marco integrado de control interno...
TRANSCRIPT
MARCO INTEGRADO DE CONTROL INTERNO APLICADO A LAS IES «COSO-MICI»
Mauricio Romo Flores
LOGRO DE OBJETIVOS INSTITUCIONALES
En primer lugar cualquier organización esta preocupada por la
consecución de su:
Misión
Partes interesadas:
ALUMNOSCLIENTES
PROVEEDORESEMPLEADOSPROFESORES
PARTES INTERESADAS
Capitales:INTELECTUAL
HUMANOSOCIAL
NATURALFINANCIERO
MANUFACTURA
Crear valor:¿CÓMO PRODUCIR
/CONSEGUIR DINERO?
¿QUÉ HACER CON EL DINERO QUE PRODUCIMOS?
Vínculos:ESTRATEGIA
ACTIVIDADESPROCESOS
PRODUCTIVOS, MATERIALES DESEMPEÑO
CREACIÓN DE VALOR PÚBLICO
CONFIANZA Y REPUTACIÓN
Administración del riesgo:ESTRETÉGICOOPERATIVOFINANCIERO
CUMPLIMIENTOTECNOLÓGICO
Reportes Integrados:OPERATIVOSFINANCIEROS
CUMPLIMIENTO
GASTO
PÚBLICO
DESARROLLO
ECONÓMICO
DESARROLLO
SOCIAL
GOBIERNO
CLASIFICACIÓN FUNCIONAL DEL GASTO
Clasificación Funcionaldel Gasto
FUNCIÓN
2.4 RECREACIÓN, CULTURA YOTRAS MANIFESTACIONES SOCIALES
2.5 EDUCACIÓN
2.6 PROTECCIÓN SOCIAL
2.7 OTROS ASUNTOS SOCIALES
SUB FUNCIÓN
2.5.1 Educación Básica2.5.2 Educación Media Superior2.5.3 Educación Superior2.5.4 Posgrado 2.5.5 Educación para Adultos2.5.6 Otros Servicios Educativos y Actividades Inherentes
2.6.1 Enfermedad e Incapacidad 2.6.2 Edad Avanzada 2.6.3 Familia e Hijos 2.6.4 Desempleo
2.6.5 Alimentación y Nutrición 2.6.6 Apoyo Social Vivienda2.6.7 Indígenas2.6.8 Grupos Vulnerables2.6.9 Otros de Seguridad y Asistencia Social
.
2.4.1 Deporte y Recreación 2.4.2 Cultura2.4.3 Radio, Televisión y Editoriales2.4.4 Asuntos Religiosos y Otras Manifestaciones Sociales
2.7.1 Otros Asuntos Sociales
FINALIDAD DESARROLLO
SOCIAL
Incrementar la probabilidad de que una organización se gestione de manera eficiente y eficaz .
Buen Funcionamiento
La Meta:
EL COMITÉ DE ORGANIZACIONES PATROCINADORAS DE LA
COMISIÓN TREADWAY-COSO
El Comité proporciona liderazgo intelectual y orientación sobre:
1. El Control Interno
1. La Gestión de Riesgos Institucionales, y
2. La Disuasión del Fraude
En mayo de 2013 sepublicó la actualización delCOSO que incluye:
1. Un volumen deherramientas paraevaluar la eficiencia delSCI.
2. Un volumen de CIsobre la informaciónfinanciera externa.
3. Un compendio demétodos y ejemplos,desarrollados paraayudar a los usuariosen la aplicación delmarco de los objetivosde informaciónexterna.
El COSO 2013, está destinado a ayudar a las organizaciones en sus esfuerzos para:
1. Adaptarse alaumento de lacomplejidad y el ritmodel cambio.
2. Mitigar los Riesgos.
3. Permitir el logro delos objetivos.
4. Emitir informaciónconfiable que apoye laadecuada toma dedecisiones
1986 INICIO
OBJETIVOS Y COMPONENTES
Cubo COSO 2013 INTOSAI GOV 9100 MICI-SNF-2014
Es un proceso efectuado por el Órgano de Gobierno, el Titular, laAdministración y los demás servidores públicos de una Institución, con objetode proporcionar una seguridad razonable sobre la consecución de losobjetivos institucionales y la salvaguarda de los recursos públicos, así comopara prevenir la corrupción. Estos objetivos y sus riesgos relacionados puedenser clasificados en una o más de las siguientes categorías:
• Operación. Se refiere a la eficacia, eficiencia y economía de las
operaciones.
• Información. Consiste en la confiabilidad de los informes internos
y externos.
• Cumplimiento. Se relaciona con el apego a las disposiciones
jurídicas y normativas.
Definición de control interno
Marco Integrado de Control Interno MICI
Conceptos Fundamentales
Proceso
Personas
Seguridad razonable
Riesgos
Objetivos
Objetivos de Operación
Las operaciones eficaces producen los resultados esperados de los procesosoperativos, mientras que las operaciones eficientes se generan al utilizaradecuadamente los recursos asignados para ello, y la economía se refleja en laminimización de los costos, la reducción en el desperdicio de recursos y lamaximización de los resultados.
Actividades que permiten alcanzar:
Mandato LegalConstitución PolíticaLey OrgánicaReglamento InteriorEstatuto OrgánicoDecreto de Creación o,Documento análogo
Misión y Visión Institucional
Objetivos Estratégicos
-Objetivos específicos
-Metas
Objetivos de Información
Preparación de Informes:
Informes Financieros ExternosPublicación de información sobre eldesempeño financiero de la instituciónsegún las disposiciones jurídicas ynormativas aplicables, así como lasexpectativas de las partes interesadas
Informes no financieros externosPublicación de información nofinanciera, según las disposicionesjurídicas y normativas aplicables, asícomo las expectativas de las partesinteresadas.
Objetivos de Informes Internos Financieros y No Financieros.
Relativos a la recopilación ycomunicación de la informaciónnecesaria para evaluar el desempeñode la institución en el logro de susobjetivos y programas, los cuales sonla base para la toma de decisiones alrespecto.
UsuariosLa propia institución, Sus partes interesadas y diversas instancias externas
Objetivos de Cumplimiento
Disposiciones Jurídicas y
Normativas:
Objetivos
Estructura
Mecanismos:Consecución de ObjetivosReporte de Desempeño Institucional
CumplimientoLegal y
Normativo
LEYES Y REGULACIONES QUE LE APLICAN
INSTITUCIÓN
Salvaguarda de los Recursos Públicos y Prevención deActos de Corrupción.
“Subconjunto de las tres categorías de objetivos
Proporcione una seguridad razonablesobre el adecuado ejercicio, utilización odisposición de los recursos públicos;
Prevenga actos corruptos;
Detecte y corrija oportunamente lasirregularidades, en caso de que sematerialicen; y
Permita determinar, de manera clara,las responsabilidades específicas delpersonal que posibilitó o participó en laocurrencia de las irregularidades.
La Administración es responsable de
establecer y mantener un control interno que:
Guía
Orientación
Aseguramiento
Impulso correctivo inmediato
Pro actividad, Promoción de la Prevención
Agregar Valor
Control
Control InternoIncluye:
Planes
Métodos
Programas
Políticas y Procedimientos
Mandato
Misión
Plan Estratégico
Objetivos y Metas Institucionales
Para Alcanzar
Es la primera línea de defensa en la salvaguarda de los recursos públicos y la prevención de actos de corrupción.
GESTIÓN DE RIESGOS
ENFOQUE A RESULTADOS¿Q
ué
me
ord
en
a la
ley?
¿Dónde Estoy?
Diagnóstico
¿Con que Cuento?
Estrategia
Recursos
Procesos
Estructura
¿A dónde quiero llegar?
METAS
¿Que pretendo lograr?
Objetivos
Impacto Ciudadano
Generar valorInnovaciónBuena Gestión
GESTIÓN DE RIESGOS
Misión
Estándares
Sociedad Valor Calidad Profesionalismo Instalaciones
Ciclos y Procesos: Ingresos, Compras, Obra Pública, Nómina, Tesorería.
Etapas Fases Objetivos Riesgos por objetivos
Políticas
Procedimientos
PLANES NACIONAL Y ESTATAL DE DESARROLLO, PROGRMAS SECTORIALES
ADJETIVO
SUSTANTIVO
Enfoque/Proceso
• Toma de decisiones
• Información sobre toma de decisiones
• Estados financieros
TOMA DE DECISIONES
INFORMACIÓN SOBRE TOMA DE DECISIONES
ESTADOS FINANCIEROS
Consiste en una secuencia o conjunto de actividades que se relacionan o interactúan, y que son ejecutadas para producir o suplir un producto
y/o servicio
Transacciones, Eventos y Condiciones
Procesos de Negocio
Sistema de Contabilidad
Estados Financieros
Etapas(subprocesos)
Actividades
Objetivos por actividad
Identificación de riesgos por objetivos
Procedimientos “a la medida”
Procesos:Ir hacia adelante, transformar .
Control de:
Insumos
Procesos
Productos
Resultados
Impactos
Ingresos-Egresos: Etapas
OrigenDestinoAplicaciónEjercicioSeguimientoControlEvaluaciónRendición de CuentasTransparencia
INGRESOS:
EstimadoModificadoDevengadoRecaudado
EGRESOS:
AprobadoModificadoComprometidoDevengadoEjercidoPagado
Contabilidad• Captar• Valuar• Registrar• Clasificar• Extinguir• Informar• Interpretar
….las transacciones, transformaciones y eventos que,derivados de la actividad económica, modifican lasituación económica, financiera y patrimonial del entepúblico.
Se genera una necesidad de materiales o servicios dentro de
cierto departamento
El solicitante emite su requisición debidamente llenada
y firmada por el jefe de departamento correspondiente
Validación de la requisición por el jefe de almacén para verificar
existencias y definir si es compra de material misceláneo o de stock, así como grupo de
artículos al que pertenece
Entrega de requisición a comprador
Comprador solicita cotización a por lo menos 3 proveedores
Comprador revisa las cotizaciones y negocia las
mejores condiciones con el proveedor
Realización de cuadro comparativo para reflejar las condiciones de compra y negociación acordada
Emisión de la orden de compra en sistema
Revisión y autorización por parte de contralor de
operación de la orden de compra
Envío de orden de compra a proveedor indicando las
condiciones y requisitos de entrega
Recepción de la mercancía en almacén
en tiempo y forma acordados
Entrega de la mercancía al usuario por medio de un vale
de salida de almacén
Ciclo de compras
Obras Públicas-Etapas• Del expediente técnico• De las especificaciones técnicas• De los volúmenes o generadores de obra• De la planeación, programación y presupuestación• De la contratación• De los contratos• De la ejecución• Aplicación de controles de calidad en obras y
reportes• De la entrega recepción• Información y verificación
Etapas de auditoría
• Programación
• Planeación
• Ejecución
• Información
• Seguimiento
Planea, Ejecuta e Informa
Planea, Ejecuta e Informa
¿Quienes son los responsables del
Control Interno?
Todo el personal: Directivo, Administrativo y Operativo
El Control Interno debe de convertirse en una parte de la cultura organizacional
NIVELES DE CONTROL
Nivel Estratégico
Nivel Directivo
Nivel Operativo
Misión, Visión, Objetivos
Institucionales, Titulares, Órgano
de Gobierno
Procesos
Operación
Planeación
Programación, presupuesto y
supervisión
Acciones y tareas
GESTIÓN DE RIESGOS
ÓRGANO DE GOBIERNO Y/0
TITULAR
ADMINISTRACIÓN
SERVIDORES PÚBLICOS
AMBIENTE DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
MONITOREO
LOGROS DE OBJETIVOS
ESTRATEGICOS
EFICACIA Y EFICIENCIA EN LAS
OPERACIONES
CONFIABILIDAD EN LA INFORMACIÓN
FINANCIERA
CUMPLIMIENTO EN LAS LEYES Y
REGULACIONES
CONTROL INTERNO SEGÚN MICI
INSTANCIAS DE SUPERVISIÓN
Marco Integrado de Control Interno MICI
MODELO DE GOBIERNO CORPORATIVO
MEJORES PRÁCTICAS
TRANSPARENCIA
RENDICIÓN DE CUENTAS
COMITÉ DE RIESGOSCOMITÉ DE CUMPLIMIENTOUNIDAD DE CONTROL INTERNOCOMITÉ DE ÉTICA
C0S0 2013
Objetivos
ControlesRiesgos
Controles para alcanzar los
objetivos
Controles para mitigar/ evitar
los riesgos
Técnicas aplicables para el estudio e investigación de controles
Narrativas
Flujogramas
Cuestionarios
Manual de Procedimientos
NARRATIVAS
FLUJOGRAMAS
Elementos Si No N/A
Competencia Profesional
1 Se han identificado las competencias necesarias para cada
cargo previsto en el Asignación de Personal CAP y han sido
plasmadas en un documento normativo (perfil del cargo)
2El personal que ocupa cada cargo de trabajo cuenta con las
competencias establecidas en el perfil del cargo
3
El titular, funcionarios y demás servidores son conocedores
de la importancia del desarrollo, implantación y
mantenimiento del control interno
Documento de Soporte/
Comentarios
CUESTIONARIO
COMPONENTES de
CONTROL INTERNO
Ambiente = Actitud de un grupo social o de unconjunto de personas respecto de alguieno algo
Control = Guía, orientación, aseguramiento.
Asegurar = Dejar seguro de la realidad o certeza de algo.
1. Ambiente o entorno de Interno de Control
• Los atributos individuales, incluyendo la integridad, valores y competencia, que caracterizan al personal de
una organización.
Entorno/Ambiente de control.
Los elementos del entorno de control son:
(1) La integridad personal y profesional y los valores éticos de lagerencia y el resto del personal, incluyendo una actitud de apoyo haciael control interno todo el tiempo a través de la organización;
(2) Competencia;
(3) El “tono de los superiores” (es decir la filosofía de la dirección y elestilo gerencial);
(4) Estructura organizacional;
(5) Políticas y prácticas de recursos humanos.
Competencia
Nivel de conocimientoHabilidades Necesarias (mantenerlas y demostrarlas)Actuación ordenada, ética , eficiente, efectiva y económicaBuen entendimiento de responsabilidadesEntendimiento de la importancia del desarrollo,implantación y mantenimiento del buen CIPracticar sus deberesResponsabilidades propias y especificas
La capacitación, por ejemplo, puede aumentar la conciencia de los servidores públicos sobre temas de control interno y ética, y ayudar a desarrollar las
capacidades del servidor público para manejar dilemas éticos.
El tono de los superiores
La filosofía de la dirección y estilo gerencial
Actitud de apoyo hacia el control interno la independencia, la competencia y de liderazgo con el ejemplo.
Un código de conducta establecido por la gerencia y evaluación del asesoramiento y del desempeño que apoyen los objetivos de control interno y, en particular, de las operaciones de signo ético
La entrega, el involucramiento y el apoyo de los directores establecen “el tono de los superiores” que debe generar una actitud positiva y son cruciales.
La demostración y la insistencia en una conducta ética por parte de los ejecutivos es de vital importancia para el objetivo de control interno y en particular para el
objetivo de “operaciones éticas
Estructura organizacional
La estructura organizacional de una entidad provee:
• Asignación de autoridad y responsabilidad (rendición de cuentas)
• Delegación de autoridad y responsabilidad (rendición de cuentas)
• Líneas apropiadas de rendición de cuentas.
• Documentación y Formalización del Control Interno
La estructura organizacional puede incluir una unidad de control interno que debe ser independiente de la gerencia y que informará directamente a la
autoridad de máximo nivel dentro de la organización
Políticas y prácticas de recursos humanos
Reclutamiento (reglas de reclutamiento)Contratación, (basado en méritos)Orientación, RemuneraciónCapacitación (formal y en el sitio de trabajo), Educación,Asesoramiento y Evaluación, Consultoría, Promoción, Compensacióny Acciones Correctivas.
Las decisiones de contratación deben por lo tanto contar con la seguridad de que los individuos tengan la integridad, la educación y la experiencia necesarias
para llevar a cabo sus tareas y de que se provea la capacitación formal, en el trabajo y sobre la ética.
2. Identificar, Evaluar y Administrar Riesgos
¿Que hechos podrían causar que no se logren los objetivos?
ANÁLISIS
IDENTIFICACIÓN
VALORACIÓN
RESPUESTA
Preguntas a responder
¿Qué es el Riesgo?
¿Por qué debemos preocuparnos respecto al riesgo?
¿Cuál es el estatus del proceso de Administración de Riesgo en mi Entidad?
¿Qué están haciendo la alta dirección (Órgano de Gobierno, Titular, Administración) al respecto la Administración de Riesgos?
¿Cómo evaluar los riesgos que impactan a la Entidad?
¿Cuáles son las opciones para los problemas de mi Entidad?
¿Cuáles son las mejores prácticas para implantar un sistema de auditoría basada en riesgo?
¿Qué debemos cambiar?
Riesgo
Un Riesgo es un hecho, una acción o una omisión que podría afectar negativamente la capacidad de una organización de lograr sus objetivos y ejecutar sus
estrategias con acierto.
Riesgo= ¿Qué puede fallar?
Probabilidad-Impacto
El Riesgo no desaparece por más que exista un control. El control sólo reduce el impacto o probabilidad de ocurrencia de un riesgo
Identificación del riesgo.
Identificación del riesgo:
• Relacionado con los objetivos de la entidad
• Comprensión
• Incluye riesgos debidos a factores externos e internos, tanto a nivel de la entidad como de sus actividades;
¿Qué hacer, cuándo y con quien?
LA GESTIÓN DE RIESGOS ES DIFERENTE A LA GESTIÓN DE CRISIS
DESARROLLAR UNA CONCIENCIA Y SUPERVISIÓN DE LA GESTIÓN DE RIESGOS
Requerimientos1. Un problema que solucionar (identificación de riesgos)2. Un grupo con potencial para trabajar en equipo. Puede ser desde un pequeño equipo operacional o gestor de entre cinco y diez personas (por ejemplo: Gerentes, especialistas, asesores, entre otros)3. Un tablero, grandes hojas de papel en blanco o algo que sea fácilmente visible por todos, y algunos plumones para escribir, y4. Un facilitador, alguien cuya función es obtener las sugerencias de los participantes, no imponerles sus opiniones, aunque con aptitudes de liderazgo para mantener el orden y el propósito de la sesión.
Reglas básicas• El facilitador dirige cada sesión.• El facilitador pide sugerencias de los participantes.• No se permite la crítica (a las sugerencias de cualquiera) por parte de nadie y• Todas las sugerencias se registran en la pizarra (incluso las disparatadas).
Procedimiento1. Definir el problema: (identificación de riesgos)• Pida sugerencias sobre el problema.• No permita las críticas (a las sugerencias de los demás) por parte de nadie.• Escriba en la pizarra todos los riesgos propuestos.• Agrupe los riesgos similares o relacionados, y después• Ordénelos y lístelos por orden de prioridad (empezando por los más importantes).2. Resumir en la pizarra las decisiones del grupo:• Los riesgos,• Las causas o efectos,• El impacto• La probabilidad,• Controles existentes
TORMENTA DE IDEAS PARA IDENTIFICAR RIESGOS
ObjetivosEstratégicos Efectividad
Personal
Económico
Político y Social
Reputación y Ética
Tecnología
Proyectos y Cambio
Continuidad del Negocio
Responsa-. bilidad LegalEventos
Naturales
Medio Ambiente
Empleo
Información
Cadena de Suministro
Gobierno
Liquidez
Mercado y Crédito
Recompensa y Valor
Gestión de Riesgos
FACTORESINTERNOS
FACTORESEXTERNOS
Considerar el Riesgo de Corrupción
La Administración, con el apoyo, en su caso, de las unidadesespecializadas (por ejemplo, Comité de Ética, Comité deRiesgos, Comité de Cumplimiento, etc.), debe considerar laprobabilidad de ocurrencia de actos corruptos, fraudes, abuso,desperdicio y otras irregularidades que atentan contra laapropiada salvaguarda de los bienes y recursos públicos alidentificar, analizar y responder a los riesgos.
La corrupción, por lo general, implica la obtención ilícita porparte de un servidor público de algo de valor, a cambio de larealización de una acción ilícita o contraria a la integridad.
OMISIÓN DE INGRESOS Y APROVECHAMIENTOS DE EGRESOS
ARBOL DEL FRAUDE
IDENTIFICACIÓN
ARBOL DEL FRAUDE Apropiación ilegal de activos
IDENTIFICACIÓN
DIAGRAMACIÓN CAUSA Y EFECTO DE LOS RIESGOS
ISHIKAWA
ANALISIS DE FLUJO DE PROCESOS
Durante el proceso de identificación del riesgo se recomienda hacer una clasificación delos mismos teniendo en cuenta los siguientes conceptos:
1. Riesgo estratégico
Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico seenfoca en asuntos globales relacionados con la misión y el Cumplimiento de los objetivosestratégicos, la clara definición de políticas y el diseño y conceptualización de la entidadpor parte de la Alta Dirección.
2. Riesgo operativo
Comprende los riesgos relacionados tanto con la parte operativa como técnica de laentidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en ladefinición de los procesos, en la estructura organizacional, en la desarticulación entredependencias, lo cual conduce a ineficiencias, oportunidades de corrupción eincumplimiento de los compromisos institucionales.
CLASIFICACION DE RIESGO
3. Riesgo Financiero
Se relacionan con el manejo de los recursos de la entidad e incluye, la ejecuciónpresupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentesde tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejode los recursos, así como su interacción con las demás áreas dependerá en gran parte eléxito o fracaso de toda entidad.
4. Riesgos de cumplimiento
Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,contractuales, de ética pública y en general con su compromiso ante la comunidad.
5. Riesgos de tecnología
Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga susnecesidades actuales y futuras y soporte el cumplimiento de su misión.
FORMATO PARA EL INVENTARIO DE RIESGOS
INVENTARIO DE RIESGOS
Fecha:
Estratégico Operativo Financiero
De
Cumplimiento Tecnológico
1 Recorte del preupuesto asignado X
2 Cambio de gestión de la entidad X
3
Cheque que se ingresa en la
cuenta bancaria incorrecta X
4 Falla del sistema informático
5
Se registra una cantidad
incorrecta en la cuenta del
usuario X
6 Colusión X
7
Variaciones en los tipos de
cambio X
8
Fluctuaciones en la bolsa de
valores X
9
Uso no autorizado de
información X
10
Sistema informático que no
soporta los procesos de la
entidad X
11
Infraestructura de tecnología de
información insuficiente X
Tipo de Riesgo
Riesgo identificado
Entidad
N°
Entidad;
Fecha:
Proceso:
Subproceso
Objetivo del
Subproceso Riesgo
Tipo de
Riesgo
Causas (Factores
internos y externos)
Efectos/
Consecuencias
Registro de Identificación de Riesgos
REGISTRO DE RIESGOS
subprocesoObjetivo del Subproceso
Número de riesgo Riesgo Tipo de Riesgo Causas(Internas y Externas) Efectos/Consecuencias
Licitación
Determinar la empresa calificada para la ejecución de la obras (técnica y económica)
R1Designar a una empresa que no cuente con la capacidad ´técnica y económica)
cumplimiento
Interno: Mala evaluación de las propuestas Que la empresa
ganadora no termine la obra
Externas: Limitante de interese de participar por otras empresas
SupervisiónDar seguimiento al proceso constructivo
R2Autorización de estimaciones incorrectas
Operativo
Interno: Falta de Recursos humanos suficientes para la realizar el trabajo de supervisión
Pago de Conceptos no ejecutados
Externo: Intervención del contratista hacia la supervisión
Pagos de conceptos adicionales.
Pago de Estimaciones
Pagar las estimaciones en tiempo conforme a la normatividad
R3Cobros de escalatorias en los precios
Financiero y de Cumplimiento
Internas: Desconocimiento de los plazos
Aumento del costo de la obra
R4 Paridad cambiariaFalta de seguimiento en las estimaciones
Obras sobrevaluadas
R5 Cargos FinancierosExternas: Radicación del recurso extemporaneo.
VALORACIÓN DEL RIESGO
La Valoración de los riesgos permite a una entidad clasificar y valorar los eventospotenciales que impactan en la consecución de los objetivos. El grupo encargadoevaluará los acontecimientos desde dos perspectivas (probabilidad e Impacto) yusando una combinación de métodos cualitativos y cuantitativos.
La valoración de los riesgos se efectuará con base en la información obtenida en elregistro de riesgos, elaborado en la etapa de identificación, con el fin de obtenerinformación para determinar el nivel de riesgo y las acciones que se van aimplementar.
Probabilidad: La posibilidad de ocurrencia del riesgo; ésta puede ser medida con
criterios de frecuencia o teniendo en cuenta la presencia de factores internos yexternos que puedan propiciar el riesgo, aunque éste no se haya materializado.
Impacto: Las consecuencias que puede ocasionar a la organización la
materialización del riesgo.
VALORACIÓN DEL RIESGO
Escalas cualitativa y cualitativa de probabilidad e impacto
VALORACIÓN
Categoría Definición
PROBABILIDAD
PROBABLE Es muy frecuente la materialización del riesgo o se presume que llegará a materializarse 71-100
POSIBLE: Es muy frecuente la materialización del riesgo o se presume que posiblemente se podrá . materializar 26-70
IMPROBABLE: Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse 0-25
IMPACTO
DESASTROSO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad 71-100
MODERADO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad 26-70
LEVE: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad 0-25
VALORACIÓN
Riesgo Inaceptable: Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados ala alta dirección.
Riesgo Importante: Se requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados yreportados a los jefes de las oficinas, divisiones, entre otros.
Riesgo Moderado. Debe ser administrado con procedimientos normales de control.
Riesgo Tolerable. Menores efectos que pueden ser fácilmente remediados. Se administra con procedimientosrutinarios.
Riesgo Aceptable. Riesgo insignificante. No se requiere ninguna acción.
IMPACTO
PROBABILIDAD
MAPA DE RIESGOS
IMP
AC
TO
/CO
NS
EC
UE
NC
IA
PROBABILIDAD DE OCURRENCIA
10
0
5
5 10
II
“Riesgos de
atención
periódica”
I
“Riesgos de
atención
inmediata”
IV
“Riesgos
controlados”
III
“Riesgos de
seguimiento”
Administración de Riesgo
RESPUESTA AL RIESGO
Evitar el riesgo, implica tomar las medidas para prevenir un riesgo adverso. Es siempre laprimera alternativa a considerar y se logra cuando al interior de los procesos se generancambios sustanciales por mejoramiento, rediseño o eliminación como resultado de laimplantación de adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser elcontrol de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollotecnológico, entre otros.
Reducir el riesgo, implica reducir tanto la probabilidad (medidas de prevención), como elimpacto (medidas de protección). Se consigue mediante la optimización de los procedimientos yla implementación de controles.
Compartir o transferir el riesgo, consiste en trasladar el impacto negativo de una amenaza,junto con la propiedad de la respuesta, a un tercero. Transferir el riesgo simplemente da a otraparte la responsabilidad de su gestión; no lo elimina. Por ejemplo, los seguros y otro sería lainformación de gran importancia se puede duplicar y almacenar en un lugar distante y deubicación segura, en vez de dejarla concentrada en un sólo lugar.
Asumir el riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdidaresidual probable y elabora planes de contingencia para su manejo.
IMPACTO
PROBABILIDAD
RIESGO RESIDUAL
El riesgo residual es aquél que permanece después que la Dirección toma lasacciones de control necesarias para reducir la probabilidad y consecuencia delriesgo.
Criterios para la valoración del riesgo residual
RESPUESTA
CRITERIOS VALORACIÓN DEL RIESGO RESIDUAL
No existe actividades de control Se mantiene el nivel de riesgo residual
Existen actividades de control Se reduce en un nivel del riesgo inicial
Existen actividades de control eficaces Se reduce en dos niveles de riego . . inicial
Nivel Valor Nivel Valor Nivel Valor
Acciones Actividades de
ControlRiesgo
residual
ResponsableRespuesta al Riesgo
Riesgo
Evaluación de Riesgo
Impacto Probabilidad Nivel de riesgo Respuesta
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normaldesarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
Evaluación del riesgo: resultado obtenido en la matriz de calificación, evaluación entreimpacto y probabilidad.
Acciones: responde al accionar de mejora que realizara la entidad en base a larespuesta al riesgo.
Actividades de control: son aquellos controles necesarios a implementar, que seincluirán para dar respuesta al riesgo y su acción respectiva.
Riesgo residual: es el resultado de determinar la vulnerabilidad de la entidad al riesgo,luego de confrontar la evaluación del riesgo con las respuestas.
MATRIZ DE RIESGO
MAPA DE SITUACIÓN DE RIESGO RESIDUAL
Número de riesgo
Riesgo Tipo de RiesgoPROBABILIDAD IMPACTO NIVEL DE RIESGO
NIVEL VALOR NIVEL VALOR NIVEL VALOR
R1
Designar a una empresa que no cuente con la capacidad ´técnica y económica)
cumplimiento
POSIBLE 2 DESASTROSO 3 IMPORTANTE 6
R2Autorización de estimaciones incorrectas
Operativo
POSIBLE 2 DESASTROSO 3 IMPORTANTE 6
R3Cobros de escalatorias en los precios
Financiero y de Cumplimiento
POSIBLE 2 MODERADO 2 MEDIO 4
R4 Paridad cambiaria LEVE 2 MODERADO 2 MEDIO 4
R5 Cargos Financieros PROBABLE 3 DESASTROSO 3 INACEPTABLE 9
OBRAS PUBLICAS
RESPUESTA
RESPUESTA ACTIVIDADES CONTROLES RIESGO RESIDUAL RESPONSABLE
REDUCIR Conformar un Comité externo Actas de sesión
MODERADO DIRECCION DE LICITACIONES
REDUCIR Certificar al personal
Constancia
MODERADO DIRECCION DE OBRAS PUBLICAS
MITIGAR Establecer un Sistema InformáticoReporte
TOLERABLE DIRECCION DE ADMINISTRACION
MITIGAR
Establecer bases para la utilizacion de productos nacionales siempre y cuando no afecte la calidad
Documento normativo publicado y difundido
TOLERABLE DIRECCION DE OBRAS PUBLICAS
REDUCIREstablecer informes semanales de control y seguimiento de avances
Reportes
MODERADO DIRECCION DE ADMINISTRACION
OBRAS PUBLICAS
RESPUESTA
Riesgos en Cuentas por Cobrar
Riesgo Contable: Fallas en los registros de las actividades de cuentas por cobrar(créditos, pagos y ajustes) de forma exacta y oportuna pueden distorsionar los informescontables o causar retrasos en el proceso.
Riesgo de Ajustes: Las fallas en el control efectivo de los ajustes realizados a las cuentasde los clientes puede resultar en desviaciones o imposibilidad de cobrar correctamentelos fondos que la compañía tiene derecho.
Riesgo de Antigüedad: La inhabilidad de mantener registros que refleje en forma correctala antigüedad de los balances pendientes puede originar retrasos o esfuerzosinadecuados de cobro.
Riesgo de Comunicación: L.as fallas de comunicación entre ventas, cuentas por cobrar ycobros puede provocar malos entendidos respecto a los términos de pago de clientes.
Riesgo de Relación con Clientes: El manejo infectivo de reclamos de clientes, estatus decuentas, o valores vencidos puede resultar en que los clientes decidan no seguir siendoclientes de la compañía en el futuro.
Riesgo Recursos Humanos: Las fallas en atraer, retener, desarrollar y apoderar al personalinhibe a la empresa a realizar, manejar y supervisar las actividades claves del área.
Riesgos en Cuentas por Cobrar
Riesgo de Integridad: Empleados deshonestos o mal dirigidos puede realizar actividadesque no están acordes con el criterio o expectativas de la gerencia.
Riesgo de Incentivo de Desempeño: La falta de medidas definidas o la falta de habilidadpara obtener información relevante con el propósito de medición puede perjudicar lacapacidad de la gerencia de supervisar al personal y negocio en general.
Riego de Políticas y Procedimientos: Las políticas y procedimientos infectivos,insuficientes, no claros o desactualizados puede provocar un pobre ejecución de losprocesos o incrementar los costos de operación.
Riesgo de Segregación de Funciones: Una inadecuada segregación de funciones permite alos empleados procesar ajustes no autorizados o desviar cobros de clientes sin serdetectado oportunamente.
Riesgo de Sistema: Un sistema desactualizado, pobremente diseñado o no interconectadopuede inhibir la capacidad de la empresa de registrar sus transacciones de cuentas porcobrar, lo que resulta en balances incorrectos y cuentas no recuperables.
Riesgo de Valuación: El uso inadecuado de Fórmulas, modelos o juicios para determinar losbalances incobrables puede resultar en reservas para cuentas malas incorrectas
3. Actividades de Control
(+) Alcanzar lo que si se quiere
(-) Evitar lo que no se quiere
Políticas y procedimientos para(enfoques):
“Leyes, regulaciones, sistemas, subsistemas, guías de acción, procesos , métodos, manuales de procedimientos administrativos y operativos, estructura y herramientas , indicadores de gestión y
desempeño, autorizaciones, verificaciones, convalidaciones, revisiones, cálculos, registros, etc. para la obtención, gasto del dinero y manera de operar ”
CONTROLES Y SANCIONES
Uniendo el Control Interno con el Riesgo Administrativo
RIESGO
Posibilidad de que un evento desfavorable pueda afectar negativamente la habilidad de la organización para el
logro de sus objetivos.
ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la habilidad de una organización para anticipar, priorizar y superar obstáculos para alcanzar
sus metas.
CONTROL INTERNO
Es un proceso diseñado para proveer una seguridad razonable con respecto al logro de los objetivos de negocios.
• La efectividad y eficiencia de las operaciones
• Proteger los recursos contra cualquier pérdida, dispendio o acto ilegal
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
TIPOS DE CONTROL
SEGÚN LA OPORTUNIDAD EN QUE SE EJECUTA EL CONTROL
SEGÚN EL GRADO DEAUTOMATIZACIÓN
PREVENTIVO: ACTIVIDADQUE AYUDA A EVITAR QUEOCURRA UN RIESGO
MANUAL: ACTIVIDAD QUE DEPENDEDE LA HABILIDAD DE LA PERSONAPARA PREVENIR O DETECTAR LOSERRORES OCURRIDOS
DETECTIVO: ACTIVIDAD QUEPERMITE IDENTIFICARERRORES LUEGO DEOCURRIDO EL RIESGO
SEMIAUTOMÁTICO: ACTIVIDAD QUEDEPENDE DE LA HABILIDAD DE LAPERSONA PARA PREVENIR ODETECTAR LOS ERRORES OCURRIDOSUTILIZANDO INFORMACIÓNPROVENIENTE DE UN SISTEMA
AUTOMÁTICO: ACTIVIDAD QUE ES REALIZADA INTERNAMENTE POR EL SISTEMA
Actividades de Control incluye 20 elementos
1. Control integrado y automatización de controles2. Análisis de costo/beneficio3. Responsabilidad limitada4. Instrucciones por escrito5. Separación de funciones incompatibles6. Autorización previa y/o aprobación de transacciones y operaciones7. Documentación de procesos y transacciones8. Supervisión constante9. Clasificación y registro oportuno10. Sistema contable y presupuestal11. Acceso a los activos y registros12. Revisiones de control13. Conciliaciones periódicas de registros14. Inventarios periódicos15. Arqueos independiente16. Formularios uniformes17. Rotación de labores18. Disfrute oportuno de vacaciones19. Cauciones y fianzas20. Dispositivos de control y seguridad
Identificación de controles claves
Aprobación
Cálculo
Documentación
Existencia
Verificaciones
Restricciones
Segregación de Funciones
Supervisión
Entidad:
Proceso:
Riesgos
Controles
existentes
Criterios de
Evaluación Validez
Análisis de actividades de control
Ejemplo de matriz para la evaluación, diseño y determinación de los controles
Riesgos: Corresponde a los eventos negativos identificados en cada proceso de acuerdo a losobjetivos establecidos
Controles Existentes: Acciones o actividades de control establecidas por la entidad.
Criterios de evaluación: Se considerara aquellos principios que permitirán a la entidad determinarun juicio sobre la evaluación de un control con respecto a la eficiencia, eficacia y economía en lasoperaciones, por ejemplo (Valoración o calificación de controles: (1) Muy Bueno, (2) Bueno (3)Medio (4) Malo, (5) Muy malo; o (1) Eficiente, Eficaz y Económico, (2) Eficaz y Económico (3)Eficiente y Eficaz (4) Económico, (5) ninguno, entre otros).
Validez: corresponde a la utilidad que tendrá el control, tomando en cuenta los criterios deevaluación pudiendo estos ser: (N = Necesario e I = Innecesario).
Actividades
de Control Controles Costo Beneficio Resultado
Evaluación costo-beneficio
Actividades de control: Se considerarán las acciones de respuesta que se hayan identificado en la evaluación deriesgos o aquellas actividades de control que serán necesarias para implantar dichas acciones.
Costo: Importe o indicador estimado sobre la base de un criterio (por ejemplo unidades monetarias, tiempo,recursos, entre otros). Se medirán aquellas acciones o situaciones que se generarán por la implantación de unaactividad de control y que finalmente se medirá su factibilidad.
Beneficio: Importe o indicador estimado sobre la base de un criterio (por ejemplo unidades monetarias, tiempo,recursos, entre otros). Acciones o situaciones favorables y convenientes que se originarán por la implantación de lasacciones o actividades de control, lo que evidenciará su conveniencia.
Resultado: Es la diferencia entre el beneficio y el costo.
Existen algunos aspectos que son difíciles de cuantificar, tales como la satisfacción del cliente, la seguridad,el bienestar social comparado con bienes y servicios que tienen un valor de mercado establecido yaceptado. Sin embargo, es necesario darle un valor o ponderarlo con alguna equivalencia que permitamedir el costo o beneficio obtenido de un control a pesar de que resulte una posición subjetiva.
Controles tecnológicos de Información
Controles generales
Controles de aplicación.
4. Informar y ComunicarTransparencia y Rendición de Cuentas
Promover los mecanismos para que la información pública gubernamental
sea clara, veraz, oportuna y confiable.
La información no tiene un beneficio real si ésta no es comprensible, por ello, la que pongan a disposición las dependencias y entidades públicas
deberá ser confiable, oportuna, clara y veraz.
Información y comunicación para rendir cuentas y un nivel aceptable de transparencia.
HERRAMIENTA ESTRATEGICA PARA LA TOMA DE DECISIONES
INFORMACIÓN ESTRATEGICA
• REPORTES FINANCIEROS
• REPORTES OPERATIVOS
• REPORTES DE CUMPLIMIENTO
REPORTE INTEGRADO
INFORMACIÓN Y COMUNICACIÓN
LA EFICACIA DEL CONTROL INTERNO DEPENDE DE LA COMUNICACIÓN OPORTUNA DE EXPECTATIVAS YRESULTADOS.
LAS ESTRATEGIAS DE COMUNICACIÓN SON ESENCIALES PARA ADAPTAR EL ENTORNO A NUEVAS CONDICIONES OACTUAR FRENTE A DEFICIENCIAS CRÍTICAS
1. FUNCIONES YCARACTERISTICAS DELA INFORMACIÓN
2. INFORMACIÓN YRESPONSABILIDAD
3. CALIDAD YSUFICIENCIA DE LAINFORMACIÓN
4. SISTEMAS DEINFORMACIÓN
1. FLEXIBILIDAD ALCAMBIO
2. ARCHIVOINSTITUCIONAL
3. COMUNICACIÓNINTERNA
4. COMUNICACIÓNEXTERNA
5. CANALES DECOMUNICACIÓN
INFORMACIÓN Y COMUNICACIÓN
¿Para que Informar y Comunicar?
a) Información adecuada y oportuna para la toma de decisiones
b) Normas para la obtención, clasificación y comunicación de lainformación
c) Información estratégica
d) Información de medición de resultados. Resultados degestión administrativa, estadística, financiera y costos de losservicios.
e) Información de cumplimiento presupuestal
f) Información de cumplimiento de normatividadPosibilitan la determinación del grado de cumplimiento de objetivos, metas y actividades
Se elaborará una relación del tipo de información que emite cada unidad orgánica.
Unidad
OrgánicaCaracteristica Frecuencia
Contabilidad Obligatoria Anual
Contabilidad A solicitud Mensual/Anual
Tesorería Obligatorio Mensual
Planeación
Ejecución
Seguimiento
Jurídico
Compras
Recursos
Humanos
Tipo de
información/reporte
Estados Financieros
Análisis de Cuentas
Flujo de Caja
La comunicación efectiva debe fluir haciaabajo, a través de y hacia arriba de laorganización, tocando todos los componentesy la estructura entera.
Todo el personal debe recibir un mensajeclaro de la gerencia superior sobre laseriedad con la que deben tomarse lasresponsabilidades.
Comunicación
Herramientas de Comunicación
Herramientas de Comunicación descendenteReuniones cortas de trabajo
Reuniones de Formación
Entrevistas personales
Cartas personales
Herramientas de Comunicación ascendenteReuniones periódicas
Entrevistas personales
Círculos de calidad
Encuestas
Sistemas de sugerencia
Herramientas de Comunicación HorizontalReuniones de trabajo entre unidades orgánicas
Los informes
Comunicados
Canales de Comunicación
Medios Físicos Medios Virtuales
Medios Escritos: Boletín, Circulares, Memorando Internet /Intranet
Medios Visuales: Carteles, Periódico Mural, Revistas, Vitrina, Señalización
Medios Auditivos: Teléfono, Interfono, Altavoz
Logística y Coordinación: Reuniones
5. Monitoreo/Supervisión
Procurar asegurar que el Control Interno esté a tono con los objetivos, el entorno, los recursos y el riesgo
• Es el proceso de evaluar la calidad del desempeño del control interno en el tiempo.
MONITOREO
Prevención y
Monitoreo
1. Se debe efectuar sobre los diferentes documentos que regulen ysustenten el desarrollo de las actividades de la organización, seanestos de gestión, operativos o de control.
2. Ello con la finalidad de tener una seguridad razonable de que se van acumplir con los objetivos así como con aquellos relacionados con elcontrol interno
INCLUYE TRES ASPECTOS
Seguimiento de
Resultados
1. Reportar deficiencias, pues provee información necesariapara la mejora continua de los procesos de la organización.Para ello se requiere registrar y comunicar las deficiencias demanera oportuna, a través de reportes, con la finalidad quese tomen acciones correctivas.
2. Implementar y dar seguimiento a las medidas correctivastomadas
Compromiso de
Mejoramiento
Son las acciones necesarias para corregir las desviacionesencontradas en el sistema de control interno y en gestión deoperaciones, al efectuarse la autoevaluación y evaluaciónindependiente
“No busque fallas; busque el remedio”
Henry Ford
Palabras Prósperas, Resultados Prósperos
Producir resultados mejores, más oportunos y confiables
Supervisión del Control Interno Institucional:
a) Monitoreo del Control Interno
b) Evaluación del Desempeño Institucional
c) Identificación de deficiencias del control interno de la operación
d) Identificación de las deficiencias en el sistema de información
e) Evaluación de las deficiencias
f) Información de las deficiencias
g) Toma de Acciones Correctivas y Recomendaciones de Mejoramiento
h) Seguimiento de las observaciones
Actividad técnica y especializada, ejecutada desde los niveles más altos de una organización
La prevención y monitoreo se deberá efectuar sobre los diferentes documentos queregulen y sustenten el desarrollo de las actividades de la entidad sean éstos de gestión,operativos o de control, con la finalidad de tener una seguridad razonable de que se van acumplir con los objetivos institucionales así como aquellos relacionados con el controlinterno.
Prevención y monitoreo
• Manual de Organización y Funciones• Manuales de políticas y procedimientos• Manuales de planeación• Manuales administrativos• Leyes y reglamentos aplicables a la organización• Instructivos de trabajo• Especificaciones y estándares• Diagramas de flujo• Estudios previos de rediseño o mejoramiento de procesos• Reportes operativos• Reportes de resultados• Informes de registros de revisiones internas• Evaluaciones de riesgos• Estudios previos de evaluación del control interno• Reporte de indicadores• Circulares y lineamientos.
Monitoreo oportuno del control interno : Procesos y Operaciones
De planeación• Plan Estratégico Multianual • Plan Estratégico Institucional • Plan Operativo Institucional • Plan Anual de Adquisiciones y Contrataciones • Plan de Desarrollo Regional • Plan de Desarrollo Local • Plan Anual de Capacitación.
De presupuesto• Presupuesto Institucional Aprobado• Presupuesto Institucional Modificado • Presupuesto Analítico de Personal
De organización• Reglamento de Organización y Funciones (ROF)• Manual de Organización y Funciones (MOF)• Cuadro de Asignación de Personal (CAP)
De procedimientos• Manual de Procedimientos
Determinar su vigencia, consistencia y calidad
SEGUIMIENTO DE RESULTADOS
Reporte de deficiencias
Deficiencias encontradas
Se registran
Se comunicadas de manera oportuna
Se toman acciones correctivas
Información necesaria para la mejora continua de los procesos de la entidad.
N°
Fecha de
Ocurrencia Proceso, Actividad y tareas afectadas Deficiencia Causa
Efectos/
Consecuencias
Entidad:
Unidad Orgánica:
Firma del notificante
Ejemplo del formato de reporte de deficiencias
N° Deficiencia o
Debilidad
Efectos/
Consecuencia
Acciones de
mejora o
recomendación
Fecha de
implementación
Acciones de
seguimiento
Avances de
implementación
Firma del responsable de seguimiento:
Fecha de seguimiento:
Firma del responsable de implementación:
Unidad Orgánica responsable:
Entidad:
Formato de plan de mejoramiento
COMPROMISOS DE MEJORAMIENTO
Acciones necesarias para corregir las desviaciones encontradas en el Sistema deControl Interno y en la gestión de operaciones, al efectuarse la autoevaluación y laevaluación independiente.
Recomendaciones de las evaluaciones independientes
ASFOFSOCI
Auditores Externos
Recomendaciones de las autoevaluaciones
Supervisores de área Gerencia
PLAN DE MEJORAMIENTO
CONTROL Y
GESTIÓN
DEFICIENCIAS DE CONTROL INTERNO
1. DISMINUYE LA CONFIANZA EN LA ORGANIZACIÓN “REPUTACIÓN”
2. AUMENTA EL RIESGO
3. NO SE ALCANZAN LOS OBJETIVOS
LIMITACIONES INHERENTES A TODO SISTEMA DEL CONTROL INTERNO
1. JUICIOS ERRÓNEOS EN LA TOMA DE DECISIONES
2. DISFUNCIONES EN EL SISTEMA POR FALLAS O ERRORES HUMANOS
3. DOS O MÁS PERSONAS PUEDEN CONFABULARSE PARA VIOLAR LOS CONTROLES
4. LA DIRECCIÓN SIEMPRE TIENE LA POSIBILIDAD DE ELUDIR EL SISTEMA DE CONTROL INTERNO
5. NECESIDAD DE CONSIDERAR LOS COSTOS Y BENEFICIOS RELATIVOS A CADA CONTROL A IMPLEMENTAR
¡Muchas Gracias!
C.P. PCCG. Mauricio Romo Flores
Correo: [email protected] 473 5-97-94-80
“Todo lo que sabemos y compartimos lo hemos aprendido de otras personas”