Brasilia, 8 y 9 de diciembre 2008 Experiencias en la Implantación de un Proceso de Gestión de Riesgos en el Sector Gubernamental Chileno Ricardo Correa F. Luis Acuña L. Brasilia, 8 y 9 de diciembre 2008

Agenda Presentación del Consejo de Auditoría Interna General de Gobierno Modelo y Estructura del Proceso de Gestión de Riesgos Principales Logros Principales Desafíos Proyecciones

Consejo de Auditoría Interna General de Gobierno El Consejo de Auditoría Interna General de Gobierno es un órgano asesor de la Presidencia de la República en materias de auditoría interna y control interno, que fue creado mediante el Decreto Supremo Nº 12 de 1997 y, posteriormente, modificado por el Decreto Supremo Nº 147 de 2005, ambos del Ministerio Secretaría General de la Presidencia

Consejo de Auditoría Interna General de Gobierno Su principal función consiste en desarrollar, permanentemente, una coordinación técnica de la actividad de las unidades de auditoría interna de los Servicios Públicos dependientes o relacionados con el Poder Ejecutivo, apoyar la generación y mantención de ambientes adecuados de control, elaborar documentación técnica, prestar orientación en la actividad de auditoría interna y, efectuar un seguimiento permanente de los objetivos de control definidos en cada nivel de la Administración

Consejo de Auditoría Interna General de Gobierno Para el cumplimiento de sus objetivos estratégicos, se coordina técnicamente con Ministerios, Subsecretarías de Estado, Intendencias y con las Jefaturas de más de 250 entidades gubernamentales La red constituida por las unidades de auditoría interna de las entidades gubernamentales está compuesta por más de 800 profesionales a lo largo del país

MODELO CONSIDERADO: PROCESO GESTIÓN DE RIESGOS

Objetivos y Alcance Incorporar gradualmente un modelo que permita gestionar preventivamente los riesgos que afectan la consecución de los objetivos en las entidades gubernamentales La aplicación de esta metodología se realiza en forma gradual en el sector gubernamental chileno Se basa en modelos de gestión de riesgos tales como COSO ERM, NORMA IRAM 17750 - Sistema de Gestión de Riesgos, Estándar Australiano/Neozelandés AS/NZS 4360:1999, ajustados a la realidad y cultura nacional

Visión global del Proceso Gestión de Riesgos Jefaturas Directivos Comités de Riesgos y otras entidades relacionadas Gobierno Corporativo Gestión de Riesgos Proceso Gestión de Riesgos Implantación gradual en el Sector Gubernamental Capacitación - Entrenamiento – Asesoría – Documentación Técnica - Retroalimentación Tecnologías - Otros Modelos Internacionales de Gestión de Riesgos

COMPONENTES DEL PROCESO DE GESTIÓN DE RIESGOS

Presidenta de la República Estrategia para la Aprobación Presidente de la República instruye la Gestión de Riesgos como Objetivo de Auditoría Gubernamental para el año (2006-2007 y 2008) Presidenta de la República Instructivo Presidencial Nº 02 del 05 de marzo de 2008 Objetivo Gubernamental de Auditoría 2008, Nº 3 Proceso de Gestión de Riesgos Sector Gubernamental Documento Técnico Nº 38/2008 Proceso obligatorio en el sector gubernamental

Estrategia para la Coordinación entre entidades Definición de funciones y roles en cada entidad y en el Consejo de Auditoría Entidad Gubernamental Consejo de Auditoría Dirección superior Encargado Gestión de Riesgos Encargados de proceso Auditor de Gobierno Encargado Objetivo Gubernamental Sectorialistas Auditor Interno de la entidad gubernamental

Etapas del Modelo Implantado Fuente: Documento Técnico N° 38

HORIZONTE DE TIEMPO Y PLAZOS

Estrategia de Implantación temporal Periodo de tiempo en años Implementar el proceso gradualmente en un periodo de 5 años Requerido Actualmente Nivel de maduración del Proceso de Gestión de Riesgos 0 1 2 3 4 5 Periodo de tiempo en años

Plazos para cada Fase en el año 2008 Requerimiento Fechas Fase Establecimiento del contexto Fase Identificación de Riesgos y Oportunidades Fase Análisis de Riesgo Fase Evaluación de Riesgos Fase Tratamiento de Riesgos Fase Monitoreo y Revisión Reporte información monitoreo actualizado para los elementos que hayan tenido establecida fecha de revisión en el año 2008 Actualización y mejoramiento del Plan de Tratamiento de riesgos, con medidas, plazos, responsables e indicadores de logro Actualización de la Matriz Estratégica con aplicación de: - Clasificación en procesos transversales Ponderación por proceso y subproceso Tipología de riesgos Justificación de ponderación estratégica Actualización del levantamiento del 100% de los procesos desarrollados por el Servicio, incluyendo los procesos de Gobierno Electrónico y sus riesgos. Identificación de riesgos según tipología Actualización del ranking por proceso Actualización del ranking por subproceso Informe sobre roles y responsabilidades manteniendo o modificando la resolución del primer semestre del año 2007 y resolución moficatoria de Política de Gestión de Riesgos, si hubiese. Entrega al 30.06.08 Entrega al 30.10.08 Entrega al 30.12.08 Fase Comunicación y Consulta Informe de propuesta mejorado de acuerdo a las sugerencias del auditor interno proveniente de la auditoría de aseguramiento

DOCUMENTACIÓN DE LA METODOLOGÍA

Estrategia definida para la documentación Formular Guías metodológicas para la implantación de Gestión de Riesgos Documento Técnico N° 34 - Matriz de Riesgos para las Empresas Públicas - 2006 Documento Técnico N° 36 - Objetivo Gubernamental de Auditoría - 2007 Documento Técnico N° 38 - Objetivo Gubernamental de Auditoría - 2008 Documento Técnico N° 40 - Aseguramiento del Proceso de Gestión de Riesgos - 2008 Capacitación y asesoría permanente a todo el sector gubernamental

CAPACITACIÓN AL SECTOR GUBERNAMENTAL

Estrategias definida para Capacitación Capacitar en la metodología en forma presencial a todos los directivos responsables y encargados de procesos en las entidades gubernamentales Profesionales del Consejo de Auditoría: 11 N° aproximado de personal capacitado: 5.000 N° aproximado de horas de capacitación: 1000 Contenidos teóricos y prácticos Costo para las entidades gubernamentales: 0

Estrategias definida para la Capacitación Creación y distribución de Objetos de Aprendizaje - Adobe Flash: Construcción de la Matriz de Riesgos Plan de Tratamiento de Riesgos Profesionales del Consejo de Auditoría: 3 N° aproximado de objetos en CD entregados: 300 N° aproximado de personal capacitado: Potencialmente todos Conceptos y ejercicios interactivos Costo para las entidades gubernamentales: 0

ASESORÍA Y RETROALIMENTACIÓN AL SECTOR GUBERNAMENTAL

Estrategia definida para Asesoría Asesorar directamente a los directivos y encargados de riesgos en cada entidad estatal Profesionales del Consejo de Auditoría: 11 Asesorías realizadas permanentemente a más de 200 entidades: En su lugar de trabajo o en oficinas del Consejo de Auditoría Análisis de cada situación en particular. Las competencias y realidades son muy diversas Costo para las entidades gubernamentales: 0

Estrategia definida para Retroalimentación Revisar periódicamente y corregir los errores y deficiencias en el cumplimiento de los requisitos del Proceso de Gestión de Riesgos Profesionales del Consejo de Auditoría: 11 Retroalimentación permanente a más de 200 entidades: por escrito y verbalmente Posibilidad de corregir los errores antes de los plazos de envío de productos al Consejo de Auditoría Costo para las entidades gubernamentales: 0

TECNOLOGÍAS APLICADAS

Estrategia para uso de tecnologías Desarrollar aplicaciones que permitan transmitir e interoperar con información heterogénea Desarrollo interno de aplicación bajo tecnologías “open source”: JAVA y XBRL – Extensible Business Reporting Language Entidad 1 Entidad … Entidad 2 Entidad 20 Entidad 3 Entidad 19 Entidad 18 Entidad 4 Entidad 17 Entidad 5 Entidad 6 Entidad 16 Entidad 7 Entidad 15 Entidad 8 Entidad 14 Entidad 9 Entidad 13 Entidad 10 Entidad 11 Entidad 12

Matriz de Riesgos Estratégica Jefaturas Directivos Comités de Riesgos y otras entidades relacionadas Gobierno Corporativo Gestión de Riesgos Nivel: Entidades Sector Gubernamental MATRIZ PROCESO N MATRIZ PROCESO N 2 MATRIZ PROCESO N 2 MATRIZ PROCESO N MATRIZ PROCESO N MATRIZ PROCESO N MATRIZ PROCESO N Información oportuna y libre de errores XBRL Aplicación CMM MATRIZ PROCESO N SP R E 1 2 3 Nivel: Presidencial y Ministerial

Extensible Business Reporting Language Aplicación Control Matrix Management - CMM: Proceso de recepción y consolidación de matrices de riesgos construidas por las más de 200 entidades del sector gubernamental – octubre 2008 Comparación de resultados a octubre 2008 Características Sistema anterior 2007 Nuevo sistema XBRL 2008 Beneficios Número de personas que participan en consolidación 11 3 Mayor tiempo para análisis Tiempo de procesamiento 60 días 1 día 59 días para análisis Errores en los datos recibidos 5.000 errores 0 error - 5.000 errores Método de envío Papel - CD Cifrado RSA Mayor seguridad Costo de Licencias --- No se incrementan los costos Evaluación de la Aplicación 90% opina mejor Mejora de la percepción Fuente: Consejo de Auditoría

PLAN DE TRATAMIENTO Y SEGUIMEINTO

Estrategia para Compromiso y toma de Medidas Comprometer medidas para mitigar los riesgos y realizar seguimientos de su implementación Profesionales del Consejo de Auditoría: 11 Las más de 200 entidades comprometen medidas correctivas y preventivas: Seguimiento realizado por los auditores internos de cada entidad Costo para las entidades gubernamentales: 0

PRINCIPALES LOGROS Y DIFICULTADES

Principales Logros Mayor involucramiento de los directivos superiores con la Gestión de Riesgos Aumento de la interacción de la auditoría interna con la Gestión de Riesgo Mejora en la percepción de las entidades respecto al funcionamiento del proceso año a año Creación y consolidación de Comités de Riesgos en las entidades gubernamentales Desarrollo y aplicación de la primera taxonomía XBRL para matrices de riesgos en Chile

Principales Logros Matriz de riesgos por cada entidad gubernamental que incluye todos los procesos desagregados a nivel operativo Matriz de riesgos consolidada por cada uno de los 19 Ministerios Públicos Matriz de riesgos consolidada del Sector Público Chileno Fuente de información para el plan anual y para los programas de la auditoría interna gubernamental

Principales Dificultades Alto nivel de desconocimiento de la Gestión de Riesgos en forma previa al proyecto en el sector gubernamental Fuerte resistencia a los cambios al interior del sector – factor cultural Alta presión por obtención de resultados tangibles en el corto plazo Restricciones presupuestarias en el proyecto Lento avance en la mejora de calidad del análisis de los riesgos Difícil cambio desde un enfoque “basado en el papel” al enfoque basado en la “información electrónica”

Principales Proyecciones Seguir fortaleciendo el Gobierno Corporativo del Sector Público Chileno mediante: Incorporación continua de tecnologías al Proceso de Gestión de Riesgos Ampliación de la cobertura del proyecto a universidades y al sector municipal Aumento de la Interacción entre la Auditoría Interna y la Gestión de Riesgos Promulgación de una norma ISO para el Proceso de Gestión de Riesgos en el Sector Gubernamental Muchas otras…

GRACIAS POR SU ATENCIÓN Ricardo Correa F. rcorrea@consejodeauditoria.gob.cl Luis Acuña L. lacuna@consejodeauditoria.gob.cl