Post on 03-Jan-2016
description
EL SISTEMA DE CONTROL INTERNO
NORMATIVA LEGAL APLICABLE A LA IMPLANTACION DEL SISTEMA DE
CONTROL INTERNO
Ley, cuyo objetivo es el de regular el establecimiento, funcionamiento, mantenimiento, perfeccionamiento y evaluación del SCI en las Entidades del Estado, con el propósito de cautelar y fortalecer los sistemas administrativos y operativos.
Ley Nº 28716, Ley de Control Interno de las Entidades del Estado, del 18 abril del 2006
Resolución de Contraloría N° 320-2006-CG, del 3 de noviembre del 2006
Las “NORMAS DE CONTROL INTERNO”“NORMAS DE CONTROL INTERNO”, se aprobaron con el objetivo de propiciar el fortalecimiento del SCI y mejorar la Gestión Pública, protegiendo el patrimonio público y al logro de los objetivos y metas institucionales, de conformidad con lo establecido por la Ley Nº 28716.
Aprueba la “Guía para la Implementación del Sistema de Aprueba la “Guía para la Implementación del Sistema de Control Interno de las Entidades del Estado”.Control Interno de las Entidades del Estado”.DDocumento orientador para la Gestión Pública y el Control Gubernamental, sin perjuicio de la legislación que emitan los distintos niveles de Gobierno.En esta Norma se estableció un plazo máximo de 24 meses para la implementación del SCI, plazo que venció en Octubre de 2010.
El objetivo de la Guía es el de proveer los lineamientos, herramientas y métodos a las entidades del Estado para la implementación de los componentes que conforman el SCI establecido en las Normas de Control Interno mediante la RC Nº 320-2006-CG.
Resolución de Contraloría N° 458-2008-CG, del 30 de octubre del 2008 (1)
Suspendió el cumplimiento del Art.10°de la Ley N° 28716, disponiendo que su aplicación será progresiva, teniendo en cuenta la naturaleza de las funciones de las entidades así como la disponibilidad de recursos presupuestales.
Decreto de Urgencia N° 067-2009 del 23 de junio del 2009
Después de 25 meses, se deroga los Artículos N° 2 y 3 del Decreto de Urgencia N° 067-2009 y se sustituye el 4to. Párrafo del Art. 10° de la Ley N° 28716, Normas de Control Interno. La CGR deberá precisar nuevos plazos para su implementación.
Ley N° 29743 del 09 de julio del 2011
COMPONENTE
EVALUACION DE RIESGOS
Proceso que identifica y analiza eventos adversos a los que está expuesta la entidad.Esta evaluación permite evitar, reducir,compartir y gestionar la mitigación oeliminación del impacto causado.
RIESGOPosibilidad de que un evento desfavorable pueda afectar
negativamente la habilidad , de la organización para el logro de sus
objetivos
ADMINISTRACIÓN DE RIESGOSEs el proceso para incrementar la confianza en la habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus metas
CONTROL INTERNO
Es un proceso diseñado para proveer una seguridad razonable con respecto al logro de los objetivos de la
entidad
10
Contenido:
2.1. Planeamiento de la administración de riesgos. (Planes y métodos)2.2. Identificación de los riesgos. (Externos e internos) 2.3. Valoración de los riesgos. (Estimar su probabilidad de ocurrencia)2.4. Respuesta al riesgo. (Evitar, reducir, compartir y aceptar)
2.2. EVALUACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS
Es el proceso de identificación y análisis de eventos adversos a los que está expuesta la entidad. Esta evaluación permite evitar, reducir, compartir y aceptar cualquier riesgo.
Planeamiento de Planeamiento de lala
Administración Administración de Riesgosde Riesgos
IdentificacióIdentificación de los n de los RiesgosRiesgos
Valoración de Valoración de los Riesgoslos Riesgos
Respuesta Respuesta al Riesgoal Riesgo
ACTO ADMINISTRATIVO
Positivo
Negativo
Oportunidad
Riesgo oAmenaza
+
-
Planeamiento de Planeamiento de lala
Administración Administración de Riesgosde Riesgos
MODELO DE MODELO DE GESTIÓN DE GESTIÓN DE
RIESGOSRIESGOS• EstrategiasEstrategias
• OrganizaciónOrganización• PolíticasPolíticas• CriteriosCriterios
Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactiva para identificar y valorar los riesgos que puedan impactar en una entidad impidiendo el logro de los objetivos. Se deben desarrollar planes, métodos de respuesta y monitoreo de cambios, así como un programa para la obtención de los recursos necesarios para definir acciones en respuesta a riesgos
2.1 Planeamiento de la Administración de riesgos
2.2. Identificación de Riesgos
Proceso permanente, interactivo e integrado conel proceso de planeamiento y deberá partir de ladefinición clara de objetivos estratégicos de laentidad.La identificación de los riesgos podrá darse en elnivel de entidad (riesgos de carácter general) yen el nivel de procesos (afectación a los procesos).Existen varias herramientas y técnicas para laidentificación de riesgos
2.2. Identificación de Riesgos
1. Técnica de recopilación de información. Tormenta de ideas: lista de riesgos. Técnica Delphi: Opinión de expertos. Cuestionarios y Encuestas. Entrevistas. Análisis FODA
2. Técnicas de diagramación. Diagrama causa – efecto. Diagrama de flujo de procesos. Inventario de riesgos
Fuente: R.C. 458.2008.CG
2.2. Identificación de Riesgos
Clasificación de Riesgos1. Riesgo estratégico2. Riesgo operativo3. Riesgo financiero4. Riesgo de cumplimiento5. Riesgo tecnológico
Registro de riesgos considerando las causas o
factores de riesgo (internos y externos), una
descripción de cada riesgo y definición de los
Posibles efectos y los riesgos significativos.
Clasificación del riesgoClasificación del riesgo
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.
IdentificacióIdentificación de los n de los RiesgosRiesgos
•Externos:
–Cambio de las
necesidades y
expectativas del cliente
- Competencia
–Nuevas legislaciones
y regulaciones
.
–Catástrofes naturales
-Desarrollo tecnológico
-Nuevas legislaciones y regulaciones
En la identificación de los riesgos se tipifican todos los riesgos que pueden afectar el logro de los objetivos de la entidad debido a factores externos o internos. Los factores externos incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las selecciones que realiza la administración e incluyen la infraestructura, personal, procesos y tecnología
- Una interrupción
en el procesamiento de sistemas
de información
• Internos:
– La calidad del personal contratado y los métodos
de entrenamien
to y motivación
– Un cambio en las
responsabilidades de la
administración
– La naturaleza
de las actividades
de la entidad y el acceso
de los empleados a los activos
– Un comité directivo o
de auditoría ineficaz
2.3. Valoración de los Riesgos
Permite clasificar y valorar los eventos potenciales queImpactan en la consecución de los objetivos.Se efectúa en base a la información obtenida en la etapaPrevia (Identificación de riesgos).
Clasificación de riesgosClasificación de riesgos
POSIBLES RIESGOS
Entidad:
Fecha:
Tipo de riesgos
N° Riesgos identificados
Estratégico Operativo Financiero De cumplimiento De tecnología
1 Recorte del presupuesto asignado x
2 Cambio de gestión de la entidad x
3 Cheque que se ingresa en la cuenta bancaria incorrecta x
4 Falla del sistema informático x
5 Se registra una cantidad incorrecta en la cuenta del usuario x
6 Colusión x
7 Variaciones en los tipos de cambio x
8 Fluctuaciones en la bolsa de valores x
9 Uso no autorizado de información x
10 Sistema informático que no soporta los procesos de la entidad x
11 Infraestructura de tecnología de información insuficiente x
Total: 2 3 2 2 2
Responsables:
Entidad XY
12.Abr.2007
Registro de riesgosRegistro de riesgos
Proceso:Subproceso:
Objetivo del proceso /
subproceso
Riesgo Causas(Factores Internos y
Externos)
Efectos / Consecuencia
• Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto
• El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos
Estimar probabilidad e impacto
PROBABILIDADPROBABILIDAD : Se deben establecer las categorías a utilizar y su descripción, con el fin de que quien aplique la escala mida a través de ella la posibilidad de ocurrencia de los riesgos:
PROBABLE : Es muy frecuente la materialización del riesgo o se presume que llegará a materializarse
POSIBLE : Es frecuente la materialización del riesgo o se presume que posiblemente se podrá materializar
IMPROBABLE : Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse
IMPACTOIMPACTO :: Se debe establecer las categorías y su descripción, de las consecuencias de la materialización de los riesgos, por ejemplo:
LEVE : Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad
MODERADO : Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad
CATASTRÓFICO : Si el hecho llegara a presentarse tendría alto impacto o efecto en la entidad
CRITERIOS DE EVALUACIÓNCRITERIOS DE EVALUACIÓN
MATRIZ DE MATRIZ DE RIESGOSRIESGOS
ImpactoImpacto
ProbabilidadProbabilidad
NIVEL DE RIESGONIVEL DE RIESGO
2.3 VALORACIÓN DE RIESGOS2.3 VALORACIÓN DE RIESGOS
Análisis Cualitativo
Análisis Cuantitativo
ProbabilidadProbabilidad
ImpactoImpacto
Probable
Posible
Improbable
Leve
Moderado
Catastrófico
Probabilidad de ocurrencia
Nivel Calificación
0 – 25 Improbable 1
26- 70 Posible 2
71- 100 Probable 3
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico 30
EVALUACIÓNEVALUACIÓN
Valoración de Valoración de los Riesgoslos Riesgos
El análisis o valoración de los riesgos le permite a la entidad considerar cómo los riesgos potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias
Identificary
medir
Identificary
medir
¿Qué es lo que puede ocurrir? EVENTO¿Qué es lo que puede ocurrir? EVENTO
¿Cuál es su frecuencia? PROBABILIDAD¿Cuál es su frecuencia? PROBABILIDAD
¿En cuánto nos afectará? IMPACTO¿En cuánto nos afectará? IMPACTO
Matriz de Probabilidad / Impacto
Probabilidad
Probable 3 3Riesgo moderado
6Riesgo importante
9Riesgo inaceptable
Posible 2 2Riesgo tolerable
4Riesgo moderado
6Riesgo importante
Improbable 1 1Riesgo aceptable
2Riesgo tolerable
3Riesgo moderado
Impacto 1 2 3
Leve Moderado Desastroso
Respuesta Respuesta al Riesgoal Riesgo
La administración identifica las opciones de respuesta al riesgo considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo-beneficio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos
OpcionesOpcionesReducir o mitigar el riesgoReducir o mitigar el riesgo
Transferir o compartir el riesgoTransferir o compartir el riesgo
Evitar el riesgoEvitar el riesgo
Aceptar el riesgoAceptar el riesgo
Reducir el riesgoy
manejar contingencia
Reducir el riesgoy
manejar contingencia
Acciones de mitigación para reducir el IMPACTOAcciones de mitigación para reducir el IMPACTO
Acciones de mitigación para reducir la PROBABILIDADAcciones de mitigación para reducir la PROBABILIDAD
Acciones y planes de contingenciaAcciones y planes de contingencia
2.4 RESPUESTA AL RIESGO2.4 RESPUESTA AL RIESGO
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring) contra pérdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra
pérdidas inesperadas significativas
• Contratación de outsourcing para procesos del negocio
• Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control
interno en los procesos del negocio
• Diversificación de productos• Establecimiento de límites a
las operaciones y monitoreo• Reasignación de capital
entre unidades operativas
Evitar el Riesgo• Reducir la expansión de
una línea de productos a nuevos mercados
• Vender una división, unidad de negocio o segmento geográfico altamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
Evaluar posibles respuestas
AccionesAcciones
Matriz deMatriz de RiesgoRiesgo
Nivel de Riesgo Respuesta
Riesgo Inaceptable Evitar el riesgoReducir el riesgoCompartir o transferir
Riesgo Importante Reducir el riesgo Evitar el riesgoCompartir o transferir
Riesgo Moderado Reducir el riesgoEvitar el riesgoCompartir o transferir
Riesgo Tolerable Asumir el riesgoReducir el riesgoCompartir o transferir
Riesgo Aceptable Asumir el riesgo
Riesgo
Evaluación riesgo
Respuesta al RiesgoRiesgo residual
Responsable
Nivel ValorRiesgo
InherenteActividades Controles
necesarios
Costo de la reducción del riesgoCosto de la reducción del riesgo