Ilustre Colegio de Abogados de Lima

Ilustre Colegio de Abogados de Lima

SISTEMA DE CONTROL INTERNO

Agenda Sesión Control Gubernamental

2

1. Control Gubernamental• Control Gubernamental• Control Interno• Control Externo• Control de Legalidad

2. Contraloría General de la República• Organigrama de la Contraloría General• Atribuciones de la Contraloría General

3.Sistema de Control Interno• Definición del Sistema de Control Interno• Definición de Normas de Control Interno• Norma General para el Ambiente de Control• Norma General para la Evaluación del Riesgo• Norma General para las Actividades de Control

Gerencial• Norma General para la Información y

Comunicación• Norma General para la Supervisión

1. Control Gubernamental

3

•El Control Gubernamental, consiste en la supervisión, vigilancia y verificación de:

los actos y resultados de la gestión pública, en atención al grado de eficiencia, eficacia, transparencia y economía en el uso y destino de los recursos y bienes del Estado.

del cumplimiento de las normas legales . y de los lineamientos de política y planes de acción.

•El control gubernamental evalúa los sistemas de administración, gerencia y control, con fines de su mejora a través de la adopción de acciones preventivas y correctivas pertinentes.

•El control gubernamental tiene un doble rol: control interno y control externo .

EN CHILE LOS AUDITORES SON CONTROLADOS POR EL PRESIDENTE DE LA REPUBLICA, EN COLOMBIA POR LOS SUPERINTENDENTES.

Ley 27785 - Art. 6º.- Concepto

4

• Control en el Proceso Administrativo

Dentro de la acción organizada del Estado, el ejercicio del control gubernamental tiene un doble rol: interno (control como actividad) y externo (control como función)

El control interno, es inherente a todos los niveles de dirección, gerencia y funcionales de las entidades gubernamentales; es una forma de medir, el esfuerzo con relación a las metas y/o actividades a ser cumplidas por una entidad y comprobar si estas se están logrando o no

El control externo, es ejercido por un órgano independiente que evalúa el desempeño de las entidades gubernamentales en relación con la responsabilidad institucional

5

ControlGubernamental

Control Interno

Control Externo

Control en el Proceso Administrativo

6

• Control Interno

• El Control Interno, comprende las acciones de cautela previa, simultánea y de verificación posterior que realiza la entidad pública sujeta a control, con la finalidad que la gestión de sus recursos, bienes y operaciones se efectúe correcta y eficientemente.

• Es responsabilidad del Titular, fomentar y supervisar el funcionamiento y confiabilidad del Control Interno, para evaluar la gestión y el efectivo ejercicio de la rendición de cuentas, propendiendo a que éste contribuya al logro de la misión y objetivos.

Ley 27785 - Artículo 7°.- Control Interno

CAJERO

TESORERO

GERENTE O DIRECTOR SUPERVISA

VIGILA

VERIFICAC.I PREVIO

C.I POSTERIOR

C.I. SIMULTANEO

7

ControlInterno

Control InternoPosterior

Control InternoSimultaneo

Control Interno

Control Interno Previo

8

Control Interno

•El Control Interno previo y simultáneo, compete exclusivamente a las autoridades, funcionarios y servidores públicos de las entidades como responsabilidad propia de las funciones, sobre la base de las normas de la organización, planes, reglamentos y manuales que contienen las políticas, métodos de autorización y registro

•El Control Interno posterior, es ejercido por los responsables superiores del servidor o funcionario ejecutor, en cumplimiento de las disposiciones establecidas, así como por el Órgano de Control Institucional – OCI; evaluando y verificando los aspectos administrativos sobre el uso de los recursos y bienes del Estado, así como su gestión

9

• Control Externo

•El ejercicio del control externo, compete a la CGR u otro órgano del SNC por encargo o designación de ésta, con el fin de supervisar, vigilar y verificar la gestión y la captación y uso de recursos y bienes del Estado.

•En concordancia con sus roles de supervisión y vigilancia, el control externo podrá ser preventivo o simultáneo, cuando se determine taxativamente por Ley o por normativa expresa

•Para su ejercicio, se aplicarán sistemas de control de legalidad, de gestión, financiero, resultados, evaluación de control interno u otros, en función a las características de la entidad y la materia de control.

Ley 27785 – Art. 8°.- Control Externo

10

ControlExterno

Control ExternoPrevio

Control Externo

Simultaneo

Control Externo

Control Externo Posterior

Emitir opinión previa sobre Adquisiciones y contrataciones

de bienes, servicios u obras, que tengan el carácter

de secreto militar

Informar previamente sobre las operaciones, fianzas, avales y otras garantías que otorgue el Estado, que en cualquier forma

comprometa su crédito o capacidad financiera

Otorgar autorización previa a la ejecución y al pago de los

presupuestos adicionales de obra pública, y de las mayores

Prestaciones de supervisión

Art. 22ºinc. j, k, lLey 27785

11

•Art. 38º de la Constitución Política: “Todos los peruanos tienen el deber de honrar al Perú y de proteger los intereses nacionales, así como de respetar, cumplir y defender la Constitución y el ordenamiento jurídico de la Nación”

•Art. 45º de la Constitución Política: “El poder del Estado emana del pueblo. Quienes lo ejercen lo hacen con las limitaciones y responsabilidades que la Constitución y las leyes establecen”

•Art. SEXTO, Principios General de la Ley Nº 28112 Ley Marco de Administración Financiera del Sector Público: “Las entidades del Sector Público sólo pueden ejecutar ingresos y realizar gastos conforme a Ley…”

•Art. 31º Control de Legalidad, literal 1 de la Ley Nº 28411 Ley General del Sistema Nacional de Presupuesto: “La Contraloría General de la República y los Órganos de Control Interno, de las Entidades supervisan la legalidad de la ejecución del presupuesto público comprendiendo la correcta gestión y utilización de los recursos y bienes del Estado…”

• Control de Legalidad

12

•Art. IV Principios del Procedimiento Administrativo, literal 1. Ley Nº 27444 - Ley del Procedimiento Administrativo General, de 10.Abr.2001: “1.1 Principio de legalidad.- Las autoridades administrativas deben actuar con respeto a la Constitución, la Ley y al Derecho, dentro de las facultades que le estén atribuidas y de acuerdo con los fines para los que les fueron conferidas”

•Art. I.- Principio de legalidad, de la Ley Nº 29158 - LOPE, pub. el 20.Dic.2007: “Las autoridades, funcionarios y servidores del Poder Ejecutivo están sometidos a la Constitución Política del Perú y a las demás normas del ordenamiento jurídico. Desarrollan sus funciones dentro de las facultades que les estén sometidas”

•Art. VIII.- Aplicación de Leyes Generales y Políticas y Planes Nacionales, Ley Nº 27972 LOM, de 26.May.2003: “Los gobiernos locales están sujetos a las leyes y disposiciones que, de manera general y conformidad con la Constitución Política del Perú, regulan las actividades y funcionamiento del Sector Público…”

Control de Legalidad

2. La Contraloría General de la República•La Contraloría General de la República, es el ente técnico rector del Sistema Nacional de Control, dotado de autonomía administrativa, funcional, económica y financiera, que tiene por misión dirigir y supervisar con eficiencia y eficacia el control gubernamental, orientando su accionar al fortalecimiento y transparencia de la gestión de las entidades. La promoción de valores y la responsabilidad de los funcionarios y servidores públicos.

13Ley 27785 - Art. 16°.- Contraloría General

•No puede ejercer atribuciones o funciones distintas a las establecidas en la Constitución Política, en la Ley 27785, las disposiciones reglamentarias y las normas técnicas que emita en uso de sus atribuciones.

14

Página Web de la Contraloría General de la República

Web: www.contraloria.gob.p

e

3. Definición del Sistema de Control Interno

15

•El Sistema de Control Interno, es un conjunto de acciones, actividades, planes, políticas, normas, registros, organización, procedimientos y métodos, incluyendo la actitud de las autoridades y al personal organizados e instituidos en cada entidad del Estado.

•Las Entidades del Estado deben implantar obligatoriamente sistemas de control interno en sus procesos, operaciones y actos institucionales, para el cumplimiento de los objetivos siguientes: Promover la eficiencia, eficacia, transparencia y

economía.

Cuidar y resguardar los recursos.

Cumplir la normatividad aplicable.

Garantizar la confiabilidad y oportunidad de la información.

Fomentar e impulsar la práctica de valores institucionales.

Promover la rendición de cuentas.

Ley 28716, artículos 3º y 4º

Definición de Normas de Control Interno

16

•Las Normas de Control Interno (en adelante NCI), son lineamientos, criterios, métodos y disposiciones para la aplicación y/o regulación del Control Interno en las principales áreas de su actividad administrativa u operativa de las entidades, incluidas las relativas a la gestión financiera, logística, de personal, de obras, de sistemas computarizados y de valores éticos, entre otras

•A partir de estas normas los titulares de las entidades están obligados a emitir normas específicas aplicables a su entidad, de acuerdo a su naturaleza, estructura y funciones, las que deben ser concordantes con la normativa técnica de control que dicte la CGR

•En tal sentido la CGR emitió las Normas de Control Interno, aprobadas mediante R.C. 320-2006-CG, del 30.OCT.2006

Ley 28716, artículo 10º

Esquema de las Normas de Control Interno

17

Normas Generales de

Control Interno

1. Norma General para el Ambiente de Control

2. Norma General para la Evaluación del Riesgo

Marco Conceptual

de la Estructura de Control

Interno

3. Norma General para Actividades de Control Gerencial

4. Norma General para la Información y Comunicación

5. Norma General para la Supervisión

• Norma General para el Ambiente de Control

18

•Estas normas son la base de los demás componentes del control interno, aportan disciplina y la formalización de la estructura de la entidad.

•También incluyen normas sobre la integridad, los valores éticos, la filosofía de la dirección y el estilo de gestión, la asignación de la autoridad y las responsabilidades, la organización y el desarrollo de los empleados y la orientación de la dirección.

Norma General para el Ambiente de Control

19

Norma General para el

Ambiente deControl

1.. Filosofía de la Dirección

2.. Integridad y valores éticos

6. Competencia profesional

3. Administración estratégica

4.. Estructura organizativa

7.. Asignación de autoridad y responsabilidad

5.. Administración de los recursos humanos

8. Órgano de Control Institucional

20

Implementación: Filosofía de la DirecciónEntre otros, para fortalecer y exteriorizar una adecuada Filosofía de Dirección se podrían considerar lo siguiente:Diseño de la estructura organizativa de acuerdo

con la misión y los objetivos de la entidad.Responsabilidad en el cumplimiento de los

objetivos dentro de los parámetros y lineamientos preestablecidos por el Estado.

Formalización o actualización de los reglamentos y manuales

Respeto por la transparencia en el desarrollo de las operaciones de la entidad.

Respeto por la aplicación de los controles establecidos.

Proceso continuo de identificación y seguimiento a los riesgos.

Motivación del potencial humano para el logro de los objetivos.

Respeto e igualdad de oportunidad para todos los trabajadores; y

Respeto por la independencia de la función del OCI y apoyo a las recomendaciones que de ésta se originen

21

Implementación: Integridad y Valores ÉticosEntre otros, para fortalecer y exteriorizar una adecuada Integridad y Valores Éticos, se podrían considerar lo siguiente:El titular y los directivos serán los encargados de

difundir, internalizar y observar que todos en la entidad actúen de acuerdo con valores éticos que representan un sólido fundamento moral.

Dichos valores deberán orientar la conducta de los funcionarios y servidores.

Estos valores van más allá del cumplimiento de disposiciones normativas y tienen que ver con la actuación íntegra.

Dicha integridad radica en hacer lo correcto, es decir lo que está de acuerdo con los principios y que no necesariamente es lo más conveniente para los intereses personales. Es el cumplimiento del deber como misión.

Implica obrar de acuerdo con la normatividad legal, así como con respeto a los compromisos contraídos y honestidad consigo mismo y los demás. En el Cuadro 1 se presenta un ejemplo de valores institucionales que se establece en una organización.

22

Implementación: Estructura OrganizativaEntre otros, para fortalecer y exteriorizar una adecuada Estructura Organizacional, se podrían considerar lo siguiente:Requisitos en la estructura organizacional: Para que la estructura funcione es necesario que cumpla: a) Especificación de las tareas a realizar en cada puesto de trabajo y agrupamiento de las tareas similares y relacionadas en unidades orgánicas de nivel inferior (departamentos); y, b) Fijación de mecanismos de coordinación de las personas entre sí, y entre las unidades o departamentos.

Dimensiones de la estructura organizacional: Existen 3 dimensiones a ser consideradas dentro de la estructura organizacional: a) Cantidad de niveles jerárquicos (complejidad), b) Normas o reglas para acatar las tareas (formalización), y c) Centralización (o descentralización) de la toma de decisiones.

Complejidad de la estructura de la organización: La complejidad se refiere a la cantidad de diferenciación en una organización. Mientras mayores divisiones existan se tendrá como consecuencia, mayores niveles verticales de jerarquía, mayores unidades geográficamente dispersas, siendo más compleja la coordinación entre las personas y sus actividades.

23

Implementación: Asignación de autoridad y responsabilidad

El titular de la entidad definirá las tareas de las unidades orgánicas, funcionarios y servidores, de manera que exista independencia y separación de funciones entre aquellas que resulten incompatibles, se podrá considerar, entre otros, los siguientes puntos de interés para la implementación:

Redacción clara y concisa, que evita dudas en la atribución de funciones y responsabilidades.

Las asignaciones de responsabilidad y autoridad deben estar en directa relación con las decisiones que correspondan a cada puesto, el que deberá contar con un adecuado nivel de información.

Indefectiblemente cada funcionario debe conocer y aplicar integralmente el mandato que le asigna el Manual de Funciones.

Cada persona es responsable por los recursos puestos bajo su custodia, y por los resultados que alcanza con ellos, de forma que la rendición periódica de cuentas debe estar claramente definida.

24

Implementación: Asignación de autoridad y responsabilidad

Toda delegación debe comprender tanto la capacidad de quienes asumen las tareas delegadas como el examen y la aprobación de los mismos por parte de quienes los delegan.

La asignación de responsabilidades a cada persona no debe ser excesiva, de forma tal que imposibilite su cumplimiento.

Si las responsabilidades se encuentran claramente definidas, no existirá el riesgo de que pueda ser evadida o excedida por algún funcionario o empleado. Su definición evita culpar a otros por fallas en la acción o por acciones inapropiadas.

Al delegar autoridad a los empleados, el funcionario tendrá un medio efectivo de control para establecer el cumplimiento de las tareas asignadas. Por su parte, todo empleado debe estar obligado a informar a su superior sobre las tareas ejecutadas y los resultados obtenidos en función a lo que espera lograr.

• Norma General para la Evaluación de Riesgos

25

•Todas las entidades gubernamentales, independientemente de su tamaño, estructura, naturaleza o industria, se encuentran sujetas a riesgos de origen internos o externos en todos los niveles; y, que quizás afecte el cumplimiento de sus objetivos.

•Riesgos son todas aquellos eventos internos o externos que se interponen en el cumplimiento de los objetivos propuestos.

•Las NCI precisan en 1er lugar que debe identificarse los objetivos organizacionales, vinculados y coherentes. Luego debe identificarse y evaluarse los riesgos relevantes que pueden afectar el logro de esos objetivos.

•Los riesgos deben ser administrados, atendiendo a la existencia del medio interno y el externo cambiante.

•De esta evaluación deben surgir los mecanismos de control para minimizar su incidencia.

Norma General para la Evaluación de Riesgos

26

Norma General para la

evaluación de riesgos

1. Planeamiento de la administración de riesgos

2. Identificación de los riesgos

3. La valoración de los riesgos

4. Respuesta al riesgo

27

Guía para Implementación del SCI – Evaluación del Riesgo

Para desarrollar el plan de gestión de riesgos, se requiere designar un equipo de trabajo conformado por personal multidisciplinario, con conocimientos de administración de riesgos. El plan, estará documentado considerando la metodología definida por la entidad; para el establecimiento de su estructura se considerará lo siguiente:Metodología.Roles y responsabilidades.Preparación del presupuesto. Asigna recursos y estima los costos necesarios para la gestión de riesgos.Periodicidad. Define cuándo y con qué frecuencia se realizará el proceso de gestión de riesgos durante el ciclo de vida.Matriz de probabilidad e impacto. Los riesgos se priorizan según sus posibles implicaciones para lograr los objetivos de la entidad. Criterios de evaluación de riesgos. Decidir los criterios con los cuales se va a evaluar el riesgo

28

Implementación: Evaluación del riesgo

29

Implementación: Identificación de los riesgos

•Cuadro 1: Tormenta de ideas 65•Cuadro 2: Técnica Delphi 66•Cuadro 3: Ejemplo de Agenda de entrevista 67•Cuadro 4: Ejemplo de formato para análisis externo 67•Cuadro 5: Ejemplo de formato para análisis interno 68•Cuadro 6: Ejemplo de diagrama de causa – efecto 68•Cuadro 7: Ejemplo de análisis de flujo de procesos 69•Cuadro 8: Ejemplo de formato para inventario de riesgos 70•Cuadro 9: Ejemplo de formato de identificación de riesgos 71•Cuadro 10: Ejemplo de escala cualitativa de probabilidad 72

Identificación de riesgos: Índice de cuadros

30

Implementación: Identificación de los Riesgos

•Cuadro 11: Ejemplo de escala cualitativa de impacto 73 •Cuadro 12 : Ejemplos de escalas cuantitativas de probabilidad e impacto•Cuadro 13: Ejemplo de matriz de probabilidad e impacto 74

•Cuadro 14: Ejemplo de niveles de riesgo 74•Cuadro 15: Criterios de valoración para el riesgo residual 76•Cuadro 16: Ejemplo de matriz de riesgos 77•Cuadro 17: Registro de riesgos 79•Cuadro 18: Matriz de riesgos 80•Cuadro 19: Mapa de situación de riesgo residual 81

31


El proceso de identificación de los riesgos tendrá que ser permanente, interactivo e integrado con el proceso de planeamiento y deberá partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

Herramientas y técnicas de identificación de riesgos, comprende las técnicas de recopilación de información: Tormenta de Ideas, Técnica Delphi, Cuestionarios y encuestas, Entrevistas, Análisis FODA; y, las Técnicas de Diagramación: diagramas de causa y efecto, diagramas de flujo de procesos, inventarios de riesgos.

Clasificación del Riesgo: riesgo estratégico, riesgo operativo, riesgo financiero, riesgos de cumplimiento, riesgos de tecnología.

Registro de Riesgos: definición de riesgos internos y externos y descripción de cada uno de estos y definir los posibles efectos.

32


33


34


35


Clasificación del RiesgoEn la clasificación del riesgo, se debe tener en cuenta lo siguiente:1. Riesgo estratégico: Forma en que se administra la entidad. Se enfoca en asuntos globales: misión y objetivos estratégicos.2. Riesgo operativo: Riesgos operativos y técnicos. Incluye riesgos de deficiencias en los SI, definición de los procesos, estructura organizacional, desarticulación entre dependencias.3. Riesgo Financiero: Riesgos en el manejo de los recursos de la entidad. Incluye, ejecución presupuestal, elaboración de los estados financieros, pagos, manejos de excedentes de tesorería.4. Riesgos de cumplimiento: Asociados con la capacidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.5. Riesgos de tecnología: Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga sus necesidades actuales.

36


Registro de identificación de riesgosPara el análisis de los riesgos, se deberá establecer:

•Un registro de identificación de riesgos, que permite contar con un inventario.

•Definir las causas o factores de riesgo (internos y externos) y describir cada uno de estos.

•Definir los posibles efectos.•Centrarse en los riesgos más significativos relacionados con el desarrollo de los procesos y los objetivos institucionales.

•Conocer en detalle los conceptos siguientes: proceso, subproceso, objetivo del subproceso, causas (factores internos o externos), y efectos ( consecuencias).

37


Valoración de los riesgos•La valoración de los riesgos, se efectuará con base en la información obtenida en el registro de riesgos, elaborado en la etapa de identificación, con el fin de obtener información para determinar el nivel de riesgo y las acciones que se van a implementar. Es importante conocer en detalle los conceptos de: proceso, subproceso, objetivo del subproceso, causas (factores internos o externos), y efectos ( consecuencias)

•Análisis cualitativo: para cada riesgo identificado se evalúa los niveles de probabilidad e impacto

•Análisis cuantitativo: Representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis depende de lo precisas y completas que estén las cifras utilizadas

38


39


40


•Los riesgos pueden ser priorizados para un análisis cuantitativo posterior y para las respuestas posteriores, basándose en su calificación.

•La calificaciones son asignadas a los riesgos basándose en la probabilidad y el impacto evaluados.

•La evaluación de la importancia de cada riesgo y de su prioridad generalmente se realiza usando una matriz de probabilidad e impacto.

•La Matriz de probabilidad e impacto: la matriz especifica combinaciones de probabilidad e impacto que llevan a la calificación de los riesgos como aceptable, tolerable, moderado, importante e inaceptable. Pueden usarse términos descriptivos o valores numéricos, dependiendo de la preferencia de la entidad.

Matriz de probabilidad e impacto

41


42

•Es necesario que por cada riesgo se identifique las medidas ejecutadas para reducirlos o mantenerlos bajo control.

•Medidas de control, son métodos o medios que se utilizarán con el propósito de obtener y analizar información, hechos, circunstancias o de una situación y evaluar su efectividad en cualquier área o proceso (ejem. Observación, inspección, revisión analítica, etc.).


43


Respuesta al riesgo•Evaluados los riesgos, la dirección determinará como responder a ellos

Evitar el riesgo (prevenir el riesgo adverso) Reducir el riesgo (reducir la probabilidad y el

impacto) Compartir o transferir el riesgo (trasladar a un

tercero) Asumir el riesgo (luego de reducido o transferido

puede quedar un riesgo residual)•Seleccionados las respuesta a los riesgos, la dirección debe identificar las actividades de control que permita asegurar que se cumplan las respuestas a los riesgos

•Al seleccionar las actividades de control, la dirección considerará como se relacionan entre sí. Si la entidad lo considera, podrá medir la eficacia de las actividades de control

44


Respuesta al riesgo•El riesgo residual, es aquel que permanece después de que la dirección tome las acciones de control necesarias para reducir la probabilidad y consecuencia del riesgo.

•Puede ser valorado tomando en consideración, los riesgos inicialmente evaluados, contra aquellas respuestas y acciones de control, que minimizaron dicho riesgo.

45

Matriz de riesgos


Herramienta metodológica, que permite hacer un inventario sistemático agrupados por clase o tipo de riesgo ordenado prioritariamente, de acuerdo al nivel de riesgo

46

Caso práctico: Proceso de adquisiciones y contrataciones

1o: Del proceso “Adquisiciones y Contrataciones de Bienes y Servicios” se identifica varios subprocesos, seleccionándose 2:

• Requerimiento de bienes y servicios incluidos en el PAAC• Requerimiento de bienes y servicios no

programados en el PAAC2º: Se identifica las gerencias o unidades orgánicas,

involucradas:• Áreas usuarias• Gerencia de Administración y Finanzas• Departamento de Logística• Oficina de Planeamiento y Desarrollo• Comité Especial• Oficina de Asesoría Jurídica• Gerencia General

3º: Se efectúan reuniones y a través de la tormenta de ideas, se plantea los riesgos que estarían involucrados en los subprocesos. Se determina qué objetivos debe cumplir cada subproceso y qué causas podría originar riesgos; y, se elabora el Registro de Riesgos.

47

Caso práctico: Proceso de adquisiciones y contrataciones

4º: Identificados los riesgos de los subprocesos, se procedió a realizar conjuntamente con las gerencias involucradas la valorización respectiva de los riesgos tomando en cuenta las escalas de probabilidad e impacto establecidas en el presente documento.

5º: Habiendo valorado los riesgos, se procedió a establecer las posibles respuestas y actividades de control que se deberán tomar para la minimización del riesgo, obteniendo finalmente el riesgo residual que la entidad deberá asumir.

Finalmente se elabora la Matriz de Riesgos, que incluía la valoración, respuesta y actividad de control a implementar.

48

Caso práctico: Registro de riesgos

49

Caso práctico: Matriz de riesgos

50

Norma General para las Actividades

de Control Gerencial

1.Procedimientos de autorización y aprobación

2.Segregación de funciones

3.Evaluación costo-beneficio

5.Verificaciones y conciliaciones

6.Evaluación del desempeño

7.Rendición de cuentas

8.Documentación de procesos, activid y tareas

• Norma General para las Actividades de Control Gerencial

4.Controles sobre el acceso a recursos o archivos

9.Revisión de procesos, actividades y tareas

10. Controles para las Tecnologías de la Información y Comunicaciones

51

Implementación: Procedimientos de autorización y registro

Para implantar los procedimientos de autorización y registro, se podría considerar lo siguiente:La Gerencia determinará qué actividades

requiere aprobación sobre la base del nivel de riesgo que asumiría la organización. Así, cada vez que se presente una de estas actividades, deberá aplicarse el procedimiento establecido.

El titular fijará con claridad las líneas de autoridad, los niveles de mando y responsabilidad funcional, los que estarán contenidos en el MAPRO. Los funcionarios ejecutivos delegarán la autoridad necesaria a los niveles inferiores para que éstos puedan tomar decisiones en los procesos y operaciones, cumpliendo con las responsabilidades asignadas.

La Gerencia asegurará que las condiciones y los términos de las autorizaciones estén documentados y sean comunicados en tiempo y forma oportuna. Asimismo, las actividades significativas se aprobarán y ejecutarán por las personas que actúan dentro del alcance de su autoridad.

52

Implementación: Segregación de FuncionesNingún individuo deberá tener control sobre 2 ó más fases de un proceso, actividad o tarea. Permite asegurar que los errores o las irregularidades en las operaciones sean prevenidos o detectados oportunamente en el desarrollo del trabajo. Se podrá considerar:Asignación de responsabilidades a las personas que integran un proceso y que cumplen una función específica: (i) autorización, (ii) procesamiento, (iii) revisión, (iv) control, (v) custodia, (vi) registro de operaciones y (vii) archivo. Estas categorías deben estar separadas, de forma que ningún individuo o sector ejerza más de una de ellas a la vez, y que exista “oposición de intereses”, es decir, un control mutuo.

Una entidad pequeña que no cuente con suficiente personal para aplicar plenamente la segregación de funciones, deberá evitar el riesgo que ello implica por medio de la implementación de otros. Una alternativa, sería la rotación del personal, que contribuiría a que no se concentre por tiempo prolongado una misma actividad en 1sola persona.

53

Implementación: Verificaciones y ConciliacionesConstituyen pruebas cruzadas entre los datos de

fuentes internas diferentes o con otra externa, proporcionando confiabilidad

54

Se deberá establecer documentalmente la manera de llevar a cabo una actividad o un conjunto de actividades, centrándose en la forma en la que se debe trabajar o se deben de hacer las cosas para llevar a cabo una determinada tarea. Con la documentación adecuada de los procesos se logra: Precisión de responsabilidades para la ejecución,

control y evaluación de actividades, con un esquema integral del proceso

Como documento, orienta e inducción al personal que ingresa

Facilidad de implementación del SCI y de medición de gestión

Un primer paso para implementar un SGC Identifica la interrelación con otros procesos Analiza y mide los resultados de la eficacia del

proceso Centra los recursos y métodos en la mejora del

proceso

Implementación: Documentación de procesos, actividades y tareas

• Norma General para la Información y Comunicación

55

•Este conjunto de normas, prevé que se debe identificar, ordenar y comunicar en forma oportuna la información necesaria para que los empleados puedan cumplir con sus obligaciones.

•La información puede ser operativa o financiera, de origen interno o externo.

•Además se prevé que deben existir adecuados canales de comunicación.

•Deben existir normas para que el personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.

Norma General para la Información y Comunicación

56

Norma General para la Información

y Comunicación

1.Funciones y características de la información

2. Información y responsabilidad

3. Calidad y suficiencia de la información

5. Flexibilidad al cambio

6. Archivo institucional

7. Comunicación interna

8. Comunicación externa

4. Los sistemas de información

9. Canales de comunicación

•Los sistemas de información incluyen la captura y el procesamiento de datos, así como el intercambio oportuno de la información resultante de las operaciones realizadas por la entidad permitiendo la conducción y el control de su gestión. Para ello se sugiere considerarse la implementación de políticas de control en la gestión de los sistemas de información Plan de sistemas de información (puede reflejarse en

el Plan Estratégico de la Tecnología de la Información – PETI).

Controles de datos fuentes, de operaciones y de salida (ver cuadro Nº 7 – ejemplos de controles de datos).

Propiedad y autorización de uso de los sistemas de información (para fines estrictamente oficiales y legales).

Controles de acceso, la entidad debe establecer normas para la asignación de cuentas de acceso, incluyendo las medidas de seguridad: claves secretas (contraseñas), controles de acceso a los servidores y sistemas para auditar su uso, la integridad y la seguridad de los datos y comunicaciones que se envían.

57

Implementación: Sistemas de Información

58

• Norma General para la Supervisión

• Estas normas prevén que debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a trabes del tiempo.

• Este proceso debe tener tareas permanentes y revisiones periódicas.

• Estas ultimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de los riesgos que se evalúan.

Norma General para la Supervisión

59

Norma General para la Supervisión

1. Normas básicas para las actividades de Prevención y Monitoreo

- Prevención y monitoreo- Monitoreo oportuno del control interno

3. Normas básicas para los compromisos de mejoramiento

2. Normas básicas para el seguimiento de resultados

- Autoevaluación- Evaluaciones independientes.

- Reporte de deficiencias-Seguimiento e implantación de medidas correctivas

Ilustre Colegio de Abogados de Lima

Documents

Transcript of Ilustre Colegio de Abogados de Lima