SISTEMA DE CONTROL INTERNO BASADO EN ISO

31000 – RISK MANAGEMENT PARA GENERAR Y PROTEGER EL

VALOR

Expositor:CPCC ALFONZO MUÑOZ C.

alfonzo.munoz@gmail.com

¿QUÉ ES EL RIESGO?

[1] Efecto de la [2] incertidumbreen el logro de los [3] objetivos.

(ISO 31000)

IMF: Ejm.“Pérdida de Ingresos (intereses), capital, e incremento de provisiones, debido a una inadecuada calidad de la evaluación de

la capacidad y voluntad de pago, realizado por los funcionarios de Negocios”

[1] Efecto Desviación, Positiva o Negativa, Respecto a lo previsto

[2] Incertidumbre IN (Negación) y CERTUS (Cierto)

Carencia de conocimiento certero, desconocimiento de una condición futura.

[3] Objetivos a) Otorgar créditos de calidad para asegurarel retorno de la inversión (capital), y la sostenibilidad de la rentabilidad.

¿QUÉ ES EL RIESGO?

EVOLUCIÓN DE LA METODOLOGÍA DEL RIESGO

Esquema del proceso interactivo de Administración Integral del Riesgo: ISO 31000 + ISO 31010 + Basilea II + SOX + ….

Establecer contexto SAR• Externo• Interno• Específico

Definir las Fuentes de Riesgo

Definir las Áreas de Impacto

Riesgo Absoluto (Inherente)

Riesgo con Controles (Residual)

Riesgo con Tratamientos

CO

MU

NIC

AC

IÓN

Y C

ON

SULT

A

PARTESINVOLUCRADAS

Identificar los Riesgos

Implementar Plan de Acción

MO

NITO

REO

Objetivos/Metas(Oportunidades)

CAMBIOS

CONTROL

IMPLEMENTAREPLICA

Reuniones de DirectorioControl Metas/ObjetivosControl Implementación de ProcedimientosAnálisis FinancieroAnálisis de Flujo de Caja

Libro de Actas

PROCESO CREDITICIO

ObjetivoMetaInicio - Final

META

100%

90% (+)

10% (-)

MEDIDAS CORRECTIVAS

PLAN DE NEGOCIOS

PLAN ESTRATÉGICO

PLAN OPERATIVO

INSTRUMENTOS DE GESTIÓN

POLÍTICAS

REGLAMENTOSPROCEDIMIENTOS

INSTRUMENTOS NORMATIVOS

PLANIFICA

INSTRUMENTOS NORMATIVOS

Normas del ProcesoCrediticioNormas del ProcesoOperacional

¿QUÉ SE VA HACER?

EVALUACIÓN DE RIESGOS

IDENTIFICACIÓN

ANÁLISIS

VALORACIÓN

= DEFINIR

=

=

ÁREA DE IMPACTO(consecuencia)

FUENTE DE RIESGO(probabilidad)

ÁREA DE IMPACTO

EVENTOFUENTE

DE RIESGO+ +

PROBABILIDAD IMPACTO SEVERIDAD+ =

ANÁLISIS DE RIESGOS

EVENTOS (factores)

ÁREA DE IMPACTO

(consecuencia)

FUENTE DE RIESGO(causas)

Dinero efectivoDinero BancosPresupuestoActivos fijosCuentas por pagarIngresosGastosSobrecostosRR.HH.PuebloImagen (reputación)

FORMACIÓN ACADÉMICA

EXPERIENCIA

VALORES

RESPALDO ECONÓMICO

CULTURA

FUNCIONARIOS

PROVEEDORES

DIRECTORES

PUEBLO

TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO

Fuente de

Riesgo

Directivos,

Funcionarios

Proveedores

Clientes

Control Preventivo

Área de Impacto

$ Activos, Pasivos,

Patrimonio,

Ingresos, Gastos,

CostosControl Correctivo

PR

OB

AB

ILID

AD

Impacto

5

4

3

2

1

1 2 3 4 5$ 1,000 5,000 50,000 100,000 500,000

FUENTE DE RESGO

Control Interno Preventivo

PERFIL

Valores

Experiencias

Formación Académica

Detectivo / Preventivo

• Inspección en la Evaluación deDesempeño

• Cumplimiento MOF Manual deorganigrama y funciones.

• Cumple metas (%, $)

EVALUACIÓN DE DESEMPEÑO

Control Interno

PR

OC

ESO

DE

SELE

CC

IÓN

DE

PER

SON

AL

DESEM

PEÑ

O D

EL PER

SON

AL

Control en Fuentes de Riesgo

Control en Procesos

Objetivo: Otorgar servicios de salud integral de calidad a la población vulnerable.

Meta: Atender de manera efectiva al 100% de la población vulnerable.

Riesgo: Inadecuados servicios preventivos de salud a la población por parte del Ministerio de Salud.

EJEMPLO – SECTOR SALUD

[1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000)

• Funcionarios• Población• Equipos médicos• Profesionales de la salud

• Funcionarios• Población• Equipos médicos• Profesionales de la salud

Inadecuado Servicio de

salud

FUENTE DE RIESGO ÁREA DE IMPACTOEVENTO

PROCESO: CARTERA DE CRÉDITOSMODELAMIENTO

DEL RIESGO

RIESGO

• Ingresos (intereses)• Capital (otorgado al cliente)• Provisiones (caso no pague)• sobrecostos

ÁREA DE IMPACTO

FUENTES DE RIESGO

Pérdidas de los ingresos, pérdida delcapital e incremento de lasprovisiones, debido a la inadecuadadeterminación de la capacidad yvoluntad de pago, realizado por elfuncionario de negocios.

EVENTOS

•Colusión entre el funcionario de negocio con el cliente falseo de información.•No se realizaron visitas a la fuente generadora de ingresos y unidad familiar.•Manipulación de ingresos y gastos.

•Funcionarios denegocios.•Clientes

TABLA SEMICUANTITATIVA: PROBABILIDAD

RANGO DE

PROBABILIDADPOSIBILIDAD

PROBABILIDAD

MATEMÁTICAFRECUENCIA VALOR

RARA

Puede ocurrir en

circunstancias

excepcionales

<10%Error cada 10.000

operaciones1

IMPROBABLEInsignificante posibilidad

de que el evento ocurra10.1% - 40%

Error cada 1.000

operaciones2

MODERADAAlguna posibilidad de

que el evento ocurra40.1% - 60%

Error cada 100

operaciones3

PROBABLEPosiblemente ocurra

varias vecesa 60.1% y < a 90%

Error cada 10

operaciones4

CASI CERTEZAOcurra la mayoría de

veces> 90%

Error cada 2

operaciones5

TABLA SEMI-CUANTITATIVA: Probabilidad - Ejemplo

RANGO

CONSECUENCIARECURSOS HUMANOS PÉRDIDAS ECONÓMICAS

PÉRDIDAS DE

REPUTACIÓNVALOR

INSIGNIFICANTE

Sin lesiones o lesiones

con incapacidad hasta 3

días

Hata S/ 1,000

Sólo es de

conocimiento del

Consejo

Directivo

1

MENORIncapacidad mayor a 3

días hasta 1 mesEntre S/1,001 a S/. 5,000

De conocimiento

a nivel de la

Empresa.

2

MODERADAIncapacidad mayor a 1

mes hasta 3 mesesEntre S/5,001 a S/50,000

De conocimiento

a nivel Distrital3

MAYORIncapacidad mayor a 3

meses hasta 6 mesesEntre S/ 50,001 a S/.500,000

De conocimiento

a nivel Regional4

CATASTRÓFICA

Pérdida de vidas

humanas

Incapacidad total y

permanente

Más de 6 meses

Mayores a S/500,001De conocimiento

a nivel Nacional5

TABLA SEMI-CUANTITATIVA: Consecuencia - Ejemplo

TIPOS GENERALES DE CONSECUENCIAS

TABLA SEMICUANTITATIVA: CONSECUENCIA

CRITERIOS REQUERIDOS PARA LA VALORACIÓN Y MEDICIÓN DE RIESGOS

Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito

al riesgo / etc.

X = Severidad

Valoración de la Probabilidad

VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD

FACTORESRANGO

EVALUACIÓNPESO PONDERACIÓN PUNTAJE

SENCILLO 1 1

ALGO COMPLEJO 5

MUY COMPLEJO 10 10

NO APLICABLE 0

AUTOMATIZADO 1 10

COMBINADO 5

MANUAL 10 100

NO APLICABLE 0

EXCELENTE 1 1

MODERADA 5

POBRE 10 10

NO APLICABLE 0

MUY COMPLETA 1 5

ACEPTABLE 5

DEFICIENTE 10 50

NO APLICABLE 0

EXCELENTE 1 10

ACEPTABLE 5

DEFICIENTE 10

NO APLICABLE 0 100

PUNTAJE TOTAL FACTORES QUE APLICAN AL ESCENARIO CAUSA DEL RIESGO 270

% PROBABILIDAD (PUNTAJE TOTAL DE LA CAUSA/TOTAL DE PUNTAJE POSIBLE) 270/270 100

COMPLEJIDAD DEL PROCESO

GRADO AUTOMATICACIÓN

CALIDAD COMUNICACIÓN

CALDAD DOCUMENTACIÓN

IDONEIDAD DEL PERSONAL

VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD

GRADO DE AUTOMATIZACIÓN

AUTOMATIZADO Proceso que opera en su totalidad, sin intervención del funcionario.

COMBINADO Actividades que realiza el funcionario con ayuda de un aplicativo.

MANUAL Actividades realizadas manualmente por el funcionario.

IDONEIDAD DEL PERSONAL

EXCELENTE Cumple con el perfil requerido para el cargo, su trabajo es totalmente bueno.

ACEPTABLE Cumple parcialmente con el perfil requerido para el cargo, cumple en buena forma con las obligaciones de su cargo.

DEFICIENTE Comete errores apreciables con frecuencia y requiere supervisión, guía e instrucciones permanentes.

P

r

o

b

a

b

i

l

i

d

a

d

Fuente de

Riesgo

Directivos,

Funcionarios

Proveedores

Clientes

Control Preventivo

Impacto

Área de Impacto

$ Activos, Pasivos,

Patrimonio,

Ingresos, Gastos,

CostosControl Correctivo

5

4

3

2

1

1 2 3 4 5$ 1,000 5,000 50,000 100,000 500,000

(4 x 4 = 16)RIESGO INHERENTE

(2 x 4 = 8)RIESGO CON CONTROL

CoberturaDel Controlcon Tratamiento

CoberturaDel ControlPreventivo

(1 x 4 = 4) RIESGO CON TRATAMIENTO

TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO

MAPA DE RIESGOS INHERENTES

5.Casi certera Alto Alto Extremo Extremo Extremo

4. Probable Moderado Alto Alto Extremo Extremo

3. Moderado Bajo Moderado Alto Extremo Extremo

2. Improbable Bajo Bajo Moderado Alto Extremo

1. Raro Bajo Bajo Moderado Alto Alto

1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrófico

PROBABILIDAD

IMPACTO

R1

R2

R3

¿QUÉ ES EL CONTROL INTERNO?

ISO 31000Medida que modifica el riesgo.

AS/NZSSon las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos.

IIA Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.

PREVENTIVO DETECTIVO/PREVENTIVO

CONTROL INTERNO

FORMACIÓN ACADÉMICA

EXPERIENCIA

VALORES

SELECCIÓN DE PERSONAL

PERFIL

EVALUACIÓN DE DESEMPEÑO

Cumplimiento del Manual de Organización y Funciones (MOF).

Cumplimiento de Metas (%, $)

CONTROLES

95% cumple

5%

Minimiza el riesgo Estructura Organizacional

Proceso deAutomatización

Equipo Médico

Profesionales de Salud

• Valor• Formación académica• Experiencia

Perfil del Puesto

Buen estado:tecnología avanzada

Adecuada al ajuste del entorno de la entidad

Adecuada gestión de procesos automatizados

con control de señales de alerta

VALORACIÓN DEL CONTROL INTERNO

Factores Características Efectividad PesoPonderaci

ón Puntaje

IMPLEMENTACIÓN

Manual 1

3 15Combinado 3

Automatizado / Mecánico 5

EjecuciónDiscretos (Muestreo) 1

1 5De Aplicación Continua 5

Oportunidad

Discrecional 1

2 10Periódicos 3

Continuos 5

Documentación

Sin documentar 1

1 5Parcialmente documentado 3

Documentado 5

Complejidad

Muy Complejo 1

2 10Algo complejo 3

Sencillo 5

RESPONSABILIDAD

Responsabilidad no idóneo 1

3 15Parcialmente algo idóneo 3

Responsabilidad idóneo 5

Puntaje Total 60

Puntaje Máximo tabla = 60 = 100%Efectividad Control

EFECTIVIDAD

DESCRIPCIÓN VALOR

POBRE 10%

INSATISFACTORIO 30%

MODERADA 50%

BUENA 70%

EXCELENTE 90%

VALORACIÓN DE EFICACIA DE CONTROLES

VALORACIÓN DE EFICACIA DE CONTROLES

FACTOR RANGO DETALLE

IMPLEMENTACIÓN

MANUAL

Actividad realizadas manualmente por el funcionario

COMBINADO

Actividad que realiza el funcionario con ayuda de un aplicativo.

AUTOMATIZADO

Proceso que opera en su totalidad sin intervención del funcionario.

RESPONSABILIDAD

RESPONSABLE NO IDONEO

El responsable de ejecutar los controles, no cuenta con el perfil, experiencia y su desempeño es bajo.

RESPONSABLE ALGO IDONEO

El responsable de ejecutar los controles, cumple parcialmente con el perfil y su desempeño se encuentra sobre el promedio.

RESPONSABLE IDONEO

El responsable cumple con ejecutar los controles, cumple con el perfil y sus funciones, su desempeño es aceptable.

CONCLUSIONES

•La Gestión del Riesgo debe ser liderado por el DIRECTORIO/TITULAR

•El Auditor Interno es promotor de cambio

•El proceso de gestión de riesgo es parte de la misma gestión.

•Jerarquizar los riesgos, los controles de mayor cobertura y las fuentes de riesgos de mayor incertidumbre.

•Los controles deben estar orientados a las fuentes del riesgo para minimizar las causas.

•El tratamiento de Recursos Humanos y TI son estratégicos.

AMS CONSULTING

INFORMES E INSCRIPCIONES

Central Telefónica: 460-2385 / 460-2364E-mail: contacto@amsriskconsulting.comcontactoamsrisk@gmail.comwww.amsriskconsulting.com