rgano de Control Institucional Octubre, 2012 Agenda I. Objetivos del taller II. Conceptos III. Modelo: Norma AS/NZS 4360:2004 IV. Aspectos a tener en cuenta V. Pasos sugeridos VI. Beneficios de la gestin de riesgos VII.Roles
2 I. Objetivos del taller Presentar el marco conceptual de la Gestin de Riesgos
Valorar el rol activo de los funcionarios y empleados pblicos en la implementacin del control interno en los procesos administrativos y operativos de la entidad
Destacar la importancia de la gestin de riesgos en un manejo eficiente y orientado al cumplimiento de los objetivos institucionales
Mejorar la cultura de control interno en el FONCODES.
3 II. Conceptos a) Riesgo b) Control c) Gobierno d) Control Interno e) Mapa de Riesgos f) Gestin de Riesgos g) Apetito por el riesgo h) Tolerancia al riesgo
4 II. Conceptos a) Riesgo: La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los objetivos. El riesgo se mide en trminos de impacto y probabilidad. Por otro lado peligro es la potencialidad de ocurrencia de un dao, prdida o lesin 5 II. Conceptos 6 Fuente: http://www.coool-stuff.com/tag/stupidity/ II. Conceptos 7 Peligro: cualquier cosa que puede causar dao Ejemplo: escaleras = un peligro Gente subiendo o bajando =situacin peligrosa (personal interactuando con el peligro) Tropezn o resbaln =evento peligroso (expone a una persona a dao) Fuente: http://elpeligrodelamor007.blogspot.com/2009_11_22_archive.html II. Conceptos 8 Fuente: http://www.cartoonstudio.co.uk/health-and-safety-cartoons.html II. Conceptos Inherente: es aquel que est directamente relacionado con la naturaleza de los procesos desarrollados, en ausencia de controles. Residual es el riesgo subsistente una vez aplicados los controles.
Riesgo residual = Riesgo inherente - Control
9 II. Conceptos b) Control: Cualquier medida que tome la direccin, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los objetivos y metas. 10 II. Conceptos 11 Riesgo Administrado Ineficacia por exposicin Ineficacia por controles Desinformado Gerenciado Obsesionado - Controles + Logro de Objetivos Alto Bajo Ineficacia por controles Fuente: Introduccin a la evaluacin de riesgos. Gustavo Macagno II. Conceptos c) Gobierno: La combinacin de procesos y estructuras implantados por el Consejo de Administracin para informar, dirigir, gestionar y vigilar las actividades de la organizacin con el fin de lograr sus objetivos. 12 II. Conceptos d) Control Interno: Concepto fundamental de la administracin y control, aplicable en las entidades del Estado para describir las acciones que corresponde adoptar a sus titulares y funcionarios para preservar, evaluar y monitorear las operaciones y la calidad del servicio. 13 II. Conceptos d) Control Interno: Conforme al COSO, es un proceso efectuado por el Directorio de una organizacin, la gerencia y dems personal, diseado para proveer seguridad razonable respecto al logro de los objetivos relacionados con: Efectividad y eficiencia de las operaciones Confiabilidad de los reportes financieros Cumplimiento con leyes y regulaciones aplicables 14 II. Conceptos Coso: Corresponde a las siglas en ingls del comit de Organizadores y Patrocinadores de la Comisin Treadway, organismos que en conjunto emitieron el informe con recomendaciones referentes al Control Interno que lleva su nombre. Origen: Estados Unidos, 1985, se forma una comisin patrocinada diversas instituciones, con el objetivo de identificar las causas de la presentacin de informacin financiera en forma fraudulenta o falsificada. En 1987 emite un informe que contena una serie de recomendaciones en relacin al control interno de cualquier empresa u organizacin. La comisin Treadway, debati durante ms de cinco aos y finalmente en 1992, se emite el informe COSO, el cual tuvo gran aceptacin y difusin en gran parte debido a la diversidad y autoridad que posee el grupo que se hizo cargo de la elaboracin del Informe. Monitoreo (Seguimiento) U n i d a d
A
U n i d a d
B
A c
t i v i d a d
1
A c t i v i d a d
2
Informacin y Comunicacin Actividades de Control Evaluacin de Riesgos Ambiente de Control
COSO : Control Interno - Marco Conceptual Integrado 15 II. Conceptos 16 1992 2002 2004
2008 COSO I Control Interno Marco Integrado (Comisin Treadway) Ley Marco Modernizacin del Estado Ley N 27658 Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica N 27785 - CGR COSO II Gestin de Riesgos Corporativos Marco Integrado 2006
Ley N 28716 de Control Interno de las Entidades del Estado Ley Normas de Control Interno RC 320-2006-CGR Gua para la Implementacin del Control Interno RC 458-2008 - CGR 2011 2009 D.U N 067-2009 Decreto de Urgencia que modifica el Art. 10 de la Ley N 28716 Ley N 29743 Ley que modifica el Articulo 10 de la Ley N 28716, Ley de Control Interno de las Entidades del Estado Evolucin del Control Interno en el Per 17
Ley 27785, ART. 2, OBJETO DE LA LEY propender al:
APROPIADO OPORTUNO Y EFECTIVO Ejercicio del control gubernamental para
PREVENIR Y VERIFICAR Mediante Aplicacin de:
PRINCIPIOS, SISTEMAS Y PROCEDIMIENTOS TCNICOS la: CORRECTA EFICIENTE Y TRANSPARENTE Utilizacin y gestin de los recursos y bienes del Estado. Desarrollo honesto y probo de las funciones y actos de las: Autoridades, Funcionarios y Servidores Pblico. Cumplimiento de metas y resultados por las instituciones finalidad Contribuir y orientar el mejoramiento de sus actividades y servicios en beneficio de la Nacin. II. Conceptos
Promover y optimizar la eficiencia, eficacia, transparencia y economa en las operaciones de la entidad, as como la calidad de los servicios pblicos que presta; Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de prdida, deterioro, uso indebido y actos ilegales, as como, en general, contra todo hecho irregular o situacin perjudicial que pudiera afectarlos; Cumplir la normatividad aplicable a la entidad y a sus operaciones; Garantizar la confiabilidad y oportunidad de la informacin; Fomentar e impulsar la prctica de valores institucionales; Promover el cumplimiento de los funcionarios o servidores pblicos de rendir cuentas por los fondos y bienes pblicos a su cargo o por una misin u objetivo encargado y aceptado.
II. Conceptos 18 Objetivos de la implantacin del Control Interno (Ley N 28716) II. Conceptos 19 Componente Norma General Normas Bsicas (35) Ambiente de Control (Entorno organizacional favorable y sensibilizacin) Filosofa de la Direccin, Integridad y los valores ticos, Administracin estratgica, Estructura organizacional, Administracin de RR.HH., Competencia profesional, Asignacin de autoridad y responsabilidades, rgano de Control Institucional. Evaluacin de Riesgos (Identificacin y anlisis de los riesgos) Planeamiento de la administracin de riesgos, identificacin de los riesgos, valoracin de los riesgos, respuesta al riesgo. Actividades de Control G. (Polticas y procedimientos relacionados a la administracin de los riesgos) Procedimientos de autorizacin y aprobacin, Segregacin de funciones, Evaluacin costo-beneficio, Controles sobre el acceso a los recursos o archivos, Verificaciones y conciliaciones, Evaluacin de desempeo, Rendicin de cuentas, Revisin de procesos, actividades y tareas, Controles para las TIC. Informacin y Comunicacin (Mtodos, procesos, canales, medios y acciones que aseguren el flujo de la informacin con calidad y oportunidad) Funciones y caractersticas de la informacin, Informacin y responsabilidad, Calidad y suficiencia de la informacin, Sistemas de informacin, Flexibilidad al cambio, Archivo institucional, Comunicacin interna y externa. Supervisin (El SCI esta sujeto a supervisin a fin de evaluar su eficacia y calidad) Prevencin y monitoreo, Monitoreo oportuno del control interno, Reporte de deficiencias, Seguimiento e implementacin de medidas correctivas, Autoevaluacin, Evaluaciones independientes. Resolucin 320-2006-CG II. Conceptos 20 Ambiente de Control O p e r a c io n e s R e p o r t e C u m p l i m i e n t o U n i d a d
A U n i d a d
B A c t i v i d a d
1 A c t i v i d a d
2 Evaluacin de Riesgos Actividades de Control Informacin y Comunicacin Monitoreo COSO: Marco conceptual integrado, 1992 COSO ERM: Marco de Gestin Integral de Riesgo, 2004 II. Conceptos e) Mapa de Riesgos: representacin grfica (usualmente en cuadrantes) de los riesgos de una entidad/proceso/procedimiento, conforme a un criterio de probabilidad e impacto f) Gestin de Riesgos: un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organizacin. 21 II. Conceptos Es un proceso continuo que fluye por toda la entidad Es realizado por su personal en todos los niveles de la organizacin Se aplica en el establecimiento de la estrategia Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la direccin de una entidad Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque susceptibles de solaparse 22 23 II. Conceptos Proceso de Gestin de Riesgos Arquitectura de riesgos Estrategia de riesgos Protocolos de riesgos La arquitectura de riesgos especifica los roles, responsabilidades, comunicacin y estructura de reporte de los riesgos La estrategia de riesgos, apetito, actitudes y filosofa estn definidas en la poltica de gestin de riesgos Los protocolos de riesgos son presentados en la forma de lineamientos de riesgos para la organizacin e incluyen las reglas y los procedimientos, as como la identificacin de la metodologa a emplear, herramientas y tcnicas que debern ser usadas Fuente: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010 Una poltica de gestin de riesgos debera incluir lo siguiente:
Objetivos de control interno y de gestin de riesgos (gobierno) Una declaracin de la actitud de la organizacin para con los riesgos (estrategia) Descripcin de la cultura consciente de los riesgos o ambiente de control Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo) Organizacin de la gestin de riesgos y acuerdos (arquitectura) Detalle de los procedimientos para el reconocimiento de riesgos y su priorizacin (evaluacin de riesgos) Lista de documentacin para analizar y reportar riesgos (protocolos de riesgo) Requerimientos de mitigacin de riesgos y mecanismos de control (respuesta al riesgo) Asignacin de los roles de la administracin y sus responsabilidades Prioridades y temas de entrenamiento en gestin de riesgos Criterios para efectuar el monitoreo y benchmarking de riesgos Asignacin de los recursos apropiados para la gestin de riesgos Actividades y prioridades relacionadas a la gestin de riesgos para el ao venidero
24 II. Conceptos Extrado de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk Management Association. 2010 II. Conceptos g) Apetito por el riesgo: el nivel de riesgo que la organizacin est dispuesta a asumir en su bsqueda de rentabilidad y valor h) Tolerancia al riesgo: el nivel de variacin que la organizacin est dispuesta a asumir en caso de desviacin a los objetivos empresariales trazados 25 II. Conceptos 26 Probabilidad I m p a c t o Bajo Medio Alto B a j o
M e d i o
A l t o Excediendo el Apetito de Riesgo Dentro del Apetito de Riesgo Meta Fijada Tiempo Estrategia de negocio Lmite de tolerancia Desempeo Real Variacin Inaceptable Lmite de tolerancia Variacin Inaceptable Fuente: Gestin Integral de Riesgos. PWC. 2009 Apetito por el riesgo Tolerancia al riesgo III. Modelo: Norma AS/NZS 4360:2004 Norma Australiana / Neozelandesa publicada en 1995, 2ed en1999 y 3ed 2004 Suministra una gua genrica para la gestin de riesgos en general, Enterprise Risk Management (ERM).
27 Administracin de riesgos es el trmino aplicado a un mtodo lgico y sistemtico de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, funcin o proceso de una forma que permita a las organizaciones minimizar prdidas y maximizar oportunidades. 28 III. Modelo: Norma AS/NZS 4360:2004 III. Modelo: Norma AS/NZS 4360:2004 29 Comunicacin y consulta Monitoreo y revisin 1. Establecer el contexto
Objetivos Grupos de inters Criterios Definir elementos clave 2. Identificacin de riesgos
Qu puede suceder ? Cmo puede suceder ? 3. Anlisis de riesgos
Revisar controles Probabilidades Consecuencias Nivel de riesgo 4. Evaluar los riesgos
Evaluar riesgos Ranking 5. Tratar los riesgos
Identificar opciones Seleccionar las mejores respuestas Desarrollar planes de gestin de riesgos Implementar 1. Establecer el contexto Identificar una persona con el conocimiento (control interno y riesgos) a nivel operativo La organizacin est basada en la gestin por procesos? Tiene metas y resultados esperados? Identificar los objetivos institucionales grupal Recordaris: riesgo es todo aquello que pudiera afectar el logro de los objetivos Se puede comenzar por riesgos de la entidad y luego bajar a nivel de cada proceso, comenzando por los ms crticos Es importante la participacin de todas las partes interesadas Posteriormente se pueden clasificar y definir los tipos de riesgos
30 2. Identificacin de Riesgos Esta etapa busca identificar los riesgos que deben ser gestionados Riesgo que no sea identificado, es excluido en cualquier anlisis posterior Qu puede suceder: impida el logro de los objetivos o responsabilidades asignadas, afecte la eficiencia de mis funciones, genere prdidas (tiempo, imagen, recursos, etc.) Los riesgos se identifican independientemente de que estn bajo el control de la entidad o no 31 2. Identificacin de Riesgos 32 Herramientas y Tcnicas de identificacin de riesgos Tcnicas de Diagramacin Tcnicas de Recopilacin de Informacin Tormenta de Ideas Tcnica Delphi Cuestionarios y encuesta Anlisis FODA Entrevistas Diagrama causa/efecto Diagrama flujo de proceso Inventario de Riesgo 2. Identificacin de Riesgos 33 Clasificacin del riesgo: Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como tcnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de informacin, en la definicin de los procesos, en la estructura de la entidad, la desarticulacin entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupcin e incumplimiento de los compromisos institucionales. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes de cada entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad. Riesgos de Tecnologa: Se asocian con la capacidad de la Entidad para que la tecnologa disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misin. 2. Identificacin de Riesgos 34 Riesgo de focalizacin: que los diferentes esfuerzos de entidades del Estado no sean identificados y por lo tanto no se atienda apropiadamente a la poblacin objetivo. El proceso de definicin de la poblacin objetivo podra contemplar un enfoque integral de accin del Estado, tanto del gobierno nacional, como as tambin de los gobiernos locales y regionales; asimismo el identificar las actividades versus los actores podra colaborar en identificar matricialmente "cruces" en las intervenciones, evitando que el Estado invierte dos veces en lo mismo, deje desantendidos a grupos poblacionales o atienda insuficientemente Riesgo de control de resultados: el no contar con herramientas que permitan medir el desempeo, conforme a metas en el tiempo y que las mismas cumplan con los resultados esperados, conlleva a un riesgo de no controlar adecuadamente las actividades, para ello podra necesitarse desarrollar una normatividad apropiada, un esquema de control permanente de los indicadores, gestin de riesgos y capacitacin de los trabajadores promoviendo su especializacin Riesgo de articulacin de actores: que no se articulen actores importantes en la generacin de bienestar, como puede ser: ministerios de salud, produccin, educacin, agricultura y tecnologa (Concytec, Inictel, entre otros), generando sinergias tanto en calidad de recursos, oportunidad en la intervencin y brechas a cubrir Riesgo de no orientacin: en la medida que FONCODES es un programa que promueve y fomenta el desarrollo de capacidades productivas y de inversin, en la medida que no sintonice sus propuestas con las de los pobladores y no los ayude a viabilizar mediante orientacin tcnica, conforme a las estrategias que haya desarrollado, podran darse iniciativas positivas, que sin embargo por una falta de control y orientacin no logren los resultados esperados Riesgo de priorizacin: en trminos generales que los emprendimientos a nivel nacional no sean categorizados ni se estimen factores que permitan discernir la prioridad en la asignacin del capital en base a identificar los riesgos, asimismo que el resultado del emprendimiento no sea medible o no se establezcan metas, con el consiguiente esquema de control Riesgos estratgicos del FONCODES Categoras de Riesgos 35 Estratgico La posibilidad de prdidas por decisiones de alto nivel asociadas a la creacin de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el anlisis del mercado, tendencias e incertidumbre del entorno (riesgo poltico), competencias claves de la empresa y en el proceso de generacin e innovacin de valor. Operacional La posibilidad de prdidas debido a procesos inadecuados, fallas del personal, de la tecnologa de informacin, o eventos externos. Esta definicin incluye el riesgo legal y de cumplimiento. Reputacin La posibilidad de prdidas por la disminucin en la confianza en la integridad de la institucin que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputacin puede presentarse a partir de otros riesgos inherentes en las actividades de una organizacin. Financiero Relacionados a inadecuado manejo financiero de la organizacin, sus inversiones y activos (crediticio, tesorera, mercado) Fuente: Resolucin SBS N 037-2008 Categoras de Riesgos 2. Identificacin de Riesgos 36 Frecuencia ( P robabilidad) Impact o Nivel del Riesgo M adurez de la Gest in del Riesgo Acciones de M onit oreo Responsable 1 Falla en el SAGU Personal capacitado y con experiencia, Gestin del SAGU Operacional 2 4 2 Moderado Media Implementadas Supervisor 2 Carencia de un adecuado enfoque Metodologa para la Formulacin, Informacin para el planeamiento, Personal capacitado y con experiencia, Directiva de CGR, Comunicacin con la Gerencia de Lnea, Estimacin de tiempos, Inventario de riesgos y controles Operacional 1 4 2 Moderado Alta En proceso Jefatura del OCI 2.00 Moderado 3 Presentacin inoportuna Directiva de CGR, Comunicacin con la Gerencia de Lnea, Remisin oportuna a la CGR, Gestin del SAGU Estratgico 2 4 2 Moderado Alta Implementadas Jefatura del OCI 2.00 2.00 M oderado Accin de la Administracin PROCESO ESTRATEGICO Formulacin y aprobacin del PAC Formulacin Result ado Incidencia en Objet ivos Est rat gicos Event o de Riesgo AUDITORIA EN CAMPO Cont rol Cat egor a del Riesgo Aprobacin Result ado parcial Result ado parcial 2. Identificacin de Riesgos 37 Nivel Criterio Descripcin 1 Bajo Requiere monitoreo peridico a fin de mantener los riesgos en este nivel Incumplimiento parcial de normas y procedimientos internos dentro del periodo evaluado (no repetitivo). 4 ( Opt imo) 2 M oderado Requiere atencin de la Gerencia Incumplimiento reiterativo de procedimientos internos dentro del periodo evaluado. 3 ( Implement ado) Desactualizacin de normas y procedimientos internos relacionados con la administracin de activos, recursos entre otros. 3 Alt o Requiere atencin urgente de las Gerencias responsables Afectacin al cumplimiento de los objetivos operativos. 2 ( En P roceso) Atencin y servicio al cliente (trascendencia publica local) Perdidas y/o multas por incumplimiento de normatividad interna y externa (< o = al 50%porciento de la materialidad). Omisin en la aplicacin de controles criticos en los procesos operativos y de soporte. Carencia de normas y procedimientos internos relacionados con la administracin activos y recursos. Omision en la implantacion de recomendaciones en dos periodos consecutivos. NIVEL DE RIESGO Criterios Fundamentales Equivalente Nivel del Riesgo / Madurez 4 Ext remo Requiere de atencin urgente de la Alta Direccion Afectacin al cumplimiento de los objetivos estrategicos. 1 ( Inexist ent e / Inicial) Afectacin de la imagen institucional (trascendencia pblica a nivel nacional) Interrupcin de las operaciones que afecten la prestacion de los servicios y que generen un efecto economico negativo. Fraudes, robos e irregularidades intencionales. Perdidas y/o multas por incumplimiento de normatividad interna y externa (> al 50%porciento de la materialidad). Omisin en la aplicacin de controles criticos en los procesos estrategicos, operativos y soporte. Estados del monitoreo 38 Categora Concepto Implementadas Las acciones del responsable han sido las apropiadas en el tiempo comprometido En proceso Algunas acciones se encuentran desfasadas o en proceso de implementacin Pendientes No se evidencias acciones en la gestin del riesgo Acciones de Monitoreo 3. Anlisis de Riesgos El anlisis de riesgos involucra prestar consideracin a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias Implica determinar: fuentes del riesgo, posibilidad, consecuencias, responsables, acciones La lista de riesgo debe ser excluyente Se deben identificar los controles o acciones que ayuden a minimizarlos 39 3. Anlisis de Riesgos Cualitativos. El anlisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Semi-cuantitativos. El nmero asignado a cada descripcin no tiene que guardar una relacin precisa con la magnitud real de las consecuencias o probabilidades. Cuantitativos. Uso de datos numricos para la determinacin de los riesgos. 40 4. Evaluar los riesgos La evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios de riesgo establecidos previamente El propsito de la evaluacin de riesgos es tomar decisiones basadas en los resultados del anlisis de riesgos (tratamiento de riesgos y la prioridad) 41 4. Evaluar los riesgos 42 Nivel Descripcin Nivel Descripcin 1 Improbable 1 Insignificante 2 Poco probable / Raro 2 Menor 3 Probable 3 Moderado 4 Potencial 4 Mayor 5 Casi cierto 5 Catastrofico NIVEL DE PROBABILIDAD NIVEL DE IMPACTO Concepto Concepto Puede ocurrir en algn momento El riesgo tiene un efecto nulo o pequeo, en el desarrollo del proceso - baja perdida financiera Se espera que ocurra en la mayoria de circunstacias El proceso es gravemente daado - Enorme perdida financiera Puede ocurrir slo en circunstancias excepcionales El desarrollo del proceso sufre un dao menor - Con perdida financiera menor Probablemente ocurriria en la mayoria de circunstancias El desarrollo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectacin financiera Puede ocurrir en la mayora de circunstancias El desarrollo del proceso es afectado significativamente - Prdida financiera mayor 4. Evaluar los riesgos 43 Catastrfi co Mayor Moderado Menor Insi gni fi cante Rara vez Ocasi onal Poco frecuente Frecuente Muy frecuente Extremo Moderado Moderado Al to Extremo Extremo I M P A C T O Moderado Al to Al to Extremo Bajo Moderado Al to Al to Al to FRECUENCIA Bajo Moderado Moderado Moderado Al to Bajo Bajo Bajo Moderado Moderado Matriz de riesgos 4. Evaluar los riesgos 44 Anlisis Cualitativo Anlisis Cuantitativo Probabilidad Impacto Probable Posible Improbable Leve Moderado Catastrfico Probabilidad de ocurrencia Nivel Calificacin 0 25 Improbable 1 26- 70 Posible 2 71- 100 Probable 3 Impacto Nivel Calificacin 0 25 Leve 10 26- 70 Moderado 20 71- 100 Catastrfico 30 4. Evaluar los riesgos 45 Fuente: Introduccin a la evaluacin de riesgos. Gustavo Macagno 4. Evaluar los riesgos 46 Fuente: Introduccin a la evaluacin de riesgos. Gustavo Macagno 4. Evaluar los riesgos 47 Presentacin KPMG Advisory 5. Tratar los riesgos El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos Evaluar las opciones para tratar los riesgos Preparar planes de tratamiento Implementar planes de tratamiento 48 5. Tratar los riesgos 49 Aceptar el Riesgo Auto-asegurarse (Self-insuring) contra prdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Compartir el Riesgo Compra de seguros contra prdidas inesperadas significativas Contratacin de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Mitigar el Riesgo Fortalecimiento del control interno en los procesos del negocio Diversificacin de productos Establecimiento de lmites a las operaciones y monitoreo Reasignacin de capital entre unidades operativas Evitar el Riesgo Reducir la expansin de una lnea de productos a nuevos mercados Vender una divisin, unidad de negocio o segmento geogrfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso Aceptar el Riesgo Auto-asegurarse (Self-insuring) contra prdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Compartir el Riesgo Compra de seguros contra prdidas inesperadas significativas Contratacin de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio Mitigar el Riesgo Fortalecimiento del control interno en los procesos del negocio Diversificacin de productos Establecimiento de lmites a las operaciones y monitoreo Reasignacin de capital entre unidades operativas Evitar el Riesgo Reducir la expansin de una lnea de productos a nuevos mercados Vender una divisin, unidad de negocio o segmento geogrfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso Fuente: Gestin Integral de Riesgos. PWC. 2009 5. Tratar los riesgos 50 Fuente: Administracin de Riesgos. AS/NZS 4360:1999, pgina 17. Monitoreo y revisin Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administracin que se establece para controlar la implementacin. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos 51 Comunicacin y consulta La comunicacin y consulta son una consideracin importante en cada paso del proceso de administracin de riesgos Es importante la comunicacin efectiva interna y externa para asegurar que aquellos responsables por implementar la administracin de riesgos, y aquellos con intereses creados comprenden la base sobre la cual se toman las decisiones y por qu se requieren ciertas acciones en particular Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riesgos, as como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenidas en cuenta 52 IV. Aspectos a tener en cuenta Impulsar desde el ms alto nivel la implementacin del Sistema de Control Interno (SCI) Realizar talleres de capacitacin y aprestamiento sobre control interno y gestin de riesgos Incorporar en los documentos de gestin la responsabilidad de cada trabajador en el control interno y la gestin de riesgos Establecer progresivamente un lenguaje comn respecto a la gestin de riesgos (categoras, definiciones, polticas, responsabilidades, metas, indicadores, normatividad, etc.) Identificar y adaptar una metodologa a las necesidades de FONCODES Expresar y comunicar los objetivos de la organizacin, a travs del uso de indicadores de desempeo Identificar las amenazas potenciales para el logro de los objetivos Evaluar el riesgo, es decir, de las amenazas y probabilidad de que se produzcan Seleccionar e implementar respuestas ante los riesgos Priorizar los riesgos Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes peridicamente Comunicar la informacin sobre riesgos de manera coherente en todos los niveles de la organizacin Supervisar, documentar y monitorear el proceso de gestin de riesgos y sus resultados Determinar el grado de aceptacin de riesgos de la organizacin Establecer un entorno interno adecuado, que incluya un enfoque de gestin de riesgos. 53 V. Pasos sugeridos Capacitacin en: control interno, riesgos, procesos, indicadores Identificar instrumentos para recolectar informacin Listar los objetivos institucionales, tomando en cuenta la misin Clasificar los procesos, actividades y las tareas Designar un responsable por proceso y progresivamente incorporar la documentacin y normatividad respectiva Identificar los riesgos y controles ms importantes de la entidad Valorar los riesgos Cruzar los riesgos vs. procesos Elaborar planes de accin, responsables y metas Evaluar la eficacia y las brechas encontradas Mantener y actualizar
54 V. Pasos sugeridos 55 Seleccionar procesos clave Comprender los procesos Fuente de los riesgos Documentar controles clave Evaluar el diseo Efectividad de los controles Reporte Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupcin Considerar insumos de materialidad e importancia Comprender las actividades y los procedimientos Identificar reportes contables o de la gestin de proyectos, a fin de establecer materialidad Cruzar riesgos vs. procesos Documentar controles a nivel entidad Documentar otros controles Documentar controles a nivel preventivo y detectivos en los procesos principales Evaluar la efectividad del diseo de los controles a nivel entidad Tomar acciones de mejora sobre las deficiencias encontradas Evaluar la efectividad de los controles a nivel entidad y de procesos Remediar deficiencias a travs de la implementacin de recomendaciones Concluir Comunicar Reportar Cules son los riesgos a que se encuentran expuestos los procesos? En qu actividades se encuentran los riesgos? Cules son los controles clave? Quin es propietario de los controles clave? Cmo se encuentra el diseo de los controles ? Cules son los riesgos de falla de los controles? Cul es el desempeo de los controles? Existen debilidades materiales o de cumplimiento? Fuente: Adaptacin de un esquema de Protiviti Objetivos institucionales V. Pasos sugeridos 56 Fuente: Gestin Integral de Riesgos (ERM). Deloitte. Fernando Gaziano. 2007 V. Pasos sugeridos 57 Fuente: Los riesgos de los negocios, un enemigo oculto. Lmina 25. KPMG, Jos Alberto Reyes. 2006 V. Pasos sugeridos 58 Fuente: Administracin de Riesgos. KPMG. 2010. Juan Jos Descailleaux VI. Beneficios de la Gestin de Riesgos Colabora en la implementacin del sistema de control interno (Resolucin de Contralora General N 458-2008-CG) Mayor probabilidad del logro de los objetivos organizacionales Incrementa la confianza en la habilidad de una organizacin para anticipar, priorizar y superar obstculos para alcanzar sus metas Mayor comprensin de los riesgos clave y sus implicancias ms amplias Identificacin e intercambio de conocimientos sobre riesgos cruzados Mayor atencin de la Alta Direccin a problemas realmente importantes Menos sorpresas o crisis, fomentando el cumplimiento de la legislacin (Ley N 28716, Ley de Control Interno de las entidades del Estado y Ley N 27785, Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica) Mayor atencin internamente para hacer lo correcto de la manera correcta Mayor probabilidad de que se logren las iniciativas de cambio Toma de decisiones ms informadas, a nivel estratgico y operativo Coadyuva a la gestin de un presupuesto por resultados Fomenta el orden interno (gestin por procesos, establecimiento de indicadores de desempeo, identificacin de controles, desarrollo de procedimientos, normatividad, etc.) Progresivamente la administracin podr asumir procesos de autoevaluacin de control Brinda transparencia a la gestin, interna y externamente Mejora en la gestin de proyectos y en la estructura de gobierno de la entidad Actualizacin de conocimientos de los profesionales en temas de: gestin por procesos, control interno, indicadores, riesgos, etc. 59 VII. Roles 60 Alta Direccin Responsable de la efectividad del SCI Auditora Interna Brinda evaluacin independiente
Retroalimentacin sobre la gestin de riesgos y controles Monitorea el proceso de implementacin del SCI y efectividad de la gestin de riesgos Alinea los principales riesgos con el Plan Anual de Control
Comit de Riesgos / Auditora * Supervisa y ejecuta el control de calidad a las actividades del SCI Propietarios de los Riesgos Implementan y reportan las acciones * En caso exista alguno de ellos en la entidad Muchas gracias 61 Riesgo de competencia Competidores importantes o nuevos intrusos en el mercado puede tener ventajas competitivas sobre la Empresa y amenazar su habilidad para sobrevivir. Riesgo de sensibilidad Sobre comprometer los recursos y los flujos futuros esperados, afecta la capacidad de la organizacin para enfrentar cambios en el entorno. Riesgo de relaciones con accionistas Una cada en la confianza de los inversores destruye la habilidad de la Empresa para obtener capital eficientemente. Riesgo de disponibilidad de capital La Empresa no tiene un acceso eficiente al capital que necesita para financiar su crecimiento, llevar a cabo su estrategia y generar los resultados financieros futuros. Riesgo de desastres naturales Puede amenazar la habilidad de la organizacin de sostener sus operaciones, proveer los productos y servicios esenciales o recuperar sus costos operacionales. Riesgo poltico y de soberana Acciones polticas adversas en un pas, en la cual la Empresa ha invertido en forma importante o depende un volumen significativo del negocio, puede amenazar los recursos y los flujos de caja futuros de la Empresa. Riesgo legal En las leyes pueden amenazar la capacidad de la Empresa para llevar a cabo acciones importantes y poner en vigor acuerdos contractuales o implementar estrategias. Riesgo de regulacin Cambios en las regulaciones, puede ocasionar un aumento en las presiones competitivas y afectar la habilidad de la Empresa para llevar a cabo en forma eficiente su negocio. Riesgo de industria Cambios en las oportunidades y en los obstculos, as como en la capacidad de los competidores y en otras condiciones que pueden afectar la industria en que acta la Empresa. Riesgos de mercados financieros Precios de los activos financieros. Tasa de un indicador base, tal como tasa de inters. Un ndice, tal como el de mercado de valores u otro ndice similar, puede afectar negativamente el valor de los activos financieros en la organizacin. Riesgos del Entorno Riesgo de operaciones Estos se derivan de que las operaciones sean ineficientes e ineficaces en satisfacer a los clientes y alcanzar los objetivos que tiene la Empresa. Riesgos de satisfaccin al cliente Una empresa que no escuche a los clientes no va a entender o desarrollar los productos con las caractersticas o elementos de servicios para mantenerse competitivo. Riesgos de eficiencia Operaciones ineficientes amenazan la capacidad de la organizacin de producir servicios a un costo igual o menor que los costos incurridos por los competidores o por empresas a nivel mundial. Riesgos de capacidad productiva Una capacidad insuficiente o un exceso de capacidad amenaza la habilidad de la Empresa de generar mrgenes adecuados en un mercado competitivo. Riesgos de diferencial con competencia La inhabilidad de actuar a un nivel o clase mundial en trminos de calidad de costos, amenazan la demanda de los productos o servicios de las operaciones. Riesgo de oportunidad Un plazo excesivo entre el inicio y el trmino de un proceso de negocios, debido a actividades redundantes, innecesarias o irrelevantes amenazan la capacidad de la Empresa para producir servicios en forma oportuna Riesgos de precio en productos bsicos La estrategia para comprar y las desviaciones de los productos bsicos exponen a la Empresa a costos de produccin excesivos o prdidas por mantenerlos en sus inventarios. Riesgos de obsolescencia y faltantes Los riesgos de exceso, obsolescencia o prdida de inventario da como resultado prdidas importantes a la Empresa. Riesgo de incumplimiento El incumplimiento de los requerimientos del cliente de polticas prescritas por la organizacin, puede resultar en una menor calidad, altos costos de produccin, ingresos perdidos, etc. Riesgos de interrupcin del negocio Es originado por la disponibilidad de materia prima, informacin tecnolgica, sistemas o mano de obra especializada, que amenaza la capacidad de la organizacin para continuar con las operaciones. Riesgo de fallo en el servicio Servicios defectuosos o que no funcionan, exponen a la organizacin las quejas del cliente, reclamos de garanta, reparaciones, devoluciones y prdida de participacin en el mercado y de reputacin. Riesgo ambiental Los riesgos ambientales exponentes a las organizaciones a pasivos potencialmente enormes. Pueden surgir de actividades pasadas o presentes de edificios u otras estructuras y emisiones contaminantes de las operaciones. Riesgo de erosin en la marca comercial La erosin de marca comercial que no sean debidamente mantenida a travs del tiempo, amenaza la demanda de los servicios de la organizacin. Riesgos del Negocio Riesgo de direccin Puede resultar en una falta de direccin, enfoque al cliente, motivacin para lograr objetivos, credibilidad de la gerencia y confianza a travs de la organizacin. Riesgo de autoridad Lneas de autoridad pueden causar que se hagan cosas que no deberan de hacerse o no hacer lo que es debido. Riesgo de lmites Un fallo al establecer lmites puede causar que se lleven a cabo actos no autorizados o desleales. Riesgo de incentivos de actuacin Medidas de actuacin que nos sean realistas o mal interpretadas puede causar una actuacin de una manera inconsistente con los objetivos de la organizacin Riesgo de comunicaciones Los canales inefectivos de comunicacin pueden resultar en mensajes que son inconsistentes. Riesgos de Direccin Riesgo de acceso La falla en mantener un acceso adecuado a los sistemas de informacin puede resultar en conocimientos no autorizados y uso indebido de informacin confidencial. Riesgo de integridad La falta de integridad en la gestin de la infraestructura de los sistemas de informacin puede resultar en acceso no autorizado a los datos. Riesgo de relevancia El riesgo de relevancia est asociado con no proporcionar los datos o informacin correcta al momento correcto para toma de decisiones. Riesgo de disponibilidad La falta de disponibilidad de informacin importante, en el momento en que es necesaria, puede afectar adversamente la continuidad de los procesos y operaciones crticas de la organizacin. Riesgo de energa La falta de fluido elctrico puede provocar que los sistemas utilizados para la operacin de la Empresa, no se encuentren disponibles impactando en forma directa la prestacin del servicio. Riesgo en los enlaces de comunicacin Una interrupcin en los enlaces de comunicacin, utilizados en los sistemas, impacta negativamente en el servicio prestado a los clientes. Riesgos Tecnolgicos y de la Informacin Riesgos de Integridad Riesgo de fraude de la Administracin Puede emitir informacin financiera distorsionada con el intento de engaar al pblico inversor y al auditor externo. La administracin puede efectuar sobornos y otros actos ilegales para el beneficio de la Empresa Riesgo de fraude del empleado Los empleados, clientes o proveedores pueden perpetrar fraudes contra la Empresa para su ganancia personal. Riesgo de actos ilegales Actos ilegales expone a la Empresa a multas y sanciones y a prdida de cliente, utilidades, reputacin, etc. Riesgo de uso no autorizado El uso no autorizado de los activos fsicos, financieros o de informacin expone a la Empresa a un desperdicio innecesario de recursos. Riesgo de reputacin Puede perder clientes, empleados clave o su habilidad para competir, debido a la percepcin de que no se est dando un trato justo. Riesgos Financieros Riesgo de liquidez La imposibilidad de tener efectivo disponible en una forma oportuna o de no convertir activos efectivo cuando sea necesario, puede incumplir con los pagos de sus obligaciones. Riesgo de rapidez en realizar transferencias El tiempo requerido para transferir fondos a travs del sistema financiero o transferir, puede resultar en prdidas en su valor. Riesgo de derivados Transacciones de derivados indebidamente estructuradas pueden impedir a la organizacin alcanzar sus objetivos. Riesgo de liquidacin de operaciones Existe cuando una de las dos partes cumple con su obligacin bajo el contrato, cuando an no ha recibido el valor correspondiente de la contraparte. Riesgo de crdito Expone a la Empresa a costos de cobranza y prdidas excesivas. Riesgo de reinversin Cambios en los precios o tasa de inters que ocurran antes de que los flujos de efectivo puedan ser reinvertidos y se obtienen rendimientos inferiores. Riesgo de garanta La prdida parcial o total del valor de un activo dado en garanta, expone a la organizacin a una prdida financiera Riesgo de incumplimiento de contraparte La falta de una contraparte en un contrato transferido a un intermediario que subsecuentemente incurre en falta, expone a la organizacin a prdidas financieras. Riesgos de la Informacin para la Toma de Decisiones Riesgo de determinacin de precios La falta de informacin relevante que soporte la determinacin de precios, puede resultar en precios o tarifas que los clientes no quieran pagar o que no cubran los costos de desarrollo y otros costos. Riesgo de compromiso de contrato La Empresa puede no tener informacin que le permita evaluar los compromisos contractuales existentes de tal manera que las decisiones para tomar compromisos adicionales sean inadecuadas. Riesgo de mediacin La inexistencia de medidas causa conclusiones errneas Riesgo de alineacin con la estrategia Consiste en que los objetivos y medidas de desempeo de los procesos de la empresa no estn alineados con los objetivos y estrategias globales. Riesgo de informacin precisa, completa y regulatoria La informacin incompleta puede causar decisiones equivocadas. Riesgo de Contingencia La falta de planes de contingencia o un inadecuado diseo de los mismos, puede provocar que la Empresa interrumpa sus operaciones regulares. Riesgos de la Informacin Financiera Riesgo de planificacin y presupuesto La falta de informacin sobre planeacin y presupuestos o que sea irreal, puede causar conclusiones y decisiones financieras inapropiadas. Riesgo de informacin errnea e incompleta Informacin financiera errnea e incompleta causa decisiones y conclusiones inapropiadas. Riesgo de informacin contable Sobre enfatizar el uso de informacin contable para manejar el negocio, resulta en alcanzar ciertos objetivos financieros a costa de no cumplir con los objetivos de satisfaccin al cliente, calidad y eficiencia. Riesgo de impuestos Fallas en la obtencin y evaluacin de informacin relevante resulta en el incumplimiento de regulaciones impositivas. Riesgo de evaluacin de la informacin financiera Se deriva del hecho de que informacin emitida a inversores o acreedores pueda tener errores u omisiones importantes que conduzcan a error en su interpretacin. Riesgo de evaluacin de inversiones La falta de informacin relevante y confiable que respalde las decisiones de inversin puede resultar en pobres inversiones, a corto plazo. Riesgo de informes a reguladores La emisin de informacin requerida por los reguladores que sea incompleta, errnea o tarda expone a la Empresa a multas, penas y otros Riesgo de fondos Informacin errnea e incompleta derivada de compensacin y beneficios puede impedir que la empresa cumplir con sus obligaciones definidas. Riesgos de la Evaluacin Estratgica Riesgo de evaluacin del entorno Fallos en el seguimiento del entorno externo, puede causar que la Empresa conserve estrategias ms all del tiempo establecidas hasta ser obsoletas. Riesgo de diversificacin del negocio La falta de informacin confiable y relevante puede impedir maximizar su actuacin global a una organizacin diversificada. Riesgo de valor del negocio La falta de informacin relevante y confiable del valor del negocio, puede impedir que los dueos lleven a cabo un juicio informado sobre la empresa. Riesgo de medicin de resultados La falta de confiabilidad de medidas de desempeo, puede afectar negativamente la habilidad de la empresa para alcanzar sus estrategias a largo plazo. Riesgo de la estructura organizacional No hay la informacin necesaria para juzgar la efectividad de la estructura organizacional de la empresa, afectando su capacidad de cambio y lograr sus objetivos a largo plazo. Riesgo de asignacin de recursos Un proceso inadecuado de la distribucin de recursos y de informacin que lo respalde, puede impedir que se establezca y sostenga ventajas competitivas. Riesgo de planificacin estratgica Un proceso de planeacin estratgico pesado y poco imaginativo puede resultar en informacin irrelevante. Riesgo de ciclo de vida La falta de informacin relevante y confiable que permita a la Administracin conducir las actividades de sus lneas de productos y la evolucin del ciclo de vida de sus industrias o productos, amenaza la capacidad de la organizacin de permanecer competitiva.