La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO VI LA GESTIÓN DE RIESGOS SNCI TITULO VI LA GESTIÓN DE RIESGOS CARTAGENA.

Presentaciones similares


Presentación del tema: "CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO VI LA GESTIÓN DE RIESGOS SNCI TITULO VI LA GESTIÓN DE RIESGOS CARTAGENA."— Transcripción de la presentación:

1 CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL

2 CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO VI LA GESTIÓN DE RIESGOS SNCI TITULO VI LA GESTIÓN DE RIESGOS CARTAGENA DE INDIAS Mayo, 2008

3 CONTROL Y AUDITORÍA INTERNA 3 CONTROL INTERNO LAS CARACTERÍSTICAS DE LA AT, EN CUANTO GESTOR DEL SISTEMA TRIBUTARIO, LAS FUNCIONES QUE DESEMPEÑA, LA IMPORTANCIA DE LAS DECISIONES QUE EN SU SENO SE TOMAN, Y LA TRASCENDENCIA QUE PARA LA ECONOMÍA TIENEN, DAN LA MEDIDA DE LA IMPORTANCIA QUE TIENE LA FUNCIÓN DE CONTROL. LA AT TIENE DELEGADA UNA AUTORIDAD Y EL MODO DE EJERCERLA HA DE SER CONTROLADO CON CONTROL INTERNO Y EXTERNO. SE LE REQUIERE BUEN GOBIERNO Y TRANSPARENCIA. LA RESPUESTA DEBE SER UN REFUERZO DE SUS CONTROLES INTERNOS.

4 CONTROL Y AUDITORÍA INTERNA 4 CONTROL INTERNO EL PROCESO ADMINISTRATIVO ESTÁ FORMADO POR LAS FUNCIONES DE PLANIFICACIÓN, ORGANIZACIÓN, EJECUCIÓN Y CONTROL. POR LO TANTO, EL CONTROL ES UNA FUNCIÓN EJERCIDA EN EL SENO DE LA AT. EL CONTROL ES UN PROCESO DE OBSERVACIÓN Y MEDIDA QUE COMPARA SISTEMÁTICAMENTE LOS OBJETIVOS CON LOS RESULTADOS Y QUE TIENE CAPACIDAD PARA REGULAR LOS SISTEMAS CON LA INTENCIÓN DE QUE SEAN ALCANZADOS LOS OBJETIVOS. EL CONTROL SE EJERCE PARA ASEGURAR QUE LA ORGANIZACIÓN Y LAS PERSONAS ACTÚAN CONFORME AL MANDATO QUE HAN RECIBIDO. EL CONTROL APORTA CONFIANZA A TODAS LAS PARTES INTERESADAS EN LA BUENA MARCHA LA AT.

5 CONTROL Y AUDITORÍA INTERNA 5 ESTE CONTROL PRETENDE GARANTIZAR: EL CUMPLIMIENTO DE LA LEGISLACIÓN VIGENTE. PROPORCIONAR SEGURIDAD A LOS AGENTES IMPLICADOS. LIMITAR RIESGOS. FACILITAR EL CUMPLIMIENTO DE LOS OBJETIVOS. MEJORAR LA EFICIENCIA Y LA EFICACIA DEL SISTEMA. OBTENER INFORMACIÓN FIABLE. CONTROL INTERNO

6 CONTROL Y AUDITORÍA INTERNA 6 EVOLUCIÓN DEL CONTROL INTERNO CONTROL AJENO A LA ORGANIZACIÓN EXTERNO, O EFECTUADO POR OTRAS PERSONAS. DISTINTO A LA GESTIÓN. EN FASE POSTERIOR. CONTROL FUNCIÓN IRRENUNCIABLE DE LA DIRECCIÓN COMPETE A TODA LA ORGANIZACIÓN PARTE INTEGRANTE DE LA GESTIÓN. INCORPORADO A SUS PROCESOS.

7 CONTROL Y AUDITORÍA INTERNA 7 EN EL ÁMBITO DE LA MODERNA ADMINISTRACIÓN PÚBLICA SE HA PRODUCIDO UN CAMBIO DE ENFOQUE EN EL CONCEPTO DE CONTROL. ESTE CAMBIO AMPLÍA EL ENFOQUE DE LA FUNCIÓN DE CONTROL: EN UN PRINCIPIO EL CONTROL SOLO SE HA ENFOCADO HACIA EL ACTO FINAL DE UN PROCEDIMIENTO. AHORA TAMBIÉN SE DIRIGE AL PROCEDIMIENTO DE PRODUCCIÓN DEL ACTO. EL CONTROL INTERNO

8 CONTROL Y AUDITORÍA INTERNA 8 EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS ESCÁNDALOS MERCANTILES FALLOS DE CONTROL PÉRDIDA DE CONFIANZA CAMBIOS EN EL CONTROL DE LA GESTIÓN DEMANDA MEJORES SERVICIOS PÚBLICOS REQUERIMIENTO DE MAYOR TRANSPARENCIA SATISFACCIÓN DEL CIUDADANO

9 CONTROL Y AUDITORÍA INTERNA 9 EL MODELO COSO EL INFORME COSO SE PUBLICÓ EN 1992, TRANSCURRIDO UN TIEMPO SE PERCIBIÓ LA NECESIDAD DE DESARROLLAR UN MARCO QUE INTEGRARA LA GESTIÓN DE RIESGOS. ESTE NUEVO MARCO FUE PUBLICADO EN EL INFORME DE 2004 NO PRETENDE SUSTITUIR AL INFORME 1992, SINO OFRECER UN MARCO MAS AMPLIO QUE ABARCA LA GESTIÓN DE RIESGOS.

10 CONTROL Y AUDITORÍA INTERNA 10 EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS GESTIÓN DE RIESGOS PROACTIVA, ANTICIPATORIAAYUDAR AL GESTOR EN SU TOMA DE DECISIONES SURGE LA GESTIÓN DE RIESGOS COMO UNA GESTIÓN PROACTIVA, ANTICIPATORIA, QUE TRATA DE AYUDAR AL GESTOR EN SU TOMA DE DECISIONES, TRATANDO EFICAZMENTE LA INCERTIDUMBRE, MINIMIZANDO LOS RIESGOS INHERENTES A DICHA GESTIÓN QUE PUEDAN AFECTAR A LA CONSECUCIÓN DE SUS OBJETIVOS.

11 CONTROL Y AUDITORÍA INTERNA 11 CONCEPTO DE RIESGO RIESGO ES LA POSIBILIDAD DE QUE UN EVENTO OCURRA Y AFECTE DESFAVORABLEMENTE AL LOGRO DE OBJETIVOS.

12 CONTROL Y AUDITORÍA INTERNA 12 CONCEPTOS DE GESTIÓN DE RIESGOS GESTIÓN DE RIESGOS –La gestión de riesgos corporativos es un proceso efectuado por la Dirección y el resto del personal de una organización, integrado dentro de la estrategia de la organización, diseñado para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales que pueden afectar a la AT. con el fin de proporcionar un aseguramiento razonable respecto al logro de sus los objetivos.

13 CONTROL Y AUDITORÍA INTERNA 13 Elementos constitutivos de un sistema de control de riesgos: –ambiente interno. –definición de objetivos. –identificación de riesgos. –evaluación de riesgos. –respuesta al riesgo. –actividades de control. –información y comunicación. –supervisión. COMPONENTES DE LA GESTIÓN DE RIESGOS

14 CONTROL Y AUDITORÍA INTERNA 14 Evaluación de los riesgos: Los riesgos deben valorarse teniendo en cuenta una doble perspectiva: –Su impacto sobre la consecución de los objetivos. –La probabilidad de ocurrencia. Hay que valorar: –El riesgo inherente, que se define como el riesgo existente antes de establecer los controles, es decir si no se hubiesen adoptado acciones para alterar el impacto o la probabilidad. –El riesgo residual, consistente en el riesgo remanente tras establecer las medidas de control. COMPONENTES DE LA GESTIÓN DE RIESGOS

15 CONTROL Y AUDITORÍA INTERNA 15 Respuesta al riesgo: La dirección debe evaluar cuál es la respuesta al riesgo de la organización en función de las cuatro categorías siguientes: –Evitar: Salir de las actividades que generan riesgos. –Reducir: Actuar para reducir la probabilidad de ocurrencia, el impacto del riesgo o ambos. –Compartir: Trasladar o transferir una parte del riesgo. –Aceptar: No acometer ninguna acción que afecte a la probabilidad o al impacto. COMPONENTES DE LA GESTIÓN DE RIESGOS

16 CONTROL Y AUDITORÍA INTERNA 16 Factores a considerar por la dirección en la respuesta a los riesgos: –efectos de la respuesta sobre la probabilidad del riesgo y sobre su impacto. –costes y beneficios de las respuestas potenciales: las medidas de control para mitigar o eliminar los riesgos, a las que se recurra, no deberían suponer para la organización un coste superior que el que provocaría la ocurrencia del acontecimiento considerado. –oportunidades que supone de conseguir los objetivos de la organización. COMPONENTES DE LA GESTIÓN DE RIESGOS

17 CONTROL Y AUDITORÍA INTERNA 17 Una vez establecida la respuesta al riesgo más adecuada para cada situación, deberá establecerse: –un plan de implantación de la respuesta. –un seguimiento de su efectividad. COMPONENTES DE LA GESTIÓN DE RIESGOS

18 CONTROL Y AUDITORÍA INTERNA 18 Actividades de control : Se trata de las políticas (lo que debe hacerse) y los procedimientos (cómo hacerlo) que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones y deben tener convenientemente integradas las respuestas a los riesgos. COMPONENTES DE LA GESTIÓN DE RIESGOS

19 CONTROL Y AUDITORÍA INTERNA 19 Atributos de las actividades de control: –El control establecido puede ser automático, o manual, requiriendo la intervención de personal. –El control puede disponer o no de indicadores de cumplimiento. –El control puede estar concebido y ejecutado como una alerta. COMPONENTES DE LA GESTIÓN DE RIESGOS

20 CONTROL Y AUDITORÍA INTERNA 20 Información y Comunicación: El sistema de gestión de riesgos debe disponer de una adecuada información en todos los niveles de la organización. La información debe identificarse, captarse y comunicarse en plazo. –Los sistemas de información (SI) se diseñan desde hace tiempo para apoyar la estrategia de negocio de la organización. El desarrollo de los SI ha mejorado la capacidad de medir y supervisar el funcionamiento de las entidades y de presentar información analítica corporativa. COMPONENTES DE LA GESTIÓN DE RIESGOS

21 CONTROL Y AUDITORÍA INTERNA 21 –En contrapartida, la dependencia de la organización respecto de los SI genera nuevos riesgos y plantea el problema de la calidad de la información. Una comunicación eficaz debe fluir en todas direcciones dentro de la organización. Consta de: –Comunicación interna, que exprese eficazmente la importancia de una buena gestión de los riesgos, los objetivos de la entidad, el riesgo aceptado y las tolerancias al mismo, el lenguaje común de los riesgos y los roles y responsabilidades del personal. –Comunicación externa, potenciada por el compromiso expreso de la dirección con la comunicación hacia terceros. COMPONENTES DE LA GESTIÓN DE RIESGOS

22 CONTROL Y AUDITORÍA INTERNA 22 Supervisión: La gestión de riesgos debe ser supervisada para asegurar su correcto funcionamiento y la calidad de los resultados. Tipos de supervisión: –Actividades de supervisión permanente, integradas en las actividades de gestión. – Evaluaciones, cuyo alcance y frecuencia depende de la eficacia de las supervisiones permanentes. La evaluación puede adoptar la forma de una autoevaluación. La evaluación de riesgos es un proceso, requiere una metodología y explicitar de qué se informa y a quién. COMPONENTES DE LA GESTIÓN DE RIESGOS

23 CONTROL Y AUDITORÍA INTERNA 23 PROCESO DE GESTIÓN DE RIESGOS –Política de gestión de riesgos. La organización debe aprobar una política institucional de gestión de riesgos y seleccionar una metodología para el análisis y gestión de los riesgos. –Objetivos, procesos y riesgos. Los riesgos están vinculados a los objetivos de la organización, que deben estar fijados con antelación. Los riesgos están también directamente vinculados a los procesos y procedimientos de la organización. METODOLOGÍA DE GESTIÓN DE RIESGOS

24 CONTROL Y AUDITORÍA INTERNA 24 –Gestión de los riesgos. La gestión de los riesgos se suele coordinar por un órgano especializado (Comité de Riesgo). En ocasiones, se designa a propietarios de cada riesgo relevante, responsables de su oportuna gestión. Todas las áreas gestionan los riesgos de la organización. Toda la organización dispone de adecuada información sobre el sistema de gestión de riesgos. METODOLOGÍA DE GESTIÓN DE RIESGOS

25 CONTROL Y AUDITORÍA INTERNA 25 –Valoración de los riesgos. El riesgo se valora de forma continua, antes y después de aplicar las medidas de control mitigantes. El riesgo remanente es el riesgo residual. –Tratamiento. Considerando costes y beneficios, la dirección selecciona el tratamiento o actuación de control sobre los riesgos que sitúa el riesgo residual dentro de la tolerancia al riesgo establecida por la organización, denominada riesgo aceptado. El control interno de la organización se orienta entonces a impedir, mitigar o transferir los riesgos. METODOLOGÍA DE GESTIÓN DE RIESGOS

26 CONTROL Y AUDITORÍA INTERNA 26 La actuación sobre los riesgos tiende a anticipar su materialización y por tanto es preventiva antes que reactiva, tendiendo al establecimiento de alertas automáticas. –Supervisión. Los controles establecidos se monitorizan de forma continua. El sistema de gestión de riesgos debe ser supervisado. METODOLOGÍA DE GESTIÓN DE RIESGOS

27 CONTROL Y AUDITORÍA INTERNA 27 ÓRGANOS E INSTRUMENTOS DE GESTIÓN DE RIESGOS SON DIFERENTES DE LOS INSTRUMENTOS DE PLANIFICACIÓN Y SU SEGUIMIENTO. En los instrumentos de planificación se definen, entre otros, los objetivos y metas de la organización (Plan estratégico, Plan de Acción, Plan Operativo Anual...). Los instrumentos de gestión de riesgos identifican, evalúan, manejan y controlan acontecimientos o situaciones potenciales que pueden poner en peligro el cumplimiento de esos objetivos y metas.

28 CONTROL Y AUDITORÍA INTERNA 28 GESTIÓN DE RIESGOS: ÓRGANOS COMITÉ DE RIESGOS DE LA AT DEPARTAMENTO AUDITORÍA INTERNA COMITES O GRUPOS DE TRABAJO DE RIESGOS SECTORIALES

29 CONTROL Y AUDITORÍA INTERNA 29 ÓRGANO DE DIRECCIÓN ESPECÍFICAMENTE ORIENTADO A LA GESTIÓN DE RIESGOS. COMITÉ DE GESTIÓN DE RIESGOS DE LA AT

30 CONTROL Y AUDITORÍA INTERNA 30 FUNCIONES DEL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT IDENTIFICAR, ANALIZAR Y EVALUAR LOS RIESGOS INTERNOS Y EXTERNOS. IDENTIFICAR LOS PROCESOS CRÍTICOS. PROPONER LAS MEDIDAS PARA MINIMIZAR PROBABILIDAD Y/O IMPACTO. DEFINIR Y APROBAR EL MARCO CONCEPTUAL Y LAS METODOLOGÍAS DE ANÁLISIS. APOYO TÉCNICO DE AI. CONSOLIDAR ANUALMENTE LA INFORMACIÓN DERIVADA DE LA ADMÓN DE RIESGOS.

31 CONTROL Y AUDITORÍA INTERNA 31 Detectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito. Analizar y evaluar, para cada una de las áreas de riesgo delimitadas, las deficiencias y debilidades de control existentes (aspectos legales, organizativos y procedimentales, así como los derivados de los medios personales y de las aplicaciones y sistemas informáticos). Acordar y hacer operativas medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad. Elaborar, en su caso, las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas (complementan las obligaciones y responsabilidades en materia de control de los distintos responsables). COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT Elaborar el Proyecto de Mapa de Riesgos Sectorial y elevar para su aprobación e integración en el Mapa de Riesgo de la AT al Comité de Gestión de Riesgos de la AT.

32 CONTROL Y AUDITORÍA INTERNA 32 INFORMACIÓN Y COMUNICACIÓN: Cada Comité Sectorial remitirá al Comité de Riesgos de la AT, información sobre áreas y puntos de riesgo, deficiencias de los sistemas de control detectadas, propuestas realizadas y, en su caso, acordadas, y las medidas adoptadas, así como las actas de las reuniones que celebre. Cualquier órgano o servicio de la AT que detecte un problema o deficiencia en los sistemas de seguridad y control, deberá ponerlo en conocimiento del responsable del mismo, que lo comunicará al Comité Sectorial correspondiente. COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT

33 CONTROL Y AUDITORÍA INTERNA 33 Cuando en la instrucción de expedientes disciplinarios se pongan de manifiesto problemas o deficiencias de seguridad y control, el órgano que haya acordado la instrucción deberá comunicarlo, a través de AI, al Comité Sectorial correspondiente, omitiendo los datos y circunstancias personales del expediente. Colaboración: En el ejercicio de sus funciones, los Comités podrán contar con la colaboración de otros órganos de la AT no representados en las mismas a efectos de la realización de trabajos o actividades específicos. COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT

34 CONTROL Y AUDITORÍA INTERNA 34 SEGUIMIENTO DE LAS ACTUACIONES DE LOS COMITES SECTORIALES: EL REPRESENTANTE DE AUDITORIA INTERNA APORTARÁ Al COMITÉ LOS INFORMES DE AUDITORIA, CONCLUSIONES Y RECOMENDACIONES REALIZADAS POR EL SERVICIO QUE AFECTEN AL ÁREA DE RESPONSABILIDAD DEL COMITÉ SECTORIAL. COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT

35 CONTROL Y AUDITORÍA INTERNA 35 1.IMPULSO Auditoría Interna debe impulsar un proceso de gestión de riesgos adecuado a la organización. Auditoría Interna informa a la Dirección de la organización sobre la importancia de una gestión adecuada de los riesgos, exponiendo las ventajas que puede aportar dicha gestión. ROL DE AI EN LA GESTIÓN DE RIESGOS

36 CONTROL Y AUDITORÍA INTERNA 36 2.IMPLANTACIÓN Una vez adoptada por el Comité de Dirección la decisión de implantar un sistema de gestión de riesgos en la organización, Auditoría Interna debe cumplir un papel proactivo, colaborando en el establecimiento inicial del sistema, e incluso coordinando y dirigiendo el proceso. La implantación se puede realizar de forma escalonada. ROL DE AI EN LA GESTIÓN DE RIESGOS

37 CONTROL Y AUDITORÍA INTERNA 37 Auditoría Interna debe cerciorarse de que la Dirección de la organización adopta todas las decisiones que son necesarias para la puesta en marcha del proceso. En particular, Auditoría Interna debe proponer una metodología de gestión de riesgos, divulgándola y explicándola a todos por los grupos o personas que participan en la Dirección o están implicados en su ejecución. La metodología debe adaptarse a cada una de las diferentes fases de elaboración del Mapa de Riesgos. Debe resaltarse que la capacitación adecuada de los agentes que intervienen en el proceso de análisis y gestión de los riesgos es un factor crítico del éxito. ROL DE AI EN LA GESTIÓN DE RIESGOS

38 CONTROL Y AUDITORÍA INTERNA 38 Auditoría Interna debe asegurarse que el procedimiento adoptado se orienta a los objetivos claves de un proceso de gestión de riesgos. –1. Identificación y evaluación de los riesgos. –2. Fijación de un nivel de riesgo aceptable. –3. Establecimiento de actividades para mitigar y controlar los riesgos. –4. Supervisión para reevaluar periódicamente los riesgos y la eficacia de los controles. –5. Información periódica a la Dirección sobre los resultados del proceso de gestión de riesgos. ROL DE AI EN LA GESTIÓN DE RIESGOS

39 CONTROL Y AUDITORÍA INTERNA 39 SUPERVISIÓN: Auditoría Interna vela por una adecuada coordinación de las responsabilidades y actividades de los distintos grupos y personas que tengan relación con este proceso para evitar duplicidades o lagunas en el control. Auditoría Interna debe verificar la información registrada en el modelo de análisis de riesgos y analizar las desviaciones obtenidas en los indicadores de control. Auditoría Interna debe utilizar los resultados obtenidos como instrumento de planificación para diseñar los programas de su Plan Anual de Actuaciones. ROL DEL SAI EN LA GESTIÓN DE RIESGOS

40 CONTROL Y AUDITORÍA INTERNA 40 MAPA DE RIESGOS DE LA AT EL MAPA DE RIESGOS ES UNA REPRESENTACIÓN GRÁFICA DE LOS PRINCIPALES RIESGOS QUE AFECTAN A LA CONSECUCIÓN DE LOS OBJETIVOS DE UNA ORGANIZACIÓN, CATEGORIZADOS EN FUNCIÓN DE SU PROBABILIDAD DE OCURRENCIA Y DE SU IMPACTO EN DICHOS OBJETIVOS EL MAPA DE RIESGOS DE LA AT ES UN INSTRUMENTO ESENCIAL DE AYUDA A LA DIRECCIÓN

41 CONTROL Y AUDITORÍA INTERNA 41 FASES DE LA ELABORACIÓN DEL MAPA DE RIESGOS Fijación, catalogación y priorización de los OBJETIVOS 1ª) Fijación, catalogación y priorización de los OBJETIVOS de cualquier categoría de la organización. Identificación, para cada objetivo, de los PROCESOS 2ª) Identificación, para cada objetivo, de los PROCESOS y subprocesos efectuados por la organización que se consideren clave para el cumplimiento de aquél. IDENTIFICACIÓN DE LOS RIESGOS 3ª) IDENTIFICACIÓN DE LOS RIESGOS asociados a cada uno de los procesos clave y objetivos. EVALUACIÓN DEL RIESGO INHERENTE 4ª) EVALUACIÓN DEL RIESGO INHERENTE: en ausencia de controles Identificación de los CONTROLES YA ESTABLECIDOS 5ª) Identificación de los CONTROLES YA ESTABLECIDOS por la organización. TRATAMIENTO 7ª) TRATAMIENTO. Análisis del efecto del riesgo residual e identificación y evaluación de alternativas de tratamiento. EVALUACIÓN DEL RIESGO RESIDUAL 6ª) EVALUACIÓN DEL RIESGO RESIDUAL: remanente tras los controles

42 CONTROL Y AUDITORÍA INTERNA 42 RIESGO INHERENTE – RIESGO RESIDUAL EL RIESGO INHERENTE EL RIESGO INHERENTE es el riesgo en ausencia de control, es decir, el que existiría si no se hubiesen adoptado acciones por la organización para alterar o reducir su probabilidad de ocurrencia. El RIESGO RESIDUAL El RIESGO RESIDUAL es el riesgo que subsiste tras los controles ya establecidos por la organización.

43 CONTROL Y AUDITORÍA INTERNA 43 EVALUACIÓN DEL RIESGO PROBABILIDADXIMPACTO Probabilidad de que el riesgo se materialice Daño causado por la materialización del riesgo.

44 CONTROL Y AUDITORÍA INTERNA 44 TÉCNICAS DE EVALUACIÓN CUANTITATIVAS Modelos probabilísticos (datos históricos conocidos, simuladores, etc.) CUALITATIVAS Crítico, alto, medio, bajo Alto, medio, bajo 1, 2, 3, 4

45 CONTROL Y AUDITORÍA INTERNA 45 PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS OPCIÓN Tamaño del Mapa.Mapa Abreviado: Conjunto limitado y asumible de riesgos. Tipología de los riesgos.Riesgos estratégicos: Comité de Riesgos. Riesgos operativos: Comités Sectoriales. Categoría y nivel de los objetivos, procedimientos y actividades a analizar. Objetivos y procedimientos vinculados a la misión de la AT.

46 CONTROL Y AUDITORÍA INTERNA 46 PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS OPCIÓN Metodología. Común. Basada en modelos proformas (fichas de riesgo e informes de objetivos). Integración y homogeneización por Auditoría Interna. Técnica a utilizar para la evaluación de probabilidad e impacto: Análisis cualitativos. Propuestas de tratamiento o respuesta al riesgo: Deben incorporar Plan de implantación, fases, calendario, responsable y sistema de seguimiento y control. Supervisión y mejora del Mapa: Incorporar programas específicos al Plan de Actuaciones. Nivel de agregación o desagregación del Mapa: Mapa de Riesgos de la AT a nivel nacional sin desagregación territorial. Difusión y capacitación: Personal AI y miembros de los Comités Sectoriales. Incorporación al Manual de Procedimientos de AI del modelo adoptado para la elaboración, seguimiento, supervisión y actualización del Mapa.

47 CONTROL Y AUDITORÍA INTERNA 47 PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AI 1ª FASE 1ª)LOS COMITÉS SECTORIALES ELABORAN EL MAPA DE RIESGOS DESU ÁREA (FICHAS DE RIESGOS E INFORMES DE OBJETIVOS). 2ª) AUDITORÍA INTERNA EFECTÚA UN ANÁLISIS GLOBAL PARA LA HOMOGENEIZACIÓN E INTEGRACIÓN DE LOS MAPAS SECTORIALES EN UNO SOLO. 3ª) EL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT ANALIZA LA PROPUESTA DE AUDITORÍA INTERNA LA CUAL, UNA VEZ VALIDADA SE ELEVA A LA DIRECCIÓN GENERAL PARA SU APROBACIÓN. 4ª) LA DIRECCIÓN GENERAL APRUEBA EL MAPA PROVISIONAL DE RIESGOS DE LA AT.

48 CONTROL Y AUDITORÍA INTERNA 48 TRABAJO A EFECTUAR POR CADA COMITÉ 1ª) Fijación, catalogación y priorización de los objetivos. 2ª) Identificación de los procesos y subprocesos. 3ª) Identificación de los riesgos. 4ª) Evaluación del riesgo inherente. 5ª) Identificación de los controles ya establecidos. 6ª) Evaluación del riesgo residual. 1ª FASE

49 CONTROL Y AUDITORÍA INTERNA 49 FICHAS DE TRABAJO

50 CONTROL Y AUDITORÍA INTERNA 50 FICHA DE RIESGO CONTROLES EXISTENTES – RIESGO RESIDUAL

51 CONTROL Y AUDITORÍA INTERNA 51 CATEGORÍAS DE LOS RIESGOS 1.RIESGOS DE NATURALEZA ESTRUCTURAL O INSTITUCIONAL 1.RIESGOS DE NATURALEZA ESTRUCTURAL O INSTITUCIONAL(estructura de la AT, central y territorial, planificación estratégica, dirección) 2.RIESGOS VINCULADOS A LA GESTIÓN ECONÓMICO-FINANCIERA 2.RIESGOS VINCULADOS A LA GESTIÓN ECONÓMICO-FINANCIERA (medios materiales y financieros) 3.RIESGOS VINCULADOS A LA GESTIÓN INMOBILIARIA. 4.RIESGOS EN LAS COMUNICACIONES 4.RIESGOS EN LAS COMUNICACIONES (voz, teléfono, fax, papel, etc.) 5.RIESGOS DE CUMPLIMIENTO DE NORMAS 5.RIESGOS DE CUMPLIMIENTO DE NORMAS (generales e instrucciones internas) 6.RIESGOS DE INFORMACIÓN PARA LA GESTIÓN 6.RIESGOS DE INFORMACIÓN PARA LA GESTIÓN (integridad y disponibilidad) 7.RIESGOS EN LOS PROCESOS DE GESTIÓN 7.RIESGOS EN LOS PROCESOS DE GESTIÓN (diseño, calidad, eficacia y eficiencia) 8.RIESGOS DE RECURSOS HUMANOS 8.RIESGOS DE RECURSOS HUMANOS (capacidad, conducta, seguridad e higiene, satisfacción y motivación) 9.RIESGOS DE SISTEMAS INFORMÁTICOS 9.RIESGOS DE SISTEMAS INFORMÁTICOS (hardware, software y redes) 10.RIESGOS DE SEGURIDAD DE LA INFORMACIÓN 10.RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (accesos y cesión) 11.RIESGOS EXTERNOS 11.RIESGOS EXTERNOS (políticas públicas, cambios legislación, entidades colaboradoras, otras administraciones tributarias)

52 CONTROL Y AUDITORÍA INTERNA 52 EVALUACIÓN: BAJO MEDIO ALTO 6 CRÍTICO 9 EVALUACIÓN DEL RIESGO EVALUACIÓN PROBABILIDAD alta (3), media (2), baja (1) IMPACTO alto (3), medio (2), bajo (1) = PROBABILIDAD DE OCURRENCIA X IMPACTO EN EL OBJETIVO AFECTADO

53 CONTROL Y AUDITORÍA INTERNA 53 PROBABILIDAD - IMPACTO PROBABILIDAD ALTA: > 15% MEDIA: 5-15 % BAJA: < 5% IMPACTO ALTO: compromete gravemente la consecución del objetivo. MEDIO: tiene una incidencia media en la consecución del objetivo. BAJO: tiene una incidencia baja en la consecución del objetivo.

54 CONTROL Y AUDITORÍA INTERNA 54 PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT 2ª FASE 1ª) EL COMITÉ DE GESTIÓN DE RIESGOS DEBE SELECCIONAR QUÉ RIESGOS DE LOS EVALUADOS EN EL MAPA ESTÁ A UN NIVEL NO ASUMIBLE POR LA ORGANIZACIÓN. TENIENDO EN CUENTA TANTO LA PROPIA EVALUACIÓN DEL RIESGO COMO LA IMPORTANCIA ESTRATÉGICA DEL OBJETIVO AFECTADO (MAPA PROVISIONAL). 2ª) DEFINIDOS LOS RIESGOS QUE, INICIALMENTE, VAN A INTEGRAR EL MAPA DE RIESGOS DE LA AT, DEBEN VOLVER A LOS COMITÉS SECTORIALES PARA QUE PRESENTEN TRATAMIENTOS COMPLEMENTARIOS O ALTERNATIVOS A LO EXISTENTE PARA MITIGARLOS.

55 CONTROL Y AUDITORÍA INTERNA 55 2ª FASE TRATAMIENTO DE LOS RIESGOS MITIGACIÓN DE LOS RIESGOS MITIGACIÓN DE LOS RIESGOS: LLEVAR LOS RIESGOS A UN NIVEL ACEPTABLE POR LA ORGANIZACIÓN 4 RESPUESTAS EVITAR REDUCIR COMPARTIR ACEPTAR COSTE BENEFICIO TODAS ELLAS IMPLICAN ALGÚN TIPO DE COSTE, DIRECTO O INDIRECTO, QUE SE DEBE SOPESAR EN RELACIÓN CON EL BENEFICIO QUE GENERAN.

56 CONTROL Y AUDITORÍA INTERNA 56 1ª) Identificación de un tratamiento con medidas alternativas y/o complementarias a las existentes, señalando ventajas o inconvenientes y, en su caso, coste. 2ª) Diseño de un plan de implantación. Ámbito Responsable Plazo 3ª) Controles propuestos. Responsables. Periodicidad. 2ª FASE TRATAMIENTO DE LOS RIESGOS

57 CONTROL Y AUDITORÍA INTERNA 57 FICHA DE RIESGO Nº (CÓDIGO DEL RIESGO) 2ª FASE TRATAMIENTO DE LOS RIESGOS

58 CONTROL Y AUDITORÍA INTERNA 58 SUPERVISIÓN Y MEJORA CONTINUA LA UTILIZACIÓN DEL MAPA DE RIESGOS COMO INSTRUMENTO DE GESTIÓN ES UN PROCESO DINÁMICO Una vez elaborado el mapa e implantadas las medidas de tratamiento, hay que reevaluar los riesgos. El objetivo es conseguir que riesgos inicialmente rojos pasen a naranjas y así sucesivamente, lo que indicaría una mejora de la organización en el tratamiento de sus riesgos. Si no se producen estos cambios, será consecuencia de una inadecuada selección del tratamiento o de una aplicación incorrecta del mismo. La situación ideal es que el proceso sea continuo.


Descargar ppt "CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO VI LA GESTIÓN DE RIESGOS SNCI TITULO VI LA GESTIÓN DE RIESGOS CARTAGENA."

Presentaciones similares


Anuncios Google