EL SISTEMA DE CONTROL INTERNO

NORMATIVA LEGAL APLICABLE A LA IMPLANTACION DEL SISTEMA DE CONTROL INTERNO

Ley Nº 28716, Ley de Control Interno de las Entidades del Estado, del 18 abril del 2006 Ley, cuyo objetivo es el de regular el establecimiento, funcionamiento, mantenimiento, perfeccionamiento y evaluación del SCI en las Entidades del Estado, con el propósito de cautelar y fortalecer los sistemas administrativos y operativos.

Resolución de Contraloría N° 320-2006-CG, del 3 de noviembre del 2006 Las “NORMAS DE CONTROL INTERNO”, se aprobaron con el objetivo de propiciar el fortalecimiento del SCI y mejorar la Gestión Pública, protegiendo el patrimonio público y al logro de los objetivos y metas institucionales, de conformidad con lo establecido por la Ley Nº 28716.

Resolución de Contraloría N° 458-2008-CG, del 30 de octubre del 2008 (1) Aprueba la “Guía para la Implementación del Sistema de Control Interno de las Entidades del Estado”. Documento orientador para la Gestión Pública y el Control Gubernamental, sin perjuicio de la legislación que emitan los distintos niveles de Gobierno. En esta Norma se estableció un plazo máximo de 24 meses para la implementación del SCI, plazo que venció en Octubre de 2010. El objetivo de la Guía es el de proveer los lineamientos, herramientas y métodos a las entidades del Estado para la implementación de los componentes que conforman el SCI establecido en las Normas de Control Interno mediante la RC Nº 320-2006-CG.

Decreto de Urgencia N° 067-2009 del 23 de junio del 2009 Suspendió el cumplimiento del Art.10°de la Ley N° 28716, disponiendo que su aplicación será progresiva, teniendo en cuenta la naturaleza de las funciones de las entidades así como la disponibilidad de recursos presupuestales.

Ley N° 29743 del 09 de julio del 2011 Después de 25 meses, se deroga los Artículos N° 2 y 3 del Decreto de Urgencia N° 067-2009 y se sustituye el 4to. Párrafo del Art. 10° de la Ley N° 28716, Normas de Control Interno. La CGR deberá precisar nuevos plazos para su implementación.

COMPONENTE EVALUACION DE RIESGOS Proceso que identifica y analiza eventos adversos a los que está expuesta la entidad. Esta evaluación permite evitar, reducir, compartir y gestionar la mitigación o eliminación del impacto causado.

ADMINISTRACIÓN DE RIESGOS Posibilidad de que un evento desfavorable pueda afectar negativamente la habilidad , de la organización para el logro de sus objetivos ADMINISTRACIÓN DE RIESGOS Es el proceso para incrementar la confianza en la habilidad de una organización para anticipar, priorizar y superar obstáculos para alcanzar sus metas CONTROL INTERNO Es un proceso diseñado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad

2. EVALUACIÓN DE RIESGOS Es el proceso de identificación y análisis de eventos adversos a los que está expuesta la entidad. Esta evaluación permite evitar, reducir, compartir y aceptar cualquier riesgo. Contenido: 2.1. Planeamiento de la administración de riesgos. (Planes y métodos) 2.2. Identificación de los riesgos. (Externos e internos) 2.3. Valoración de los riesgos. (Estimar su probabilidad de ocurrencia) 2.4. Respuesta al riesgo. (Evitar, reducir, compartir y aceptar)

Administración de Riesgos Planeamiento de la Administración de Riesgos Identificación de los Riesgos Valoración de los Riesgos Respuesta al Riesgo

+ Positivo Oportunidad ACTO ADMINISTRATIVO Negativo Riesgo o Amenaza -

2.1 Planeamiento de la Administración de riesgos Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactiva para identificar y valorar los riesgos que puedan impactar en una entidad impidiendo el logro de los objetivos. Se deben desarrollar planes, métodos de respuesta y monitoreo de cambios, así como un programa para la obtención de los recursos necesarios para definir acciones en respuesta a riesgos MODELO DE GESTIÓN DE RIESGOS Estrategias Organización Políticas Criterios

2.2. Identificación de Riesgos Proceso permanente, interactivo e integrado con el proceso de planeamiento y deberá partir de la definición clara de objetivos estratégicos de la entidad. La identificación de los riesgos podrá darse en el nivel de entidad (riesgos de carácter general) y en el nivel de procesos (afectación a los procesos). Existen varias herramientas y técnicas para la identificación de riesgos

2.2. Identificación de Riesgos Técnica de recopilación de información . Tormenta de ideas: lista de riesgos . Técnica Delphi: Opinión de expertos . Cuestionarios y Encuestas . Entrevistas . Análisis FODA 2. Técnicas de diagramación . Diagrama causa – efecto . Diagrama de flujo de procesos . Inventario de riesgos

Fuente: R.C. 458.2008.CG

2.2. Identificación de Riesgos Clasificación de Riesgos Riesgo estratégico Riesgo operativo Riesgo financiero Riesgo de cumplimiento Riesgo tecnológico Registro de riesgos considerando las causas o factores de riesgo (internos y externos), una descripción de cada riesgo y definición de los Posibles efectos y los riesgos significativos.

Clasificación del riesgo Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.

Identificación de los Riesgos En la identificación de los riesgos se tipifican todos los riesgos que pueden afectar el logro de los objetivos de la entidad debido a factores externos o internos. Los factores externos incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las selecciones que realiza la administración e incluyen la infraestructura, personal, procesos y tecnología •Externos: –Cambio de las necesidades y expectativas del cliente - Competencia –Nuevas legislaciones y regulaciones. –Catástrofes naturales -Desarrollo tecnológico -Nuevas legislaciones y regulaciones  

- Una interrupción en el procesamiento de sistemas de información • Internos: – La calidad del personal contratado y los métodos de entrenamiento y motivación – Un cambio en las responsabilidades de la administración – La naturaleza de las actividades de la entidad y el acceso de los empleados a los activos – Un comité directivo o de auditoría ineficaz

2.3. Valoración de los Riesgos Permite clasificar y valorar los eventos potenciales que Impactan en la consecución de los objetivos. Se efectúa en base a la información obtenida en la etapa Previa (Identificación de riesgos).

Clasificación de riesgos

Objetivo del proceso / subproceso Efectos / Consecuencia Registro de riesgos Proceso: Subproceso: Objetivo del proceso / subproceso Riesgo Causas (Factores Internos y Externos) Efectos / Consecuencia

Estimar probabilidad e impacto Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos

CRITERIOS DE EVALUACIÓN PROBABILIDAD : Se deben establecer las categorías a utilizar y su descripción, con el fin de que quien aplique la escala mida a través de ella la posibilidad de ocurrencia de los riesgos: PROBABLE : Es muy frecuente la materialización del riesgo o se presume que llegará a materializarse POSIBLE : Es frecuente la materialización del riesgo o se presume que posiblemente se podrá materializar IMPROBABLE : Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse IMPACTO : Se debe establecer las categorías y su descripción, de las consecuencias de la materialización de los riesgos, por ejemplo: LEVE : Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad MODERADO : Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad CATASTRÓFICO : Si el hecho llegara a presentarse tendría alto impacto o efecto en la entidad

MATRIZ DE RIESGOS Impacto Probabilidad NIVEL DE RIESGO

Probabilidad de ocurrencia 2.3 VALORACIÓN DE RIESGOS EVALUACIÓN Probable Posible Improbable Probabilidad Análisis Cualitativo Leve Moderado Catastrófico Impacto Probabilidad de ocurrencia Nivel Calificación 0 – 25 Improbable 1 26- 70 Posible 2 71- 100 Probable 3 Análisis Cuantitativo Impacto Nivel Calificación 0 – 25 Leve 10 26- 70 Moderado 20 71- 100 Catastrófico 30

Valoración de los Riesgos El análisis o valoración de los riesgos le permite a la entidad considerar cómo los riesgos potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias ¿Qué es lo que puede ocurrir? EVENTO Identificar y medir ¿Cuál es su frecuencia? PROBABILIDAD ¿En cuánto nos afectará? IMPACTO

Probabilidad / Impacto Probable 3 Riesgo moderado 6 Riesgo importante 9 Riesgo inaceptable Posible 2 Riesgo tolerable 4 Improbable 1 Riesgo aceptable Impacto Leve Moderado Desastroso Matriz de Probabilidad / Impacto

2.4 RESPUESTA AL RIESGO Respuesta al Riesgo La administración identifica las opciones de respuesta al riesgo considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo-beneficio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos Respuesta al Riesgo Opciones Reducir o mitigar el riesgo Transferir o compartir el riesgo Evitar el riesgo Aceptar el riesgo Acciones de mitigación para reducir el IMPACTO Reducir el riesgo y manejar contingencia Acciones de mitigación para reducir la PROBABILIDAD Acciones y planes de contingencia

Evaluar posibles respuestas Evitar el Riesgo Reducir la expansión de una línea de productos a nuevos mercados Vender una división, unidad de negocio o segmento geográfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso Compartir el Riesgo Compra de seguros contra pérdidas inesperadas significativas Contratación de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Aceptar el Riesgo Auto-asegurarse (Self-insuring) contra pérdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Mitigar el Riesgo Fortalecimiento del control interno en los procesos del negocio Diversificación de productos Establecimiento de límites a las operaciones y monitoreo Reasignación de capital entre unidades operativas

Acciones Matriz de Riesgo Nivel de Riesgo Respuesta Riesgo Inaceptable Evitar el riesgo Reducir el riesgo Compartir o transferir Riesgo Importante Riesgo Moderado Riesgo Tolerable Asumir el riesgo Riesgo Aceptable Acciones Matriz de Riesgo Riesgo Evaluación riesgo Respuesta al Riesgo Riesgo residual Responsable Nivel Valor Riesgo Inherente Actividades Controles necesarios

Costo de la reducción del riesgo