarlos

39

3. Análisis de Riesgos

• Cualitativos. El análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran.

• Semi-cuantitativos. El número asignado a cada descripción no tiene que guardar una relación precisa con la magnitud real de las consecuencias o probabilidades.

• Cuantitativos. Uso de datos numéricos para la determinación de los riesgos.

40


• La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente

• El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos (tratamiento de riesgos y la prioridad)

41


42

Nivel Descripción Nivel Descripción

1 Improbable 1 Insignificante

2P oco probable /

Raro2 Menor

3 P robable 3 Moderado

4 P otencial 4 Mayor

5 Casi cierto 5 Catastrofico

NIVEL DE PROBABILIDAD NIVEL DE IMPACTO

Concepto Concepto

P uede ocurrir en algún momentoEl riesgo tiene un efecto nulo o pequeño, en el desarrollo

del proceso - baja perdida financiera

Se espera que ocurra en la mayoria de circunstacias

El proceso es gravemente dañado - Enorme perdida financiera

P uede ocurrir sólo en circunstancias excepcionales

El desarrollo del proceso sufre un daño menor - Con perdida financiera menor

P robablemente ocurriria en la mayoria de circunstancias

El desarrollo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectación financiera

P uede ocurrir en la mayoría de circunstancias

El desarrollo del proceso es afectado significativamente - P érdida financiera mayor


43

Catastrófico

Mayor

Moderado

Menor

Insignificante

Rara vez Ocas ionalPoco

frecuenteFrecuente Muy frecuente

Extremo

Moderado Moderado Alto Extremo Extremo

IMPA

CTO

Moderado Alto Alto Extremo

Bajo Moderado Alto Alto Alto

FRECUENCIA

Bajo Moderado Moderado Moderado Alto

Bajo Bajo Bajo Moderado Moderado

Matriz de riesgos


44

Análisis Cualitativo

Análisis Cuantitativo

Probabilidad

Impacto

Probable

Posible

Improbable

Leve

Moderado

Catastrófico

Probabilidad de ocurrencia

Nivel Calificación

0 – 25 Improbable 1

26- 70 Posible 2

71- 100 Probable 3

Impacto Nivel Calificación

0 – 25 Leve 10

26- 70 Moderado 20

71- 100 Catastrófico

30


45Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno


46Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno


47Presentación KPMG Advisory


• El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos

• Evaluar las opciones para tratar los riesgos• Preparar planes de tratamiento• Implementar planes de tratamiento

48


49

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Fuente: Gestión Integral de Riesgos. PWC. 2009


50Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.

Monitoreo y revisión

• Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos

51

Comunicación y consulta

• La comunicación y consulta son una consideración importante en cada paso del proceso de administración de riesgos

• Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por implementar la administración de riesgos, y aquellos con intereses creados comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular

• Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riesgos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenidas en cuenta

52

IV. Aspectos a tener en cuenta…• Impulsar desde el más alto nivel la implementación del Sistema de Control Interno

(SCI)• Realizar talleres de capacitación y aprestamiento sobre control interno y gestión de

riesgos• Incorporar en los documentos de gestión la responsabilidad de cada trabajador en

el control interno y la gestión de riesgos• Establecer progresivamente un lenguaje común respecto a la gestión de riesgos

(categorías, definiciones, políticas, responsabilidades, metas, indicadores, normatividad, etc.)

• Identificar y adaptar una metodología a las necesidades de FONCODES • Expresar y comunicar los objetivos de la organización, a través del uso de

indicadores de desempeño• Identificar las amenazas potenciales para el logro de los objetivos• Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan• Seleccionar e implementar respuestas ante los riesgos• Priorizar los riesgos • Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes

periódicamente• Comunicar la información sobre riesgos de manera coherente en todos los niveles

de la organización• Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus

resultados• Determinar el grado de aceptación de riesgos de la organización• Establecer un entorno interno adecuado, que incluya un enfoque de gestión de

riesgos.

53

V. Pasos sugeridos

• Capacitación en: control interno, riesgos, procesos, indicadores

• Identificar instrumentos para recolectar información

• Listar los objetivos institucionales, tomando en cuenta la misión

• Clasificar los procesos, actividades y las tareas

• Designar un responsable por proceso y progresivamente incorporar la documentación y normatividad respectiva

• Identificar los riesgos y controles más importantes de la entidad

• Valorar los riesgos• Cruzar los riesgos vs. procesos• Elaborar planes de acción, responsables y

metas• Evaluar la eficacia y las brechas encontradas• Mantener y actualizar

54

V. Pasos sugeridos

55

Seleccionar procesos

clave

Comprender los procesos

Fuente de los riesgos

Documentar controles

clave

Evaluar el diseño

Efectividad de los

controles

Reporte

• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupción

• Considerar insumos de materialidad e importancia

• Comprender las actividades y los procedimientos

• Identificar reportes contables o de la gestión de proyectos, a fin de establecer materialidad

• Cruzar riesgos vs. procesos

• Documentar controles a nivel entidad• Documentar otros controles • Documentar controles a nivel preventivo y detectivos en los procesos principales

• Evaluar la efectividad del diseño de los controles a nivel entidad• Tomar acciones de mejora sobre las deficiencias encontradas

• Evaluar la efectividad de los controles a nivel entidad y de procesos

• Remediar deficiencias a través de la implementación de recomendaciones

• Concluir• Comunicar• Reportar

• Cuáles son los riesgos a que se encuentran expuestos los procesos?

• En qué actividades se encuentran los riesgos?

• Cuáles son los controles clave?• Quién es propietario de los

controles clave?

• Cómo se encuentra el diseño de los controles ?

• Cuáles son los riesgos de falla de los controles?

• Cuál es el desempeño de los controles?

• Existen debilidades materiales o de cumplimiento?Fuente: Adaptación de un esquema de Protiviti

Objetivos institucionales

V. Pasos sugeridos

56Fuente: Gestión Integral de Riesgos (ERM). Deloitte. Fernando Gaziano. 2007

V. Pasos sugeridos

57Fuente: Los riesgos de los negocios, un enemigo oculto. Lámina 25. KPMG, José Alberto Reyes. 2006

V. Pasos sugeridos

58Fuente: Administración de Riesgos. KPMG. 2010. Juan José Descailleaux

VI. Beneficios de la Gestión de Riesgos• Colabora en la implementación del sistema de control interno (Resolución de Contraloría

General Nº 458-2008-CG)• Mayor probabilidad del logro de los objetivos organizacionales• Incrementa la confianza en la habilidad de una organización para anticipar, priorizar y superar

obstáculos para alcanzar sus metas• Mayor comprensión de los riesgos clave y sus implicancias más amplias• Identificación e intercambio de conocimientos sobre riesgos cruzados• Mayor atención de la Alta Dirección a problemas realmente importantes• Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley N° 28716, Ley de

Control Interno de las entidades del Estado y Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República)

• Mayor atención internamente para hacer lo correcto de la manera correcta• Mayor probabilidad de que se logren las iniciativas de cambio• Toma de decisiones más informadas, a nivel estratégico y operativo• Coadyuva a la gestión de un presupuesto por resultados• Fomenta el orden interno (gestión por procesos, establecimiento de indicadores de

desempeño, identificación de controles, desarrollo de procedimientos, normatividad, etc.)• Progresivamente la administración podrá asumir procesos de autoevaluación de control• Brinda transparencia a la gestión, interna y externamente• Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad• Actualización de conocimientos de los profesionales en temas de: gestión por procesos,

control interno, indicadores, riesgos, etc. 59

VII. Roles

60

Alta DirecciónResponsable de la efectividad del SCI

Auditoría InternaBrinda evaluación independiente

• Retroalimentación sobre la gestión de riesgos y controles

• Monitorea el proceso de implementación del SCI y efectividad de la gestión de riesgos

• Alinea los principales riesgos con el Plan Anual de Control

Comité de Riesgos / Auditoría *

Supervisa y ejecuta el control de calidad a las actividades del SCI

Propietarios de los RiesgosImplementan y reportan las acciones

* En caso exista alguno de ellos en la entidad

Muchas gracias

61

Riesgo de competenciaCompetidores importantes o nuevos intrusos en el mercado puede tener ventajas competitivas sobre la Empresa y amenazar su habilidad para sobrevivir.

Riesgo de sensibilidadSobre comprometer los recursos y los flujos futuros esperados, afecta la capacidad de la organización para enfrentar cambios en el entorno.

Riesgo de relaciones con accionistas

Una caída en la confianza de los inversores destruye la habilidad de la Empresa para obtener capital eficientemente.

Riesgo de disponibilidad de capital

La Empresa no tiene un acceso eficiente al capital que necesita para financiar su crecimiento, llevar a cabo su estrategia y generar los resultados financieros futuros.

Riesgo de desastres naturales

Puede amenazar la habilidad de la organización de sostener sus operaciones, proveer los productos y servicios esenciales o recuperar sus costos operacionales.

Riesgo político y de soberanía

Acciones políticas adversas en un país, en la cual la Empresa ha invertido en forma importante o depende un volumen significativo del negocio, puede amenazar los recursos y los flujos de caja futuros de la Empresa.

Riesgo legalEn las leyes pueden amenazar la capacidad de la Empresa para llevar a cabo acciones importantes y poner en vigor acuerdos contractuales o implementar estrategias.

Riesgo de regulaciónCambios en las regulaciones, puede ocasionar un aumento en las presiones competitivas y afectar la habilidad de la Empresa para llevar a cabo en forma eficiente su negocio.

Riesgo de industriaCambios en las oportunidades y en los obstáculos, así como en la capacidad de los competidores y en otras condiciones que pueden afectar la industria en que actúa la Empresa.

Riesgos de mercados financieros

Precios de los activos financieros. Tasa de un indicador base, tal como tasa de interés. Un índice, tal como el de mercado de valores u otro índice similar, puede afectar negativamente el valor de los activos financieros en la organización.

Riesgos del Entorno

Riesgo de operacionesEstos se derivan de que las operaciones sean ineficientes e ineficaces en satisfacer a los clientes y alcanzar los objetivos que tiene la Empresa.

Riesgos de satisfacción al cliente

Una empresa que no escuche a los clientes no va a entender o desarrollar los productos con las características o elementos de servicios para mantenerse competitivo.

Riesgos de eficienciaOperaciones ineficientes amenazan la capacidad de la organización de producir servicios a un costo igual o menor que los costos incurridos por los competidores o por empresas a nivel mundial.

Riesgos de capacidad productiva

Una capacidad insuficiente o un exceso de capacidad amenaza la habilidad de la Empresa de generar márgenes adecuados en un mercado competitivo.

Riesgos de diferencial con competencia

La inhabilidad de actuar a un nivel o clase mundial en términos de calidad de costos, amenazan la demanda de los productos o servicios de las operaciones.

Riesgo de oportunidad

Un plazo excesivo entre el inicio y el término de un proceso de negocios, debido a actividades redundantes, innecesarias o irrelevantes amenazan la capacidad de la Empresa para producir servicios en forma oportuna

Riesgos de precio en productos básicos

La estrategia para comprar y las desviaciones de los productos básicos exponen a la Empresa a costos de producción excesivos o pérdidas por mantenerlos en sus inventarios.

Riesgos de obsolescencia y faltantes

Los riesgos de exceso, obsolescencia o pérdida de inventario da como resultado pérdidas importantes a la Empresa.

Riesgo de incumplimientoEl incumplimiento de los requerimientos del cliente de políticas prescritas por la organización, puede resultar en una menor calidad, altos costos de producción, ingresos perdidos, etc.

Riesgos de interrupción del negocio

Es originado por la disponibilidad de materia prima, información tecnológica, sistemas o mano de obra especializada, que amenaza la capacidad de la organización para continuar con las operaciones.

Riesgo de fallo en el servicioServicios defectuosos o que no funcionan, exponen a la organización las quejas del cliente, reclamos de garantía, reparaciones, devoluciones y pérdida de participación en el mercado y de reputación.

Riesgo ambiental

Los riesgos ambientales exponentes a las organizaciones a pasivos potencialmente enormes. Pueden surgir de actividades pasadas o presentes de edificios u otras estructuras y emisiones contaminantes de las operaciones.

Riesgo de erosión en la marca comercial

La erosión de marca comercial que no sean debidamente mantenida a través del tiempo, amenaza la demanda de los servicios de la organización.

Riesgos del Negocio

Riesgo de direcciónPuede resultar en una falta de dirección, enfoque al cliente, motivación para lograr objetivos, credibilidad de la gerencia y confianza a través de la organización.

Riesgo de autoridad Líneas de autoridad pueden causar que se hagan cosas que no deberían de hacerse o no hacer lo que es debido.

Riesgo de límites Un fallo al establecer límites puede causar que se lleven a cabo actos no autorizados o desleales.

Riesgo de incentivos de actuación

Medidas de actuación que nos sean realistas o mal interpretadas puede causar una actuación de una manera inconsistente con los objetivos de la organización

Riesgo de comunicaciones Los canales inefectivos de comunicación pueden resultar en mensajes que son inconsistentes.

Riesgos de Dirección

Riesgo de accesoLa falla en mantener un acceso adecuado a los sistemas de información puede resultar en conocimientos no autorizados y uso indebido de información confidencial.

Riesgo de integridadLa falta de integridad en la gestión de la infraestructura de los sistemas de información puede resultar en acceso no autorizado a los datos.

Riesgo de relevanciaEl riesgo de relevancia está asociado con no proporcionar los datos o información correcta al momento correcto para toma de decisiones.

Riesgo de disponibilidad

La falta de disponibilidad de información importante, en el momento en que es necesaria, puede afectar adversamente la continuidad de los procesos y operaciones críticas de la organización.

Riesgo de energíaLa falta de fluido eléctrico puede provocar que los sistemas utilizados para la operación de la Empresa, no se encuentren disponibles impactando en forma directa la prestación del servicio.

Riesgo en los enlaces de comunicación

Una interrupción en los enlaces de comunicación, utilizados en los sistemas, impacta negativamente en el servicio prestado a los clientes.

Riesgos Tecnológicos y de la Información

Riesgos de Integridad

Riesgo de fraude de la Administración

Puede emitir información financiera distorsionada con el intento de engañar al público inversor y al auditor externo. La administración puede efectuar sobornos y otros actos ilegales para el beneficio de la Empresa

Riesgo de fraude del empleado

Los empleados, clientes o proveedores pueden perpetrar fraudes contra la Empresa para su ganancia personal.

Riesgo de actos ilegales

Actos ilegales expone a la Empresa a multas y sanciones y a pérdida de cliente, utilidades, reputación, etc.

Riesgo de uso no autorizado

El uso no autorizado de los activos físicos, financieros o de información expone a la Empresa a un desperdicio innecesario de recursos.

Riesgo de reputación Puede perder clientes, empleados clave o su habilidad para competir, debido a la percepción de que no se está dando un trato justo.

Riesgos Financieros

Riesgo de liquidez

La imposibilidad de tener efectivo disponible en una forma oportuna o de no convertir activos efectivo cuando sea necesario, puede incumplir con los pagos de sus obligaciones.

Riesgo de rapidez en realizar

transferencias

El tiempo requerido para transferir fondos a través del sistema financiero o transferir, puede resultar en pérdidas en su valor.

Riesgo de derivados

Transacciones de derivados indebidamente estructuradas pueden impedir a la organización alcanzar sus objetivos.

Riesgo de liquidación de operaciones

Existe cuando una de las dos partes cumple con su obligación bajo el contrato, cuando aún no ha recibido el valor correspondiente de la contraparte.

Riesgo de crédito Expone a la Empresa a costos de cobranza y pérdidas excesivas.

Riesgo de reinversión

Cambios en los precios o tasa de interés que ocurran antes de que los flujos de efectivo puedan ser reinvertidos y se obtienen rendimientos inferiores.

Riesgo de garantía

La pérdida parcial o total del valor de un activo dado en garantía, expone a la organización a una pérdida financiera

Riesgo de incumplimiento de contraparte

La falta de una contraparte en un contrato transferido a un intermediario que subsecuentemente incurre en falta, expone a la organización a pérdidas financieras.

Riesgos de la Información para la Toma de Decisiones

Riesgo de determinación de precios

La falta de información relevante que soporte la determinación de precios, puede resultar en precios o tarifas que los clientes no quieran pagar o que no cubran los costos de desarrollo y otros costos.

Riesgo de compromiso de contrato

La Empresa puede no tener información que le permita evaluar los compromisos contractuales existentes de tal manera que las decisiones para tomar compromisos adicionales sean inadecuadas.

Riesgo de mediación La inexistencia de medidas causa conclusiones erróneas

Riesgo de alineación con la estrategia

Consiste en que los objetivos y medidas de desempeño de los procesos de la empresa no estén alineados con los objetivos y estrategias globales.

Riesgo de información precisa, completa y regulatoria

La información incompleta puede causar decisiones equivocadas.

Riesgo de ContingenciaLa falta de planes de contingencia o un inadecuado diseño de los mismos, puede provocar que la Empresa interrumpa sus operaciones regulares.

Riesgos de la Información Financiera

Riesgo de planificación y presupuesto

La falta de información sobre planeación y presupuestos o que sea irreal, puede causar conclusiones y decisiones financieras inapropiadas.

Riesgo de información errónea e incompleta

Información financiera errónea e incompleta causa decisiones y conclusiones inapropiadas.

Riesgo de información contable

Sobre enfatizar el uso de información contable para manejar el negocio, resulta en alcanzar ciertos objetivos financieros a costa de no cumplir con los objetivos de satisfacción al cliente, calidad y eficiencia.

Riesgo de impuestosFallas en la obtención y evaluación de información relevante resulta en el incumplimiento de regulaciones impositivas.

Riesgo de evaluación de la información

financiera

Se deriva del hecho de que información emitida a inversores o acreedores pueda tener errores u omisiones importantes que conduzcan a error en su interpretación.

Riesgo de evaluación de inversiones

La falta de información relevante y confiable que respalde las decisiones de inversión puede resultar en pobres inversiones, a corto plazo.

Riesgo de informes a reguladores

La emisión de información requerida por los reguladores que sea incompleta, errónea o tardía expone a la Empresa a multas, penas y otros

Riesgo de fondosInformación errónea e incompleta derivada de compensación y beneficios puede impedir que la empresa cumplir con sus obligaciones definidas.

Riesgos de la Evaluación Estratégica

Riesgo de evaluación del entorno

Fallos en el seguimiento del entorno externo, puede causar que la Empresa conserve estrategias más allá del tiempo establecidas hasta ser obsoletas.

Riesgo de diversificación del negocio

La falta de información confiable y relevante puede impedir maximizar su actuación global a una organización diversificada.

Riesgo de valor del negocio La falta de información relevante y confiable del valor del negocio, puede impedir que los dueños lleven a cabo un juicio informado sobre la empresa.

Riesgo de medición de resultados

La falta de confiabilidad de medidas de desempeño, puede afectar negativamente la habilidad de la empresa para alcanzar sus estrategias a largo plazo.

Riesgo de la estructura organizacional

No hay la información necesaria para juzgar la efectividad de la estructura organizacional de la empresa, afectando su capacidad de cambio y lograr sus objetivos a largo plazo.

Riesgo de asignación de recursos

Un proceso inadecuado de la distribución de recursos y de información que lo respalde, puede impedir que se establezca y sostenga ventajas competitivas.

Riesgo de planificación estratégica

Un proceso de planeación estratégico pesado y poco imaginativo puede resultar en información irrelevante.

Riesgo de ciclo de vida

La falta de información relevante y confiable que permita a la Administración conducir las actividades de sus líneas de productos y la evolución del ciclo de vida de sus industrias o productos, amenaza la capacidad de la organización de permanecer competitiva.

Control de Los Sistemas de Negocios Semana 1[1]

Documents

Transcript of Control de Los Sistemas de Negocios Semana 1[1]