AgileFM: modelo de desarrollo ágil formal basado en la ISO ...
SISTEMA DE CONTROL INTERNO BASADO EN ISO …€¦ · SISTEMA DE CONTROL INTERNO BASADO EN ISO ......
Transcript of SISTEMA DE CONTROL INTERNO BASADO EN ISO …€¦ · SISTEMA DE CONTROL INTERNO BASADO EN ISO ......
SISTEMA DE CONTROL INTERNO BASADO EN ISO
31000 – RISK MANAGEMENT PARA GENERAR Y PROTEGER EL
VALOR
Expositor:CPCC ALFONZO MUÑOZ C.
¿QUÉ ES EL RIESGO?
[1] Efecto de la [2] incertidumbreen el logro de los [3] objetivos.
(ISO 31000)
IMF: Ejm.“Pérdida de Ingresos (intereses), capital, e incremento de provisiones, debido a una inadecuada calidad de la evaluación de
la capacidad y voluntad de pago, realizado por los funcionarios de Negocios”
[1] Efecto Desviación, Positiva o Negativa, Respecto a lo previsto
[2] Incertidumbre IN (Negación) y CERTUS (Cierto)
Carencia de conocimiento certero, desconocimiento de una condición futura.
[3] Objetivos a) Otorgar créditos de calidad para asegurarel retorno de la inversión (capital), y la sostenibilidad de la rentabilidad.
¿QUÉ ES EL RIESGO?
EVOLUCIÓN DE LA METODOLOGÍA DEL RIESGO
Esquema del proceso interactivo de Administración Integral del Riesgo: ISO 31000 + ISO 31010 + Basilea II + SOX + ….
Establecer contexto SAR• Externo• Interno• Específico
Definir las Fuentes de Riesgo
Definir las Áreas de Impacto
Riesgo Absoluto (Inherente)
Riesgo con Controles (Residual)
Riesgo con Tratamientos
CO
MU
NIC
AC
IÓN
Y C
ON
SULT
A
PARTESINVOLUCRADAS
Identificar los Riesgos
Implementar Plan de Acción
MO
NITO
REO
Objetivos/Metas(Oportunidades)
CAMBIOS
CONTROL
IMPLEMENTAREPLICA
Reuniones de DirectorioControl Metas/ObjetivosControl Implementación de ProcedimientosAnálisis FinancieroAnálisis de Flujo de Caja
Libro de Actas
PROCESO CREDITICIO
ObjetivoMetaInicio - Final
META
100%
90% (+)
10% (-)
MEDIDAS CORRECTIVAS
PLAN DE NEGOCIOS
PLAN ESTRATÉGICO
PLAN OPERATIVO
INSTRUMENTOS DE GESTIÓN
POLÍTICAS
REGLAMENTOSPROCEDIMIENTOS
INSTRUMENTOS NORMATIVOS
PLANIFICA
INSTRUMENTOS NORMATIVOS
Normas del ProcesoCrediticioNormas del ProcesoOperacional
¿QUÉ SE VA HACER?
EVALUACIÓN DE RIESGOS
IDENTIFICACIÓN
ANÁLISIS
VALORACIÓN
= DEFINIR
=
=
ÁREA DE IMPACTO(consecuencia)
FUENTE DE RIESGO(probabilidad)
ÁREA DE IMPACTO
EVENTOFUENTE
DE RIESGO+ +
PROBABILIDAD IMPACTO SEVERIDAD+ =
ANÁLISIS DE RIESGOS
EVENTOS (factores)
ÁREA DE IMPACTO
(consecuencia)
FUENTE DE RIESGO(causas)
Dinero efectivoDinero BancosPresupuestoActivos fijosCuentas por pagarIngresosGastosSobrecostosRR.HH.PuebloImagen (reputación)
FORMACIÓN ACADÉMICA
EXPERIENCIA
VALORES
RESPALDO ECONÓMICO
CULTURA
FUNCIONARIOS
PROVEEDORES
DIRECTORES
PUEBLO
TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO
Fuente de
Riesgo
Directivos,
Funcionarios
Proveedores
Clientes
Control Preventivo
Área de Impacto
$ Activos, Pasivos,
Patrimonio,
Ingresos, Gastos,
CostosControl Correctivo
PR
OB
AB
ILID
AD
Impacto
5
4
3
2
1
1 2 3 4 5$ 1,000 5,000 50,000 100,000 500,000
FUENTE DE RESGO
Control Interno Preventivo
PERFIL
Valores
Experiencias
Formación Académica
Detectivo / Preventivo
• Inspección en la Evaluación deDesempeño
• Cumplimiento MOF Manual deorganigrama y funciones.
• Cumple metas (%, $)
EVALUACIÓN DE DESEMPEÑO
Control Interno
PR
OC
ESO
DE
SELE
CC
IÓN
DE
PER
SON
AL
DESEM
PEÑ
O D
EL PER
SON
AL
Control en Fuentes de Riesgo
Control en Procesos
Objetivo: Otorgar servicios de salud integral de calidad a la población vulnerable.
Meta: Atender de manera efectiva al 100% de la población vulnerable.
Riesgo: Inadecuados servicios preventivos de salud a la población por parte del Ministerio de Salud.
EJEMPLO – SECTOR SALUD
[1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000)
• Funcionarios• Población• Equipos médicos• Profesionales de la salud
• Funcionarios• Población• Equipos médicos• Profesionales de la salud
Inadecuado Servicio de
salud
FUENTE DE RIESGO ÁREA DE IMPACTOEVENTO
PROCESO: CARTERA DE CRÉDITOSMODELAMIENTO
DEL RIESGO
RIESGO
• Ingresos (intereses)• Capital (otorgado al cliente)• Provisiones (caso no pague)• sobrecostos
ÁREA DE IMPACTO
FUENTES DE RIESGO
Pérdidas de los ingresos, pérdida delcapital e incremento de lasprovisiones, debido a la inadecuadadeterminación de la capacidad yvoluntad de pago, realizado por elfuncionario de negocios.
EVENTOS
•Colusión entre el funcionario de negocio con el cliente falseo de información.•No se realizaron visitas a la fuente generadora de ingresos y unidad familiar.•Manipulación de ingresos y gastos.
•Funcionarios denegocios.•Clientes
TABLA SEMICUANTITATIVA: PROBABILIDAD
RANGO DE
PROBABILIDADPOSIBILIDAD
PROBABILIDAD
MATEMÁTICAFRECUENCIA VALOR
RARA
Puede ocurrir en
circunstancias
excepcionales
<10%Error cada 10.000
operaciones1
IMPROBABLEInsignificante posibilidad
de que el evento ocurra10.1% - 40%
Error cada 1.000
operaciones2
MODERADAAlguna posibilidad de
que el evento ocurra40.1% - 60%
Error cada 100
operaciones3
PROBABLEPosiblemente ocurra
varias vecesa 60.1% y < a 90%
Error cada 10
operaciones4
CASI CERTEZAOcurra la mayoría de
veces> 90%
Error cada 2
operaciones5
TABLA SEMI-CUANTITATIVA: Probabilidad - Ejemplo
RANGO
CONSECUENCIARECURSOS HUMANOS PÉRDIDAS ECONÓMICAS
PÉRDIDAS DE
REPUTACIÓNVALOR
INSIGNIFICANTE
Sin lesiones o lesiones
con incapacidad hasta 3
días
Hata S/ 1,000
Sólo es de
conocimiento del
Consejo
Directivo
1
MENORIncapacidad mayor a 3
días hasta 1 mesEntre S/1,001 a S/. 5,000
De conocimiento
a nivel de la
Empresa.
2
MODERADAIncapacidad mayor a 1
mes hasta 3 mesesEntre S/5,001 a S/50,000
De conocimiento
a nivel Distrital3
MAYORIncapacidad mayor a 3
meses hasta 6 mesesEntre S/ 50,001 a S/.500,000
De conocimiento
a nivel Regional4
CATASTRÓFICA
Pérdida de vidas
humanas
Incapacidad total y
permanente
Más de 6 meses
Mayores a S/500,001De conocimiento
a nivel Nacional5
TABLA SEMI-CUANTITATIVA: Consecuencia - Ejemplo
TIPOS GENERALES DE CONSECUENCIAS
TABLA SEMICUANTITATIVA: CONSECUENCIA
CRITERIOS REQUERIDOS PARA LA VALORACIÓN Y MEDICIÓN DE RIESGOS
Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito
al riesgo / etc.
X = Severidad
Valoración de la Probabilidad
VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD
FACTORESRANGO
EVALUACIÓNPESO PONDERACIÓN PUNTAJE
SENCILLO 1 1
ALGO COMPLEJO 5
MUY COMPLEJO 10 10
NO APLICABLE 0
AUTOMATIZADO 1 10
COMBINADO 5
MANUAL 10 100
NO APLICABLE 0
EXCELENTE 1 1
MODERADA 5
POBRE 10 10
NO APLICABLE 0
MUY COMPLETA 1 5
ACEPTABLE 5
DEFICIENTE 10 50
NO APLICABLE 0
EXCELENTE 1 10
ACEPTABLE 5
DEFICIENTE 10
NO APLICABLE 0 100
PUNTAJE TOTAL FACTORES QUE APLICAN AL ESCENARIO CAUSA DEL RIESGO 270
% PROBABILIDAD (PUNTAJE TOTAL DE LA CAUSA/TOTAL DE PUNTAJE POSIBLE) 270/270 100
COMPLEJIDAD DEL PROCESO
GRADO AUTOMATICACIÓN
CALIDAD COMUNICACIÓN
CALDAD DOCUMENTACIÓN
IDONEIDAD DEL PERSONAL
VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD
GRADO DE AUTOMATIZACIÓN
AUTOMATIZADO Proceso que opera en su totalidad, sin intervención del funcionario.
COMBINADO Actividades que realiza el funcionario con ayuda de un aplicativo.
MANUAL Actividades realizadas manualmente por el funcionario.
IDONEIDAD DEL PERSONAL
EXCELENTE Cumple con el perfil requerido para el cargo, su trabajo es totalmente bueno.
ACEPTABLE Cumple parcialmente con el perfil requerido para el cargo, cumple en buena forma con las obligaciones de su cargo.
DEFICIENTE Comete errores apreciables con frecuencia y requiere supervisión, guía e instrucciones permanentes.
P
r
o
b
a
b
i
l
i
d
a
d
Fuente de
Riesgo
Directivos,
Funcionarios
Proveedores
Clientes
Control Preventivo
Impacto
Área de Impacto
$ Activos, Pasivos,
Patrimonio,
Ingresos, Gastos,
CostosControl Correctivo
5
4
3
2
1
1 2 3 4 5$ 1,000 5,000 50,000 100,000 500,000
(4 x 4 = 16)RIESGO INHERENTE
(2 x 4 = 8)RIESGO CON CONTROL
CoberturaDel Controlcon Tratamiento
CoberturaDel ControlPreventivo
(1 x 4 = 4) RIESGO CON TRATAMIENTO
TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO
MAPA DE RIESGOS INHERENTES
5.Casi certera Alto Alto Extremo Extremo Extremo
4. Probable Moderado Alto Alto Extremo Extremo
3. Moderado Bajo Moderado Alto Extremo Extremo
2. Improbable Bajo Bajo Moderado Alto Extremo
1. Raro Bajo Bajo Moderado Alto Alto
1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrófico
PROBABILIDAD
IMPACTO
R1
R2
R3
¿QUÉ ES EL CONTROL INTERNO?
ISO 31000Medida que modifica el riesgo.
AS/NZSSon las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos.
IIA Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.
PREVENTIVO DETECTIVO/PREVENTIVO
CONTROL INTERNO
FORMACIÓN ACADÉMICA
EXPERIENCIA
VALORES
SELECCIÓN DE PERSONAL
PERFIL
EVALUACIÓN DE DESEMPEÑO
Cumplimiento del Manual de Organización y Funciones (MOF).
Cumplimiento de Metas (%, $)
CONTROLES
95% cumple
5%
Minimiza el riesgo Estructura Organizacional
Proceso deAutomatización
Equipo Médico
Profesionales de Salud
• Valor• Formación académica• Experiencia
Perfil del Puesto
Buen estado:tecnología avanzada
Adecuada al ajuste del entorno de la entidad
Adecuada gestión de procesos automatizados
con control de señales de alerta
VALORACIÓN DEL CONTROL INTERNO
Factores Características Efectividad PesoPonderaci
ón Puntaje
IMPLEMENTACIÓN
Manual 1
3 15Combinado 3
Automatizado / Mecánico 5
EjecuciónDiscretos (Muestreo) 1
1 5De Aplicación Continua 5
Oportunidad
Discrecional 1
2 10Periódicos 3
Continuos 5
Documentación
Sin documentar 1
1 5Parcialmente documentado 3
Documentado 5
Complejidad
Muy Complejo 1
2 10Algo complejo 3
Sencillo 5
RESPONSABILIDAD
Responsabilidad no idóneo 1
3 15Parcialmente algo idóneo 3
Responsabilidad idóneo 5
Puntaje Total 60
Puntaje Máximo tabla = 60 = 100%Efectividad Control
EFECTIVIDAD
DESCRIPCIÓN VALOR
POBRE 10%
INSATISFACTORIO 30%
MODERADA 50%
BUENA 70%
EXCELENTE 90%
VALORACIÓN DE EFICACIA DE CONTROLES
VALORACIÓN DE EFICACIA DE CONTROLES
FACTOR RANGO DETALLE
IMPLEMENTACIÓN
MANUAL
Actividad realizadas manualmente por el funcionario
COMBINADO
Actividad que realiza el funcionario con ayuda de un aplicativo.
AUTOMATIZADO
Proceso que opera en su totalidad sin intervención del funcionario.
RESPONSABILIDAD
RESPONSABLE NO IDONEO
El responsable de ejecutar los controles, no cuenta con el perfil, experiencia y su desempeño es bajo.
RESPONSABLE ALGO IDONEO
El responsable de ejecutar los controles, cumple parcialmente con el perfil y su desempeño se encuentra sobre el promedio.
RESPONSABLE IDONEO
El responsable cumple con ejecutar los controles, cumple con el perfil y sus funciones, su desempeño es aceptable.
CONCLUSIONES
•La Gestión del Riesgo debe ser liderado por el DIRECTORIO/TITULAR
•El Auditor Interno es promotor de cambio
•El proceso de gestión de riesgo es parte de la misma gestión.
•Jerarquizar los riesgos, los controles de mayor cobertura y las fuentes de riesgos de mayor incertidumbre.
•Los controles deben estar orientados a las fuentes del riesgo para minimizar las causas.
•El tratamiento de Recursos Humanos y TI son estratégicos.
AMS CONSULTING
INFORMES E INSCRIPCIONES
Central Telefónica: 460-2385 / 460-2364E-mail: [email protected]@gmail.comwww.amsriskconsulting.com