La implementación de la Administración de Riesgos ...Actividad 1 Unidad A ... 7.1...

La implementación de la Administración de Riesgos Empresariales en el Sistema de Gestión de la Calidad de la Administración Universitaria

1

Antecedentes del SGC de la UNAM

• El Sistema de Gestión fue implementado en el año 2005.

• El Sistema de Gestión de la Calidad de la Administración Universitaria abarca a 130 Secretarias y Unidades Administrativas de la UNAM.

• Anualmente las SyUA´s otorgan un total de 1.2 millones de servicios a la comunidad universitaria al año.

• En el año 2014 la Auditoria Superior de la Federación recomendó a la UNAM la incorporación del marco de control interno COSO 2013 para la administración universitaria; la UNAM decidió utilizar algunos componentes de éste.

Foro Mundial de la Calidad y Gestión para la Mejora 2015

2



3



4

EL MARCO COSO

5Foro Mundial de la Calidad y Gestión para

la Mejora 2015

Introducción

• Comitee of Sponsoring Organizations of the Treadway Commission

• La Treadway Commission fue formada en 1985 por 5 organizaciones privadas en los EEUU.

– American Accounting Association (AAA),

– American Institute of Certified Public Accountants (AICPA),

– Financial Executive Institute (FEI),

– Institute of Internal Auditors (IIA),

– Institute of Management Accountants (IMA).

• En el año 1987 emite un reporte en el que sugiere que se desarrolle un marco general de control interno para ser adoptado en las organizaciones.

• En el año 1992 se emite el Reporte COSO I.


la Mejora 2015

Introducción

• Según COSO ¿Cuáles son los conceptos fundamentales sobre la definición de CONTROL INTERNO?

• Es un proceso: es el medio para alcanzar un fin, no es un fin en sí mismo. Su “eficacia” es un estado o condición en un momento determinado.

• Provee seguridad razonable: el costo del Control Interno no debe de exceder los beneficios.

• En el logro de objetivos:– Eficacia y eficiencia de las operaciones: está relacionada con el uso

eficaz y eficiente de los recursos de la entidad.– Confiabilidad en la preparación de información financiera: se relaciona

con la preparación de estados contables que se presentarán a terceros; se busca que sean confiables.

– Cumplimiento de leyes y normas aplicables: relacionada con el cumplimiento de las leyes y reglamentaciones aplicables.


la Mejora 2015

Componentes de COSO 2013

8

Ambiente de Control

Evaluación del riesgo

Actividades de Control

Información y comunicación

Actividades de Monitoreo

Activid

ad 2

Activid

ad 1

Un

idad

A

Un

idad

B

Los

5 componentes del sistema de control interno

3 objetivos de control

unidades y actividades del la organización

afectan los

y se aplican a todas las


Componentes de COSO 2013 y su alineación con un SGC• El Ambiente de Control es el conjunto de normas, procesos y estructuras que

proporcionan las bases para llevar a cabo el control interno en toda la organización.

• Hay 5 principios relacionados con el ambiente de control:

1. La organización demuestra su compromiso por los valores éticos y de integridad.

2. El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno.

3. La dirección establece, con la supervisión del consejo de administración, las estructuras, las líneas de reporte, las responsabilidades y la autoridad para el logro de los objetivos.

4. La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal.

5. La organización hace responsable a su personal acerca de sus obligaciones para el control interno y el logro de objetivos.


la Mejora 2015

Componentes de COSO 2013 y su alineación con un SGC


10

Principios de COSO 2013 Requisitos de la norma ISO 9001:2008

1) La organización demuestra su compromiso con los valores éticos y de integridad.

5.1 Compromiso de la dirección5.2 Enfoque al cliente5.3 Política de calidad

2) El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno.

5.6 Revisión por la dirección

3) La dirección establece, con la supervisión del consejo de administración, las estructuras, líneas de reporte, responsabilidades y la autoridad para el logro de objetivos.

5.3 Política de calidad5.4 Planificación5.5 Responsabilidad, autoridad y comunicación

4) La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal.

6.2 Recursos humanos6.2.1 Generalidades6.2.2 Competencia, formación y toma de conciencia

5) La organización hace responsable a su personal sobre sus obligaciones para el control interno y el logro de objetivos

5.5 Responsabilidad, autoridad y comunicación

Componentes de COSO 2013 y su alineación con un SGC• La Evaluación del Riesgo involucra un proceso dinámico e interactivo para

identificar y analizar los riesgos para el logro de los objetivos de la organización, formando así las bases para determinar qué riesgos deben ser administrados. La dirección considera los posibles cambios en el ambiente externo y en el modelo de negocios que puedan impedir su habilidad para lograr sus objetivos.

• Hay 4 principios relacionados con la evaluación del riesgo:

1. La organización tiene objetivos claros que permiten la identificación y la administración de los riesgos asociados.

2. La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados.

3. La organización considera el potencial de fraude al momento de evaluar los riesgos.

4. La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno.


la Mejora 2015



12


1) La organización tiene claros que permiten la identificación y la administración de los riesgos asociados.

5.4.1 Objetivos de la calidad5.6 Revisión por la dirección

2) La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados.

7. Realización del producto7.1 Planificación de la realización del producto7.2 Procesos relacionados con el cliente

3) La organización considera el potencial de fraude al momento de evaluar los riesgos.

7. Realización del producto7.1 Planificación de la realización del producto7.2 Procesos relacionados con el cliente

4) La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno

4.2.3 Control de los documentos8.5.1 Mejora continua

Componentes de COSO 2013 y su alineación a un SGC• Las Actividades de Control son las acciones establecidas por las políticas y

procedimientos que le ayudan a la dirección a asegurar el poder mitigar los riesgos que impidan el logro de objetivos. Las actividades de control se llevan a cabo en todos los niveles de la entidad y en todas las etapas de los procesos de negocios y sobre los ambientes de las tecnologías de la información.

• Hay 3 principios relacionados con las actividades de control:

1. La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable.

2. La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos.

3. La organización implementa las actividades de control por medio de los procedimientos

que aseguran que las políticas se están cumpliendo.


la Mejora 2015

Componentes de COSO 2013 y su alineación a un SGC


14


1) La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable.

5.6 Revisión por la dirección7.5.1 Control de la producción y de la prestación del servicio7.5.2 Validación de los procesos de la producción y de la prestación del servicio7.5.3 Identificación y trazabilidad8.4 Análisis de datos

2) La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos.

Fuera del alcance del SGC

3)La organización implementa las actividades de control por medio de los procedimientos que aseguran que las políticas se están cumpliendo.

Procedimientos incluidos dentro del SGC• Personal• Servicios generales• Bienes y suministros• Presupuesto

Componentes de COSO 2013 y su alineación a un SGC• La Información es necesaria para que la entidad lleva a cabo sus responsabilidades

de control interno para el logro de objetivos, las comunicaciones se dan tanto interna como externamente y proveen la información que necesita la entidad para ejecutar los controles día a día; éstas deben proveer al personal con un entendimiento de sus responsabilidades dentro del control interno y del logro de los objetivos

• Hay tres principios relacionados a la información y comunicación:

1. La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno.

2. La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno.

3. La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno.


la Mejora 2015



16


1) La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno.

8.2.3 Seguimiento y medición de los procesos8.4 Análisis de datos

2) La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno.

5.5 Responsabilidad, autoridad y comunicación

3) La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno.

Procedimientos incluidos dentro del SGC• Personal• Servicios generales• Bienes y suministros• Presupuesto

Componentes de COSO 2013 y su alineación a un SGC• Las Actividades de monitoreo son evaluaciones que realiza la organización en

donde evalúa los 5 componentes del control interno para corroborar la eficacia y eficiencia de éstos.

• Hay dos principios relacionados a las actividades de monitoreo:

1. La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización.

2. La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato universitario


la Mejora 2015



18


1) La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización.

8.2.1 Satisfacción del cliente8.2.2 Auditoría interna8.2.3 Seguimiento y medición de los procesos

2) La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato.

8.5.1 Mejora continua8.5.2 Acción correctiva8.5.3 Acción preventiva

IMPLEMENTACIÓN DE LA EVALUACIÓN DE RIESGOS


la Mejora 2015

Implementación de la evaluación de riesgos• La incertidumbre implica riesgos y oportunidades y posee el

potencial de erosionar o aumentar el valor de las organizaciones.

• Eventos: Riesgos y Oportunidades– Los eventos pueden tener un impacto negativo, positivo o de ambos

tipos a la vez. Los que tienen un impacto negativo representan riesgosque pueden impedir la creación de valor o erosionar el valor existente.

– Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que repercutan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas.


la Mejora 2015

Implementación de la evaluación de riesgos

Alinear el riesgo aceptado y la estrategia

•En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos

•Proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.

Reducir las sorpresas y pérdidas operativas

•Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.


la Mejora 2015


Identificar y gestionar la diversidad de riesgos para toda la entidad

• Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización. La administración de riesgos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.

Aprovechar las oportunidades

• Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo.

Mejorar la dotación de recursos

• La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.


la Mejora 2015


• El apetito de riesgo es el máximo nivel de riesgo que la organización está dispuesta a aceptar.– Es una guía en el establecimiento de la estrategia.

– Se expresa como un balance entre: crecimiento, riesgo y el retorno.

– Dirige la asignación de recursos.

– Alinea la organización, el personal, los procesos y la infraestructura.


23

Probabilidad

Impa

cto

Bajo Medio Alto

Baj

o

Med

io

A

lto Excediendo el Apetito de

Riesgo

Dentro del Apetito de

Riesgo


• La tolerancia al riesgo se puede medir preferentemente en las mismas unidades que los objetivos relacionados de la organización.


24

Meta Fijada

Tiempo

Estrategia de negocio

Límite de tolerancia

Desempeño Real

Variación

Inaceptable

Límite de tolerancia

Variación

Inaceptable

Eventos externos

Económicos

•Disponibilidad de capital

•Incumplimiento de créditos

•Seguros

•Liquidez

•Mercado

•Huelgas

Medio ambiente

•Contaminación

•Energía

•Desastres naturales

Políticos

•Cambios gubernamentales

•Legislación externa e interna

•Regulaciones

Tendencias tecnológicas

•Tecnologías emergentes

•Interrupciones

•E-business, E-commerce


la Mejora 2015

Eventos internos

Tecnología

• Datos

• Capacidad

• Sistemas

Personal

• Competencia del personal

• Salud e higiene

• Ética e integridad

Proceso

• Diseño

• Ejecución

• Proveedor

Infraestructura

• Disponibilidad de activos

• Capacidad de activos

• Acceso a capital


la Mejora 2015

Respuesta al riesgo

Evitar el riesgo

• Reducir la expansión de una línea de productos a nuevos mercados

• Vender una división, unidad de negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Compartir el riesgo

• Compra de seguros contra pérdidas inesperadas significativas

• Contratación de outsourcing para procesos del negocio

• Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios

Aceptar el riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Mitigar el riesgo

• Fortalecimiento del control interno en los procesos

• Diversificación de productos

• Establecimiento de límites a las operaciones y monitoreo

• Reasignación de capital entre unidades operativas

Respuesta al riesgo


la Mejora 2015

¿CÓMO SE HIZO EN LA UNAM?


28

Pasos para elaborar un plan de administración de riesgos

Identifique todos los elementos de riesgo

en la operación

Asigne una probabilidad de que

estos sucedan (Cuantitativamente o

Cualitativamente)

Determine el impacto de cada uno de éstos

Prepare una matriz de probabilidad vs

impacto por cada riesgo detectado

Asigne una prioridad para cada riesgo

identificado

Desarrolle una estrategia de

mitigación

Desarrolle planes de contingencia

Analice las eficacia de cada una de las estrategias para mitigar el riesgo

De seguimiento a los riesgos


29


Costo Beneficio• Impacto

• ¿Qué tan malo es si pasa?• Mitigación

• ¿Qué tanto podemos reducir la probabilidad de que suceda?, ¿a qué costo?

• Contingencia• ¿Podemos reducir el impacto?, ¿a qué costo?


30


BA MA AA

BM MM MA

BB BM BA

Pro

bab

ilidad

Impacto


31

Los riesgos a los cuales se les asignaron actividades de control son aquellos catalogados de medios a altos.

Cómo lo integramos en el SGC

• Son diseñados para evitar riesgos, errores o incidentes antes de su ocurrenciaControles preventivos

• Son diseñados para detectar de forma rápida los problemasControles detectivos

• Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos

Controles correctivos


la Mejora 2015


Se identificaron los riesgos y controles por procedimiento

Incorporaron las matrices de riesgos en cada procedimiento

Se desarrolló una matriz de riesgos clave por SyUA´s

La RXD específica incorpora el seguimiento y monitoreo de los riesgos mediante los indicadores y metas

La RXD institucional encuentra los riesgos claves para cada proceso y les da seguimiento por medio de los indicadores y metas


33


• ¿Cómo identificamos un control clave?

– Los controles que cumplen 3 o más de las siguientes aserciones que eviten el logro del objetivo, son considerados un control clave.

• Totalidad

• Exactitud

• Validez

• Acceso restringido


34


35

Línea rectora Objetivos generalesObjetivos de la

calidadProceso Indicador

14. Mejorar las condiciones

de trabajo, seguridad y

bienestar de la comunidad

universitaria

Consolidar el

programa de

mantenimiento,

particularmente el

que se realiza en julio

y diciembre.

6. Mantener la

infraestructura en

condiciones

apropiadas para el

desarrollo de las

funciones sustantivas

Presupuesto

% Recursos utilizados para

conservación de la

infraestructura

Servicios generales

% Mantenimiento realizado

% Planta física conservada

% de trabajos realizados por

cláusula 15

% de trabajadores

favorecidos por cláusula 15

Eficiencia en el ejercicio de

los recursos

Crear acciones

estratégicas para la

protección del

ambiente y de los

recursos naturales en

los espacios

universitarios;

impulsar un proyecto

para el manejo de

residuos sólidos, así

como previsiones en

materia de

bioseguridad.

7. Contribuir a la

protección del medio

ambiente

Bienes y suministros

% de artículos, materiales y

útiles diversos de bajo

impacto ambiental

adquiridos.

Servicios generales% de lámparas fluorescentes

reemplazadas

Alineación de los objetivos Institucionales con los objetivos de calidad que son medibles a nivel SyUAs



Se incluyeron los siguientes puntos en los procedimientos:

• Controles identificados en cada etapa del proceso.

• Matrices de riesgo incorporadas al procedimiento.

• Los controles están diseñados para poder identificar posibles riesgos de fraude. (Ej. cumplimiento de la normatividad universitaria)

• Los controles ayudan a mitigar el riesgo de servicios no conformes.


la Mejora 2015


• Diseño de la matriz cubre

– Descripción del control

– Riesgos identificados por control

– Clasificación del riesgo (Probabilidad e impacto)

– Clasificación del control

• Operativo

• Económico

• Normativo, etc.

– Tipo de control

• Preventivo

• Detectivo

• Correctivo


la Mejora 2015



38



39

Servicio no conforme

Riesgos: afectar las labores de docencia, investigación y difusión de la cultura



40

Alta probabilidad de que se materialice el riesgo



41

Tolerancia al riesgo

Fuera de la tolerancia

Recomendaciones

1. Todos los niveles de la organización deben estar conscientes de la importancia de la administración de riesgo.

2. Los riesgos deben ser identificados por un equipo interdisciplinario.

3. Deben monitorearse continuamente ya que éstos se modifican en el tiempo.

4. La administración de riesgos debe ser parte de la planeación estratégicade la organización.

5. Capacitar, capacitar y capacitar.


42

Datos de contacto

Mtro. Ricardo Adolfo Vidal Castro

Dirección General de Servicios Administrativos / Dirección de planeación y gestión de la calidad

Teléfono (55) 56229698

Email: [email protected]


43

La implementación de la Administración de Riesgos ...Actividad 1 Unidad A ... 7.1...

Documents

Transcript of La implementación de la Administración de Riesgos ...Actividad 1 Unidad A ... 7.1...