VALORACIÓN DE RIESGO LEY 8292 CONTROL INTERNO
Componentes del control interno Sistemas de Información Ambiente de control Valoración del riesgo Actividades de control Seguimiento
TALLER DE CONTROL INTERNO VALORACIÓN DEL RIESGO A G E N D A : Conceptos básicos Ley 8292, Valoración de riesgos SEVRI: Sistema Específico de Valoración del Riesgo Metodologías y Herramientas Caso práctico
Riesgo VALORACIÓN DEL RIESGO ¿QUÉ PUEDE SUCEDER? Posibilidad – Probabilidad – de que un factor, evento o acción, sea de origen interno o externo, afecte a la organización, área, proyecto o programa y el logro de los objetivos. ¿QUÉ PUEDE SUCEDER?
Factores de riesgo VALORACIÓN DEL RIESGO Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgos o tienden a aumentar la exposición, pueden ser internos o externos de la entidad. ¿Porqué puede suceder?
Factores de riesgo VALORACIÓN DEL RIESGO Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgos o tienden a aumentar la exposición, pueden ser internos o externos de la entidad. ¿Porqué puede suceder?
Causas Son acontecimientos o circunstancias concretos que existen en un proyecto o en su ambiente, y que causan incertidumbre. Ejemplos incluyen la necesidad de implementar un proyecto en un país en vías de desarrollo, la necesidad de usar una tecnología nueva no probada, la falta de personal especializado, o el hecho de que la organización nunca ha hecho un proyecto similar. Causas en sí mismas no son inciertas desde que son hechos o requisitos, así que no deben gestionarse por el proceso de gestionar riesgos.
Definición de Términos VALORACIÓN DEL RIESGO Definición de Términos Impacto: Consecuencias que pueden ocasionar la materialización del riesgo. Distintos escenarios si el riesgo se materializa. Control: Toda acción que tiende a minimizar los riesgos.
Definición de Términos VALORACIÓN DEL RIESGO Definición de Términos Impacto: Consecuencias que pueden ocasionar la materialización del riesgo. Distintos escenarios si el riesgo se materializa. Control: Toda acción que tiende a minimizar los riesgos.
Nivel de Riesgo VALORACIÓN DEL RIESGO Es el resultado de relacionar la probabilidad con el impacto y con los actuales controles. Medida de la gravedad de riesgos y el proceso de clasificarlos en orden de prioridad. Permite establecer la importancia relativa del riesgo.
Probabilidad VALORACIÓN DEL RIESGO Una medida expresada (cualitativamente o cuantitativamente) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.
Probabilidad VALORACIÓN DEL RIESGO Una medida expresada (cualitativamente o cuantitativamente) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.
Probabilidad VALORACIÓN DEL RIESGO Una medida expresada (cualitativamente o cuantitativamente) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.
Factores de riesgo externos VALORACIÓN DEL RIESGO Factores de riesgo externos Políticas gubernamentales, económicas, sociales, legislación, tecnología, cliente externo.
Factores de Riesgo Internos VALORACIÓN DEL RIESGO Factores de Riesgo Internos Políticas internas como: indefinición de procesos y procedimientos no claros, reorganizaciones sin análisis estructural y funcional, obsolescencia de los sistemas informáticos, implantación de nuevos sistemas de información sin capacitación, falta de capacitación del personal, falta de presupuesto, calidad del servicio brindado, modificación de las políticas por parte de los nuevos jerarcas, etc.
Relación entre el riesgo y causas de riesgo RIESGOS : Sanciones legales . Pérdida de Ingresos. Exceso de pagos. Pérdida de credibilidad Publica. Daño, Destrucción. Robo. Decisiones erróneas . Fraude.
Relación entre el riesgo y causas de riesgo CAUSAS DEL RIESGO Errores u omisiones humanas Interrupciones por daño de equipos Energía, aire acondicionados, etc. Actos mal intencionados Desastres naturales Falta de conocimiento.
Ley General de Control Interno VALORACIÓN DEL RIESGO Ley General de Control Interno Diario Oficial La Gaceta N° 169, 4 de setiembre del 2002 Valoración del Riesgo
SEVRI: Sistema Específico de Valoración del Riesgo Conjunto organizado de componentes que interrelacionados con la identificación, el análisis, la evaluación, la administración y el seguimiento de los riesgos organizacionales y del propio Sistema, permiten realizar la valoración del riesgo.
Ley General de Control Interno VALORACIÓN DEL RIESGO Ley General de Control Interno Diario Oficial La Gaceta N° 169, 4 de setiembre del 2002 Valoración del Riesgo
Ley General de Control Interno VALORACIÓN DEL RIESGO Ley General de Control Interno Deberes del Jerarca y los Titulares Subordinados sobre VALORACIÓN DEL RIESGO Artículo 14 Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediando y de largo plazo. Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.
Ley General de Control Interno VALORACIÓN DEL RIESGO Ley General de Control Interno Deberes del Jerarca y los Titulares Subordinados sobre VALORACIÓN DEL RIESGO c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones a ejecutar.
Sistema Específico de Valoración del Riesgo Institucional Todo ente u órgano deberá contar con un Sistema Específico de Valoración de Riesgo Institucional por áreas, sectores, actividades o tarea. Identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. Responsabilidad de Jerarcas y Titulares Subordinados. Directrices Generales para el establecimiento del SEVRI D-3-2005-CO-DFOE, La Gaceta 134 del 12 de julio del 2005
VALORACIÓN DEL RIESGO Manual de Normas Generales de Control Interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización, publicado en La Gaceta N° 107 del 5 de junio, 2002
VALORACIÓN DEL RIESGO Normas Generales Identificación y evaluación de riesgos Planificación Indicadores de desempeño mensurables Divulgación de los planes
VALORACIÓN DEL RIESGO Normas Generales 5. Definición y comunicación de políticas de apoyo a los objetivos. 6. Revisión de los objetivos. 7. Cuestionamiento periódico de los supuestos de planificación.
Identificación y evaluación de riesgos VALORACIÓN DEL RIESGO Identificación y evaluación de riesgos La identificación y evaluación se sustenta en la planificación. El SEVRI debe diseñarse y ajustarse al ente u órgano que corresponda. Autoevaluación del SEVRI e informar resultados. Identifica con antelación situaciones prioritarias.
VALORACIÓN DEL RIESGO Identificar los factores que contribuyen a elevar el riesgo o a que éste se materialice. Análisis de las circunstancias internas y externas en las que se desarrolla la gestión empresarial. Identificación y evaluación de riesgos Emprender acciones adecuadas para enfrentar el riesgo y reducir su impacto. Permanecer alerta a los eventuales cambios que podrían incidir en el comportamiento del riesgo.
Metodología para Valorar Riesgos Institucionales VALORACIÓN DEL RIESGO Riesgos Metodología para Valorar Riesgos Institucionales
Pasos previos a la definición y aplicación de metodología VALORACIÓN DEL RIESGO Pasos previos a la definición y aplicación de metodología
METODOLOGÍA VALORACIÓN DEL RIESGO Compromiso del Jerarca y Titulares Subordinados. Definir políticas y estimular la cultura de valoración de riesgos. Conformar comisión (facilitadores). Definir responsabilidades, autoridad e interrelaciones. Conocer la planificación estratégica, operativa, los objetivos por áreas. Desde la perspectiva de quién lo ejerce, el control se ha clasificado en externo e interno. A nivel mundial el externo incluye desde la acción de los Órganos superiores de control hasta la acción de la sociedad civil que exigen transparencia,legalidad, eficiencia y eficacia en el manejo de los fondos públicos. Y el control interno incluye la acción de la administración como principal responsable de la idoneidad del control y de su aplicación hasta la actividad de las auditorías internas como un mecanismo más de control que desempeña una labor independiente y de apoyo al fortalecimiento de los sistemas de control interno, para garantizar el éxito en el servicio que brinda la institución. Lo expuesto refleja en nuestro sector público, la existencia de un Sistema de control y fiscalización superiores congruente con sistemas similares en el resto del mundo, según las tendencias actuales. Sistema que desde la Constitución Política hasta la Ley Orgánica de la Contraloría General de la República (de 1994), así reforzado por la Ley de Administración Financiera de la República y Presupuestos Públicos recientemente aprobada, el actual proyecto de ley general de control interno, se configura y materializa cada vez más en nuestro medio. En la siguiente filmina se dibuja ese sistema, veamos
VALORACIÓN DEL RIESGO METODOLOGÍA Capacitación de la comisión y otros (Titulares subordinados). Definir y documentar los lineamientos y directrices de Valoración de Riesgos. Determinar los criterios, las políticas y metas que ayudan a definirlos. Elaborar plan y programa de implementación en coordinación con Titulares Subordinados. Definir el sistema de comunicación y monitoreo del plan y programa de implementación.
VALORACIÓN DEL RIESGO METODOLOGÍA
Identificación de Riesgos VALORACIÓN DEL RIESGO Identificación de Riesgos La identificación de riesgos consiste en reconocer los factores de riesgo o eventos internos o externos que de materializarse afectarían la capacidad de la institución para cumplir con sus objetivos. Este proceso se realiza para cada objetivo estratégico y específico. Como todos ustedes conocen la características fundamentales de un sistema es el contar con un OBJETIVO, elementos o COMPONENTES que se INTERRELACIONAN con el fin de cumplir con ese objetivo. En nuestro sistema de control y fiscalización superiores el OBJETIVO es garantizar la legalidad y la eficiencia de los controles internos y del manejo de los fondos públicos. Los componentes que se interrelacionan son: primero, la ADMINISTRACIÓN cuyo rol y responsabilidad fundamental es garantizar la idoneidad de los sistemas de control interno y garantizar la legalidad y la eficiencia en el manejo de los fondos públicos en su gestión. Segundo, la AUDITORIA INTERNA (clic en la auditoría y va a la filmina donde se explica su rol, en esta última hace clic en auditoría) se lee y se explica el rol de la auditoría enfatizando la necesidad de la independencia respecto de la administración. Y por último, la CONTRALORÍA GENERAL DE LA REPÚBLICA (clic en la CONTRALORÍA GENERAL DE LA REPÚBLICA y va a la filmina donde se explica su rol, en esta última hace clic en REPUBLICA) Y por último, hace clic en la flecha inferior de la filmina, para pasar a la filmina del rol de la administración y la auditoría interna donde se hace una revisión del anexo final del manual, grafico y cuestionario de la lista de control.
Causas (factores de riesgo) Posibles consecuencias INSTITUTO MINISTERIO MAYOR DEPARTAMENTO TESORERÍA IDENTIFICACIÓN DE LOS FACTORES DE RIESGO O RIESGOS PROCESO EMISIÓN DE CHEQUES OBJETIVOS: 1. Emitir oportunamente los pagos a los diversos proveedores para evitar conflictos 2. Evitar la emisión de cheques sin el adecuado respaldo para cumplir con la normativa legal en materia de control interno 3. Emitir cheque por el monto correcto al proveedor que brinda el bien o servicio para un eficiente uso de los recursos. Causas (factores de riesgo) Riesgo Posibles consecuencias Falta de personal capacitado Funcionario responsable no recibe información completa o correcta Cantidad de funcionarios es insuficiente Sistema de información inadecuado Huelga en el ICE Que los funcionarios se equivoquen y se emitan cheques a favor de un particular que no brindó el bien o servicio a la institución Que los funcionarios se equivoquen y se emitan cheques por un monto superior al costo del bien o servicio Que el sistema de información falle y por tanto, se emitan cheques inoportunamente Que los funcionarios se equivoquen y se emitan cheques sin fondos Que el sistema de información falle y por tanto, se emitan cheques consignando cuentas contables y presupuestarias erróneas Que el fluido eléctrico se interrumpa y se retrase la emisión de cheques. Pérdida económica No recibir cotizaciones para contrataciones futuras por parte de un buen proveedor Posibles demandas por no pago Tener que iniciar procedimientos legales contra eventuales responsables de cometer irregularidades en la emisión de cheques Incumplimiento a la LGCI y al MNGCI Clientes insatisfechos
VALORACIÓN DEL RIESGO Análisis de riesgos Consiste en definir los criterios institucionales para analizar los riesgos. Significancia de los riesgos. Impacto o efecto probable en caso de matrerializarse. Probabilidad o frecuencia de ocurrencia. Grado de vulnerabilidad. Otros. Tendencia a COSO SAS 78 ajusta SAS 55 para incorporar COSO GAO adopta COSO CoCo : 20 componentes que pueden agruparse de conformidad con los componentes COSO Diferencias COSO-CoCo Atmóstera de confianza Cuestionamiento periódico de los supuestos de planificación Métodos de evaluación del sistema de control interno COSO mide eficiencia para cada componente y objetivo CoCo mide eficiencia para cada criterio Otros documentos Identifican responsabilidades de los actores institucionales sobre la gestión Plantean mejores prácticas para efectuar una mejor rendición de cuentas INTOSAI : Proyecto para actualizar a COSO
Herramientas Análisis del Riesgo VALORACIÓN DEL RIESGO Herramientas Análisis del Riesgo Diseñar escalas cuantitativas, cualitativas o una combinación ESCALA CUALITATIVA ALTO MEDIO BAJO 1 2 3 Las escalas a utilizar deben ser de acuerdo con las necesidades, naturaleza de la institución y área objeto de estudio.
Descripción detallada VALORACIÓN DEL RIESGO IMPACTO Nivel Descripción Descripción detallada 1 Insignificante Efectos exiguos 2 Menor Efectos mínimos 3 Moderado Efectos considerables 4 Mayor Efectos extensivos 5 Catástrofe Efectos no reparables o muy complejos
VALORACIÓN DEL RIESGO Probabilidad Nivel Descripción Descripción detallada A Casi certeza Casi en totalidad de los casos B Muy probable En la mayoría de los casos C Posible En algunos casos D Improbable Casi en ningún caso E Raramente Solo por excepción
VALORACIÓN DEL RIESGO Nivel de Riesgo Probabilidad Insignificante Menores Moderadas Mayores Catastróficas A (Casi certeza) A AA B (Muy probable) M C (Posible) B
VALORACIÓN DEL RIESGO NIVEL DE RIESGO AA Riesgo Extremo, requiere atención inmediata A Riesgo Altos, necesita atención de alta gerencia M Riesgo Moderado, debe especificarse B Riesgo bajo, administrar mediante procedimientos de rutina
Administración del riesgo VALORACIÓN DEL RIESGO Administración del riesgo Tomar e implementar las medidas necesarias que minimicen el impacto que podría producirse al materializarse un riesgo.
VALORACIÓN DEL RIESGO Administración del Riesgo Evitar el riesgo. Diseñar o rediseñar procesos y procedimientos, acordes a la estructura Reducir el riesgo. Optimizar procesos y controles Dispensar y atomizar el riesgo. Información importante duplicar y almacenar en un lugar distante Transferir el riesgo. Buscar respaldar y compartir con otro el riesgo. Póliza de seguros Asumir el riesgo. Luego de los pasos anteriores, es posible que quede un riesgo residual, el cual se acepta
VALORACIÓN DEL RIESGO