Gestión de Riesgos y Control Interno en el Sector Público Vincent Tophoff, Federación Internacional de Contadores (IFAC) Contraloría General de la República (CGR) Seminario Un Aporte de Gobernanza Distinto: El Control Interno Santiago, Chile. Enero, 2015

Federación Internacional de Contadores Organización mundial de la profesión contable Apoya a los contadores profesionales en las siguientes áreas: Gobernabilidad y ética Gestión de riesgos y control interno (GR / CI) Sostenibilidad y responsabilidad corporativa Gestión financiera y de rendimiento Informes de negocios Promover y contribuir al valor de los contadores profesionales Todas las áreas de importancia crítica para los contadores profesionales (y para las Entidades Fiscalizadoras Superiores (EFS) y entidades del sector público también ...)

Relación entre la gestión del sector público, gestión de riesgos y control interno ¿Cómo crees que la gobernanza, gestión de riesgos y el control interno están relacionados unos con otros? “Sé la diferencia entre lo bueno y lo malo, pero eso no me ha detenido”

Relación entre gestión del sector público, GR y CI Gobernanza Gestión de Riesgos Control Interno

GESTIÓN DE RIESGOS Programa de hoy Las Peligros – Sentando las Bases El pensamiento actual Estándares COSO / ISO 31000 Madurez de gestión de riesgos y control interno "Llamado a la Acción“ de las Entidades Fiscalizadoras Superiores (EFS) Preguntas y respuestas

Los Peligros – Sentando las Bases

Graves fallas en el control de riesgos y control interno Tener una mentalidad de solamente de cumplimiento. Tratar el riesgo únicamente como algo negativo y pasar por alto que las entidades tienen que asumir riesgos en la búsqueda de sus objetivos. Gestión de riesgos y control interno demasiado centrados en la información financiera externa. Visualizar la gestión de riesgos y el control interno como funciones o procesos separados. Visualizar la gestión de riesgos y el control interno como predominantemente importantes para las operaciones.

Lo bueno versus lo malo en las prácticas de control de riesgos (CR) y control interno (CI) y control interno CR / IC como objetivo en sí mismo vs. CR / IC para ayudar a lograr los objetivos Impulsadas por los auditores / personal vs. Impulsadas desde arriba hacia abajo Basadas en reglas vs. Basadas en rendimiento & principios Utilización de sistemas existentes vs. Adaptadas a la entidad Centradas en la minimización de la pérdida vs. También centradas en la creación de valor Controles principalmente duros vs. Reconocimiento de la cultura y actitudes Impuestas vs. Implementadas orgánicamente Aisladas, agregadas vs. Integradas, incorporadas Estáticas, anticuadas vs. Dinámicas, en evolución Consideradas como gastos generales vs. Consideradas como una buena inversión Abandonadas vs. Integradas en la gobernabilidad

Crisis global La crisis mundial, según una investigación de IFAC, fue causada por: Fallas éticas Gobernanza, gestión de riesgos en teoría, pero no en espíritu Sobrecarga reglamentaria, lo que lleva al cumplimiento legalista Sistemas de control de riesgo demasiado centrados sólo en controles de información financiera Las conclusiones de la crisis: Las entidades deben adoptar un enfoque más amplio en la gestión de riesgos y control interno La aplicación adecuada de las normas y principios de gestión de riesgos y control interno es a menudo el problema

El pensamiento actual

El pensamiento actual sobre el riesgo El lugar más seguro para un barco ... ... Es permanecer en el puerto Pero esto no es para lo que se construyeron los barcos ...

El pensamiento actual sobre el riesgo ... En cambio, los barcos fueron construídos para el transporte de personas y mercancías a otros destinos… … Y eso implica riesgo… Así que, ¿cuál es el riesgo? El riesgo hoy en día se define como "el efecto de la incertidumbre sobre (el establecimiento y logro de) los objetivos de la entidad" (ISO 31000) Ningún Objetivo = Ningún riesgo. Por lo tanto, el riesgo siempre debe evaluarse a la luz de (el establecimiento y logro de) los objetivos de la entidad!

El pensamiento actual sobre El pensamiento actual sobre gestión de riesgos P: “¿Cómo aborda su entidad la incertidumbre en la consecución de sus objetivos estratégicos?” R: “A través de nuestro sistema de gestión estratégica;” La gerencia de línea se dedica al ciclo planificar-hacer- verificar-actuar Se centra en la consecución de los objetivos de la entidad P: “¿Cómo aborda su entidad el riesgo?” R: “A través de nuestro sistema de gestión de riesgos;” Sistemas de riesgos y de control (separados), funcionarios, registro de riesgos Centrado en la mitigación del riesgo

El pensamiento actual sobre gestión de riesgos ¿Qué nos dice este ejemplo de nosotros? Que nosotros, los profesionales de la gestión de riesgos, hemos logrado grandes avances en el área de gestión de riesgos y control interno ... ... Pero que, en el proceso, hemos perdido a las otras personas de nuestra entidad! Gestión de riesgos El resto de la entidad

El pensamiento actual sobre gestión de riesgos Cinco líneas de defensa:

El pensamiento actual sobre gestión de riesgos Cinco líneas de defensa: 1. Jugadores 2. Capitán 3. Entrenador 4. Arbitro 5. FIFA

Línea Soporte El pensamiento actual sobre gestión de riesgos Cinco líneas de defensa: 1. Jugadores (Equipo de operaciones) 2. Capitán (Supervisor) 3. Entrenador (Gerente de Riesgos) 4. Arbitro (Auditoría Interna) 5. FIFA (Controlaría) Línea Soporte

El pensamiento actual sobre el gestor de riesgos El mayor riesgo que enfrenta una entidad: La desconexión entre los responsables de la consecución de los objetivos estratégicos frente a los responsables de la gestión del riesgo Solución: Hacer a los responsables de la consecución de los objetivos estratégicos también responsables de la gestión de los riesgos relacionados! No sé nada sobre el tema, pero estoy feliz de darte mi opinión de experto. El objetivo clave del gestor de riesgos es garantizar que la gestión de riesgos esté totalmente integrada a la línea de gerencia!

Buen control interno = La mano invisible El pensamiento actual sobre control interno Desde Hacia Frenar la entidad Activar la entidad Buen control interno = La mano invisible

(también adoptado por INTOSAI) Marcos COSO (también adoptado por INTOSAI)

Cubo de control interno COSO 2013 Evaluación de Riesgos

Cubo COSO GRI 2004 ¡Será revisado pronto!

Ampliado en 3 componentes Control Interno - Marco Integrado CI COSO vs. GRI COSO Evaluación de Riesgos Ampliado en 3 componentes Control Interno - Marco Integrado Gestión de Riesgos Empresarial - Marco Integrado

Estándar Gestión de Riesgos ISO 31000

Principios, marco y proceso ISO 31000

Principios de Gestión de riesgos ISO 31000 Crea Valor Parte integral de los procesos de organización Parte de la Toma de Decisiones Aborda explícitamente la incertidumbre Sistemático, estructurado y oportuno Sobre la base de "la mejor información disponible" Con capacidad de adaptación Considera factores humanos y culturales Transparente e inclusivo Dinámico, iterativo y da respuesta a los cambios Facilita la mejora continua

Marco de gestión de riesgos ISO 31000 Mandato y Compromiso Diseño del Marco Mejora Continua del Marco Implementación de la Gestión de Riesgos Supervisión y Revisión del Marco

Proceso de gestión de riesgos ISO 31000 Establecer el Contexto Calificación de riesgo Identificación de Riesgos Para ser aplicado en todos los procesos de toma de decisiones y posterior ejecución! Comunicación y Consulta Análisis de Riesgos Supervisión y Revisión Evaluación de Riesgos Tratamiento de Riesgos

Muy corto para ser realmente entendido GRI COSO vs. ISO 31000 Muchas entidades utilizan tanto COSO como ISO 31000... Muy corto para ser realmente entendido COSO ISO 31000 Largo vs. Corto Centrado en el GRI vs. Enfoque general a la gestión de riesgos Un cubo vs. Principios, marco y proceso Sesgado a lo negativo vs. El riesgo puede ser positivo o negativo El riesgo ya existe vs. Riesgo ligado a la consecución de objetivos Riesgos y oportunidades vs. Oportunidades también fuente de riesgo Más proceso secuencial vs. Proceso más iterativo … El mayor desafío es que los conceptos no están alineados

Madurez de gestión de riesgos y control interno

Niveles de madurez de GR/CI GR / CI Integrados Nivel 3: GR / CI como un silo Nivel 2: Solo control Interno Gestión de riesgos, incluyendo el control interno, integrados en el sistema de gestión de la organización Nivel 1: No – existe o no es ad hoc Control interno complementado con la gestión de riesgos, pero aun considerados como elementos separados Control interno formal, Centrado principalmente en la información financiera externa Gestión de Crisis

El objetivo principal de una entidad del sector público Tiempo No es tener controles efectivos ... No es gestionar eficazmente el riesgo ... Es más bien Establecer correctamente y lograr sus objetivos Evitar demasiadas sorpresas en el camino Y crear valor sostenible Objetivo

Argumento para la integración de gestión de riesgos y CI Por lo tanto, la gestión de riesgos y control interno no son objetivos en sí mismos, sino medios para un fin ... … Tomar decisiones sólidas (FODA) y ejecutar acciones posteriores para lograr los objetivos de la entidad, sin sorpresas! ... La gestión de riesgos y control interno, por lo tanto deben estar plenamente integrados en el sistema general de gestión de una entidad del sector público, incluido el gobierno, desarrollo de estrategias y planificación, operaciones, elaboración de informes y la rendición de cuentas

El riesgo es inherente al establecer los objetivos Nivel de Incertidumbre Tiempo Riesgo Controles Objetivo

Alcanzar los objetivos mediante la planificación y control 1 H Ciclo de Planificación y Control

Alcanzar los objetivos mediante la planificación y control 2 Ciclos estratégicos, tácticos y operacionales de planificación y control A P D C V V V H H H

Alcanzar los objetivos mediante la planificación y control 3 Tiempo Ciclo de Planificación y Control en Espiral

GR/CI constituye una parte integral para lograr los objetivos Nivel de Incertidumbre Tiempo Nivel Estratégico Nivel Táctico Riesgo Controles Nivel Operacional Objetivo

Pensamientos sobre la evaluación de la madurez de GR/CI Utilizar los marcos Considerar el desarrollo de buenas prácticas Realizar un análisis de diferencias Determinar el rendimiento Revisar los resultados de auditoría Analizar serias fallas ... Moverse continuamente para mejorar!

"Llamado a la Acción“

"Llamado a la Acción“ Ustedes juegan un papel importante en la aplicación de una buena gestión de riesgos y control interno en las entidades del sector público: Desarrollan las competencias pertinentes sobre GR / CI (incl. Las normas y directrices de INTOSAI, marcos COSO, ISO 31000) Educan a los órganos rectores, los comités de auditoría, equipos directivos y personal de las entidades del sector público pertinentes Abogan por la importancia de una buena GR / CI: totalmente integrado en el sistema general de la gestión de la entidad Apoyan a las entidades del sector público a través la provisión de garantías alta calidad, consejos y visión

Abogan por la importancia de una buena gestión de riesgos: Su Rol - #1 Abogan por la importancia de una buena gestión de riesgos: Ustedes se comunican con el liderazgo del sector público de la entidad La actitud y las acciones de ustedes establecen el tono para una buena gestión de riesgos en las entidades del sector público ¡Promueven la integración de la gestión de riesgos en la línea de gerencia de una entidad del sector público! El elemento más importante: hacen GR/CI parte de todos los procesos de toma de decisiones y la posterior ejecución en la entidad!

Su Rol - #2 Apoyan a la línea de gerencia, proporcionando la garantía de alta calidad, asesoramiento y visión: Las decisiones se deben tomar solamente con la comprensión explícita de los riesgos asociados y sus posibles consecuencias para el logro de los objetivos de la entidad Por lo tanto, los tomadores de decisiones necesitan información relevante y confiable para sus procesos de toma de decisión y de control

Las principales conclusiones Hay muchas fallas en la gestión de riesgos y las prácticas actuales de control interno El logro de los objetivos de la entidad es el objetivo general; el riesgo es parte inherente de este proceso La gestión de riesgos debe, por lo tanto, estar plenamente integrada en el sistema de gestión de la entidad Ustedes apoyan a GR/CI de diversas maneras en las entidades del sector público que supervisan IFAC apoya a contadores profesionales / CGR Sin embargo, sin importar la orientación proporcionada ...

Siempre habrá algunos ... …que lo harán a su manera!