EL SISTEMA DE CONTROL INTERNO

NORMATIVA LEGAL APLICABLE A LA IMPLANTACION DEL SISTEMA DE CONTROL INTERNO

Ley, cuyo objetivo es el de regular el establecimiento, funcionamiento, mantenimiento, perfeccionamiento y evaluación del SCI en las Entidades del Estado, con el propósito de cautelar y fortalecer los sistemas administrativos y operativos. Ley Nº 28716, Ley de Control Interno de las Entidades del Estado, del 18 abril del 2006

Resolución de Contraloría N° CG, del 3 de noviembre del 2006 “NORMAS DE CONTROL INTERNO” Las “NORMAS DE CONTROL INTERNO”, se aprobaron con el objetivo de propiciar el fortalecimiento del SCI y mejorar la Gestión Pública, protegiendo el patrimonio público y al logro de los objetivos y metas institucionales, de conformidad con lo establecido por la Ley Nº

Aprueba la “Guía para la Implementación del Sistema de Control Interno de las Entidades del Estado”. D Documento orientador para la Gestión Pública y el Control Gubernamental, sin perjuicio de la legislación que emitan los distintos niveles de Gobierno. En esta Norma se estableció un plazo máximo de 24 meses para la implementación del SCI, plazo que venció en Octubre de El objetivo de la Guía es el de proveer los lineamientos, herramientas y métodos a las entidades del Estado para la implementación de los componentes que conforman el SCI establecido en las Normas de Control Interno mediante la RC Nº CG. Resolución de Contraloría N° CG, del 30 de octubre del 2008 (1)

Suspendió el cumplimiento del Art.10°de la Ley N° 28716, disponiendo que su aplicación será progresiva, teniendo en cuenta la naturaleza de las funciones de las entidades así como la disponibilidad de recursos presupuestales. Decreto de Urgencia N° del 23 de junio del 2009

Después de 25 meses, se deroga los Artículos N° 2 y 3 del Decreto de Urgencia N° y se sustituye el 4to. Párrafo del Art. 10° de la Ley N° 28716, Normas de Control Interno. La CGR deberá precisar nuevos plazos para su implementación. Ley N° del 09 de julio del 2011

COMPONENTE EVALUACION DE RIESGOS Proceso que identifica y analiza eventos adversos a los que está expuesta la entidad. Esta evaluación permite evitar, reducir, compartir y gestionar la mitigación o eliminación del impacto causado.

RIESGO Posibilidad de que un evento desfavorable pueda afectar negativamente la habilidad, de la organización para el logro de sus objetivos ADMINISTRACIÓN DE RIESGOS Es el proceso para incrementar la confianza en la habilidad de una organización para anticipar, priorizar y superar obstáculos para alcanzar sus metas CONTROL INTERNO Es un proceso diseñado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad

10 Contenido: 2.1. Planeamiento de la administración de riesgos. (Planes y métodos) 2.2. Identificación de los riesgos. (Externos e internos) 2.3. Valoración de los riesgos. (Estimar su probabilidad de ocurrencia) 2.4. Respuesta al riesgo. (Evitar, reducir, compartir y aceptar) 2. EVALUACIÓN DE RIESGOS Es el proceso de identificación y análisis de eventos adversos a los que está expuesta la entidad. Esta evaluación permite evitar, reducir, compartir y aceptar cualquier riesgo.

Planeamiento de la Administración de Riesgos Administración de Riesgos Identificación de los Riesgos Valoración de los Riesgos Respuesta al Riesgo

ACTO ADMINISTRATIVO Positivo Negativo Oportunidad Riesgo o Amenaza + -

Planeamiento de la Administración de Riesgos Administración de Riesgos MODELO DE GESTIÓN DE RIESGOS Estrategias Estrategias Organización Organización Políticas Políticas Criterios Criterios Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactiva para identificar y valorar los riesgos que puedan impactar en una entidad impidiendo el logro de los objetivos. Se deben desarrollar planes, métodos de respuesta y monitoreo de cambios, así como un programa para la obtención de los recursos necesarios para definir acciones en respuesta a riesgos 2.1 Planeamiento de la Administración de riesgos

2.2. Identificación de Riesgos Proceso permanente, interactivo e integrado con el proceso de planeamiento y deberá partir de la definición clara de objetivos estratégicos de la entidad. La identificación de los riesgos podrá darse en el nivel de entidad (riesgos de carácter general) y en el nivel de procesos (afectación a los procesos). Existen varias herramientas y técnicas para la identificación de riesgos

2.2. Identificación de Riesgos 1.Técnica de recopilación de información. Tormenta de ideas: lista de riesgos. Técnica Delphi: Opinión de expertos. Cuestionarios y Encuestas. Entrevistas. Análisis FODA 2. Técnicas de diagramación. Diagrama causa – efecto. Diagrama de flujo de procesos. Inventario de riesgos

Fuente: R.C CG

2.2. Identificación de Riesgos Clasificación de Riesgos 1.Riesgo estratégico 2.Riesgo operativo 3.Riesgo financiero 4.Riesgo de cumplimiento 5.Riesgo tecnológico Registro de riesgos considerando las causas o factores de riesgo (internos y externos), una descripción de cada riesgo y definición de los Posibles efectos y los riesgos significativos.

Clasificación del riesgo Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.

Identificación de los Riesgos Externos : – Cambio de las necesidades y expectativas del cliente - Competencia – Nuevas legislaciones y regulaciones. –Catástrofes naturales -Desarrollo tecnológico -Nuevas legislaciones y regulaciones En la identificación de los riesgos se tipifican todos los riesgos que pueden afectar el logro de los objetivos de la entidad debido a factores externos o internos. Los factores externos incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las selecciones que realiza la administración e incluyen la infraestructura, personal, procesos y tecnología

- Una interrupción en el procesamiento de sistemas de información Internos: – La calidad del personal contratado y los métodos de entrenamiento y motivación – Un cambio en las responsabilidades de la administración – La naturaleza de las actividades de la entidad y el acceso de los empleados a los activos – Un comité directivo o de auditoría ineficaz

2.3. Valoración de los Riesgos Permite clasificar y valorar los eventos potenciales que Impactan en la consecución de los objetivos. Se efectúa en base a la información obtenida en la etapa Previa (Identificación de riesgos).

Clasificación de riesgos

Registro de riesgos Proceso: Subproceso: Objetivo del proceso / subproceso RiesgoCausas (Factores Internos y Externos) Efectos / Consecuencia

Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos Estimar probabilidad e impacto

PROBABILIDAD PROBABILIDAD: Se deben establecer las categorías a utilizar y su descripción, con el fin de que quien aplique la escala mida a través de ella la posibilidad de ocurrencia de los riesgos: PROBABLE: Es muy frecuente la materialización del riesgo o se presume que llegará a materializarse POSIBLE: Es frecuente la materialización del riesgo o se presume que posiblemente se podrá materializar IMPROBABLE: Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse IMPACTO: IMPACTO: Se debe establecer las categorías y su descripción, de las consecuencias de la materialización de los riesgos, por ejemplo: LEVE: Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad MODERADO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad CATASTRÓFICO: Si el hecho llegara a presentarse tendría alto impacto o efecto en la entidad CRITERIOS DE EVALUACIÓN

MATRIZ DE RIESGOS Impacto Probabilidad NIVEL DE RIESGO

2.3 VALORACIÓN DE RIESGOS Análisis Cualitativo Análisis Cuantitativo Probabilidad Impacto Probable Posible Improbable Leve Moderado Catastrófico Probabilidad de ocurrencia NivelCalificación 0 – 25Improbable Posible Probable3 ImpactoNivelCalificación 0 – 25Leve Moderado Catastrófico30 EVALUACIÓN

Valoración de los Riesgos El análisis o valoración de los riesgos le permite a la entidad considerar cómo los riesgos potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias Identificar y medir Identificar y medir ¿Qué es lo que puede ocurrir? EVENTO ¿Cuál es su frecuencia? PROBABILIDAD ¿En cuánto nos afectará? IMPACTO

Matriz de Probabilidad / Impacto Probabilidad Probable33 Riesgo moderado 6 Riesgo importante 9 Riesgo inaceptable Posible22 Riesgo tolerable 4 Riesgo moderado 6 Riesgo importante Improbable11 Riesgo aceptable 2 Riesgo tolerable 3 Riesgo moderado Impacto123 LeveModeradoDesastroso

Respuesta al Riesgo La administración identifica las opciones de respuesta al riesgo considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo- beneficio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos Opciones Reducir o mitigar el riesgo Transferir o compartir el riesgo Evitar el riesgo Aceptar el riesgo Reducir el riesgo y manejar contingencia Reducir el riesgo y manejar contingencia Acciones de mitigación para reducir el IMPACTO Acciones de mitigación para reducir la PROBABILIDAD Acciones y planes de contingencia 2.4 RESPUESTA AL RIESGO

Aceptar el Riesgo Auto-asegurarse (Self-insuring) contra pérdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Compartir el Riesgo Compra de seguros contra pérdidas inesperadas significativas Contratación de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Mitigar el Riesgo Fortalecimiento del control interno en los procesos del negocio Diversificación de productos Establecimiento de límites a las operaciones y monitoreo Reasignación de capital entre unidades operativas Evitar el Riesgo Reducir la expansión de una línea de productos a nuevos mercados Vender una división, unidad de negocio o segmento geográfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso Evaluar posibles respuestas

Acciones Matriz de Riesgo Riesgo Nivel de RiesgoRespuesta Riesgo InaceptableEvitar el riesgo Reducir el riesgo Compartir o transferir Riesgo ImportanteReducir el riesgo Evitar el riesgo Compartir o transferir Riesgo ModeradoReducir el riesgo Evitar el riesgo Compartir o transferir Riesgo TolerableAsumir el riesgo Reducir el riesgo Compartir o transferir Riesgo AceptableAsumir el riesgo Riesgo Evaluación riesgo Respuesta al Riesgo Riesgo residual Responsable NivelValor Riesgo Inherente ActividadesControles necesarios

Costo de la reducción del riesgo