1 Capacitación Ejecutiva: «El Control Interno Bajo un Enfoque de Riesgos»Expositor: Francisco Giglio M. Setiembre 2016
2 Evolución de la Regulación en Control Interno y Gestión de Riesgos- Reglamento para el requerimiento de Patrimonio Efectivo por RO - Reglamento para la Gestión de RO - Circular sobre GCN - Circular sobre GSI 1998 2002 2004 Gestión Integral de Riesgos Res. BS 2009 2016 BASILEA 2006 2008 Res. SBS 006–2002 Circular SBS G Res. De Contraloría CG / Directiva CG/GPROD Guía para la Implementación del Control Interno - Ley de Control Interno Ley N° 28716 COSO II Gestión de Riesgos Operativos - Marco Integrado - Nomas de Control Interno RC CG Normas técnicas de Control Interno CGR
3 Marco para la implementación del SCIEn 2015 Corporación FONAFE publicó las directivas y normas que rigen el accionar del Sistema de Control Interno para las empresas bajo su administración, adoptando el Marco COSO Ello resalta aspectos como: Diagnóstico de su situación actual a través del uso de herramientas específicas Implementación a través de un esquema de gobierno y adecuación a un enfoque basado en riesgos Desarrollo de programas de concientización y capacitación Por otro lado, la Contraloría General de la República publicó el presente 2016 una actualización de las Normas de Control Interno en entidades del Estado, basado en el Marco Metodológico antes referido. Como conclusión ambas regulaciones son consistentes y la presente actividad tiene por propósito resaltar los aspectos que deben tenerse en cuenta para su adecuada implementación.
4 Agenda El Control Interno en el ámbito empresarialDate Agenda El Control Interno en el ámbito empresarial La Gestión del Riesgo Equilibrio entre la Gestión y Control Implementación del Control Interno Bajo un Enfoque de Riesgos Modelo de 3 Líneas de Defensa 1 Borrador sujeto a modificación
5 El Control Interno en el Ámbito EmpresarialMuy buenos días con todos. Bienvenidos a este primer taller sobre Gobierno Corporativo y Control interno que desarrollaremos en las próximas tres horas en esta y en otras sesiones programadas en los próximos meses. Este taller es un complemento del Toyota Way y el Toyota Value porque buscamos algo que es muy importante “Generar Valor Agregado”. En la práctica del Toyota Way y el Toyota Value generamos un valor diferenciado que nos hace más competitivos, más preferidos por nuestros clientes que se traduce en incremento de los niveles de producción y ventas a nivel global, regional y local. Del mismo modo, en la práctica de un Buen Gobierno Corporativo generamos un valor agregado que nos da un trato diferenciado en el mercado financiero y que eleva el valor de las acciones cotizadas en bolsa. Alguien de ustedes puede decir: Para qué sirve todo esto si nosotros somos una empresa muy pequeña, no cotizamos en bolsa, no necesitamos obtener ninguna ventaja del sistema financiero por nosotros mismos porque en cuanto decimos que somos filiales de TMC y MBK, dos empresas muy poderosas en el mundo, todos los bancos nos abren las puertas de par en par. Todo este razonamiento es interesante y puede ser motivo de discusión más adelante cuando profundicemos un poco más en el tema. Piensen en ello y veamos después con la participación de todos que tan cierto es este razonamiento. Quiero presentarles al Sr. Armando Villacorta, él es un consultor experto en el tema que voy a invitarlo a presentarse a nuestro estilo. Al igual que en el TW y el TV, Armando va a oficiar de facilitador de este taller, el que les hable va a ser su ayudante, ambos trataremos de que al final del taller todos entendamos un poco más sobre este tema. 2
6 ¿Qué es el Control en el ámbito empresarial?El control se define como “la medición y corrección del desempeño, a fin de garantizar que se ha cumplido los objetivos de la entidad y los planes ideados para alcanzarlos”. 3
7 Definición de Control InternoEs un proceso que involucra a todos los integrantes de la organización sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías: Eficacia y eficiencia de las operaciones (O) Fiabilidad de la información financiera (F) Cumplimiento de las leyes y normas que son aplicables(C) Estas tres categorías se interrelacionan entre sí. 4
8 CONTROL INTERNO ADMINISTRATIVOControl Interno establecido para asegurar que: Para alcanzar metas CONTROL INTERNO ADMINISTRATIVO Para verificar información CONTROL INTERNO CONTABLE 5
9 ¿Qué es el Control Interno?Evaluaciones Autorizaciones Publicaciones internas Reportes de desempeño Conciliaciones Bancarias Supervisión Planes de inversión Reuniones Gerenciales Encuestas de Salarios Tomas de Inventario A medida que los controles aparecen en la lámina, hable de una muestra representativa de ellos y otra vez haga énfasis en que un control es cualquier cosa que se hace para manejar los riesgos de no-lograr los objetivos del negocio. Obtenga de los participantes otros ejemplos de controles, enfocándose en controles no financieros/no tradicionales donde sea posible. [Mouse-click -> próxima lámina: Así que quién es responsable de diseñar y mantener el ambiente del control?...] Inspecciones de calidad Resultados claves por área Visitas a clientes Planes de producción 6
10 Actualmente Control es…… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados. … Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos y metas. 7
11 Tipos de control Se diseñan para cumplir varias funciones.Preventivos: Anticipan eventos no deseados antes de que sucedan Detectivos: Identifican los eventos en el momento en que se presentan Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado. Directivos: es el que posibilita monitorear los resultados de la empresa en su conjunto y de las diferentes áreas clave en que se puede segmentarla. Esta mas orientado al seguimiento de indicadores de los resultados internos de la empresa en su conjunto y en el corto plazo. 8
12 Compensación de ControlDirectivos Preventivos Correctivos Detectivos La organización aplica los cuatro tipos de control, compensándolos adecuadamente. 9
13 Eliminando probabilidades no posibilidadesNingún sistema de control elimina la posibilidad de error Los controles son diseñados y ejecutados por el personal Las personas son falibles y están sujetas a presión Nunca se puede eliminar completamente la posibilidad de error 10
14 C.O.S.O. 2013 Control Interno ¿Qué dice COSO 2013 sobre esto?Errores & Omisiones Ineficiencias Desastres Fraudes Violaciones Control Interno Control Interno provee sólo de certeza razonable, no absoluta, a la gerencia y el Directorio. 11
15 Gestión del Riesgo EmpresarialMuy buenos días con todos. Bienvenidos a este primer taller sobre Gobierno Corporativo y Control interno que desarrollaremos en las próximas tres horas en esta y en otras sesiones programadas en los próximos meses. Este taller es un complemento del Toyota Way y el Toyota Value porque buscamos algo que es muy importante “Generar Valor Agregado”. En la práctica del Toyota Way y el Toyota Value generamos un valor diferenciado que nos hace más competitivos, más preferidos por nuestros clientes que se traduce en incremento de los niveles de producción y ventas a nivel global, regional y local. Del mismo modo, en la práctica de un Buen Gobierno Corporativo generamos un valor agregado que nos da un trato diferenciado en el mercado financiero y que eleva el valor de las acciones cotizadas en bolsa. Alguien de ustedes puede decir: Para qué sirve todo esto si nosotros somos una empresa muy pequeña, no cotizamos en bolsa, no necesitamos obtener ninguna ventaja del sistema financiero por nosotros mismos porque en cuanto decimos que somos filiales de TMC y MBK, dos empresas muy poderosas en el mundo, todos los bancos nos abren las puertas de par en par. Todo este razonamiento es interesante y puede ser motivo de discusión más adelante cuando profundicemos un poco más en el tema. Piensen en ello y veamos después con la participación de todos que tan cierto es este razonamiento. Quiero presentarles al Sr. Armando Villacorta, él es un consultor experto en el tema que voy a invitarlo a presentarse a nuestro estilo. Al igual que en el TW y el TV, Armando va a oficiar de facilitador de este taller, el que les hable va a ser su ayudante, ambos trataremos de que al final del taller todos entendamos un poco más sobre este tema. 12
16 ¿Qué entendemos por RIESGO?¿Como definimos el “Riesgo”? ¿Qué entendemos por RIESGO? ¿Por qué es importante? FACTORES INTERNOS OPERACIONES COMUNICACIONES ADMINISTRACIÓN ¿Cualquier evento que puede afectar la consecuencia de los objetivos?... 13
17 ¿Qué entendemos por RIESGO?¿Como definimos el “Riesgo”? ¿Qué entendemos por RIESGO? ¿Por qué es importante? FACTORES EXTERNOS SOBORNO INTRUSIONES TRANSPORTE ¿Cualquier evento que puede afectar la consecuencia de los objetivos?... 14
18 ¿Qué entendemos por RIESGO?¿Como definimos el “Riesgo”? ¿Qué entendemos por RIESGO? ¿Por qué es importante? El Riesgo es cualquier evento posible desfavorable para el logro de los objetivos gestionables en su frecuencia e impacto Institucional : positivo aplicarlo Importancia Profesional : interacción con clientes Individual : Toma de decisiones 15
19 BIENVENIDOS ¿Como definimos el “Riesgo”? 16 Muy buenos días con todos.Bienvenidos a este primer taller sobre Gobierno Corporativo y Control interno que desarrollaremos en las próximas tres horas en esta y en otras sesiones programadas en los próximos meses. Este taller es un complemento del Toyota Way y el Toyota Value porque buscamos algo que es muy importante “Generar Valor Agregado”. En la práctica del Toyota Way y el Toyota Value generamos un valor diferenciado que nos hace más competitivos, más preferidos por nuestros clientes que se traduce en incremento de los niveles de producción y ventas a nivel global, regional y local. Del mismo modo, en la práctica de un Buen Gobierno Corporativo generamos un valor agregado que nos da un trato diferenciado en el mercado financiero y que eleva el valor de las acciones cotizadas en bolsa. Alguien de ustedes puede decir: Para qué sirve todo esto si nosotros somos una empresa muy pequeña, no cotizamos en bolsa, no necesitamos obtener ninguna ventaja del sistema financiero por nosotros mismos porque en cuanto decimos que somos filiales de TMC y MBK, dos empresas muy poderosas en el mundo, todos los bancos nos abren las puertas de par en par. Todo este razonamiento es interesante y puede ser motivo de discusión más adelante cuando profundicemos un poco más en el tema. Piensen en ello y veamos después con la participación de todos que tan cierto es este razonamiento. Quiero presentarles al Sr. Armando Villacorta, él es un consultor experto en el tema que voy a invitarlo a presentarse a nuestro estilo. Al igual que en el TW y el TV, Armando va a oficiar de facilitador de este taller, el que les hable va a ser su ayudante, ambos trataremos de que al final del taller todos entendamos un poco más sobre este tema. 16
20 ¿Como definimos el “Riesgo”?Para construir valor, la gerencia debe evaluar correctamente el riesgo inherente en sus decisiones - el "ensayo y error" serán fatales Crecimiento Valor/$ Utilidad 17
21 ¿Cuál es la relación entre el Control Interno y la Gestión de la Organización?Muy buenos días con todos. Bienvenidos a este primer taller sobre Gobierno Corporativo y Control interno que desarrollaremos en las próximas tres horas en esta y en otras sesiones programadas en los próximos meses. Este taller es un complemento del Toyota Way y el Toyota Value porque buscamos algo que es muy importante “Generar Valor Agregado”. En la práctica del Toyota Way y el Toyota Value generamos un valor diferenciado que nos hace más competitivos, más preferidos por nuestros clientes que se traduce en incremento de los niveles de producción y ventas a nivel global, regional y local. Del mismo modo, en la práctica de un Buen Gobierno Corporativo generamos un valor agregado que nos da un trato diferenciado en el mercado financiero y que eleva el valor de las acciones cotizadas en bolsa. Alguien de ustedes puede decir: Para qué sirve todo esto si nosotros somos una empresa muy pequeña, no cotizamos en bolsa, no necesitamos obtener ninguna ventaja del sistema financiero por nosotros mismos porque en cuanto decimos que somos filiales de TMC y MBK, dos empresas muy poderosas en el mundo, todos los bancos nos abren las puertas de par en par. Todo este razonamiento es interesante y puede ser motivo de discusión más adelante cuando profundicemos un poco más en el tema. Piensen en ello y veamos después con la participación de todos que tan cierto es este razonamiento. Quiero presentarles al Sr. Armando Villacorta, él es un consultor experto en el tema que voy a invitarlo a presentarse a nuestro estilo. Al igual que en el TW y el TV, Armando va a oficiar de facilitador de este taller, el que les hable va a ser su ayudante, ambos trataremos de que al final del taller todos entendamos un poco más sobre este tema. 18
22 … problema entre la gestión y el control a nivel gerencialAlto Riesgo Administrado Logro de Objetivos Ineficacia por exposición Ineficacia por controles Ineficacia por controles Bajo Desinformado Gerenciado Obsesionado Controles + 19
23 Relación entre Gestión y ControlLos fundamentos de la ejecución de la auditoría interna en el sector privado y en el sector público son los mismos, y el mejor enfoque para los dos sectores es la auditoría basada en riesgos, como se menciona en el MIPP Sin embargo, siempre debe tenerse en cuenta las diferencias específicas entre los dos sectores mencionados, empezando por sus principales objetivos que usualmente y en términos generales se enfocan: en la rentabilidad en el sector privado y en el servicio en el sector público Objetivos Controles para alcanzar los objetivos Riesgos Controles Los controles para mitigar/ evitar los riesgos 20
24 Relación entre Gestión y ControlAlerta: excesivo énfasis en el Control descuidando la Gestión incrementa el riesgo de ineficiencia e inefectividad. Alerta: excesivo énfasis en la Gestión (eficiencia y efectividad) descuidando Controles incrementa el riesgo de errores e irregularidades Algunas organizaciones (en el sector privado y en el sector público) creen que los controles solo existen para “evitar lo que no se quiere”, perdiéndose la mitad del potencial de los “controles”. GESTIÓN CONTROL (eficiencia y efectividad) (Riesgo y Control) Eficiencia = Buen Uso de Recursos Efectividad = Nivel en que se alcanza los resultados Riesgo = Evento que podría impedir el logro de un objetivo Control = Políticas y procedimientos para (enfoques): (+) Alcanzar lo que SI se quiere ( - ) Evitar lo que NO se quiere 21
25 Relación entre Gestión y Control• Cuando la balanza está desbalanceada hacia el lado de la gestión se afecta el control, cuando esto pasa es usualmente en el sector privado (por ejemplo: lo único importante es vender, mejores y más rápidas ventas, alcanzar los resultados, el precio de la acción, etc.) • Cuando la balanza está desbalanceada hacia el lado del control se afecta la gestión, cuando esto pasa es usualmente en el sector público (por ejemplo: muchas aprobaciones, muchas firmas, revisiones excesivas, burocracia, etc.). Y lo que es peor es que algunas veces son falsos controles, creando una falsa seguridad, “cuando todos revisan todo, en realidad nadie revisa nada” Ausencia de controles Controles innecesarios 22
26 Relación entre Gestión y ControlEficiencia & Efectividad Control Riesgo & Control Gerencia y auditoría deberían trabajar de acuerdo a sus roles en los dos lados de la balanza, sin embargo a veces ellos prefieren/deciden trabajar solo en un lado, y cuando esto pasa es usualmente de esta manera: • GERENCIA.- extremadamente enfocado en gestión sin considerar controles • AUDITORÍA.- extremadamente enfocado en controles sin considerar gestión 23
27 Relación entre Gestión y ControlEquilibrio Entre Riesgos y Controles Los componentes de la aceptación de riesgos excesivos: Consecuencias de la implementación de controles excesivos: • Pérdida potencial de activos • Toma de decisiones de negocios incorrecta o ineficaz • Incumplimiento potencial con las leyes y regulaciones • Posibilidad de que se cometan fraudes • Aumento de la burocracia • Exceso del costo de producción • Complejidad innecesaria de los controles • Incremento del tiempo de ciclo • Actividades que no agregan valor • Balanza desbalanceada hacia el lado de la gestión • Más probable en el sector privado • Balanza desbalanceada hacia el lado del control • Más probable en el sector público 24
28 Relación entre Gestión y ControlControles innecesarios Cargos innecesarios Procedimientos innecesarios 25
29 Relación entre Gestión y ControlLa Gerencia: Corrige errores y/o reitera y replica aciertos La Gerencia: Planifica la gestión y el control de la organización Algunas organizaciones (en el sector privado y en el sector público) verifican “errores” para “corregirlos”, perdiéndose la mitad del potencial de la “verificación” La Gerencia: Evaluación de la gestión y el control; permanente, por parte de quien hace el proceso, con menor independencia y objetividad (Self Assessment) Auditoría: Evaluación de la gestión y el control; periódica, por parte de quien conoce el proceso, con mayor independencia y objetividad. La Gerencia: Ejecuta la gestión y el control de la organización 26
30 Eficiencia & Efectividad¿Cuál sería la solución para una adecuada Relación entre Gestión y Control? Gestión Eficiencia & Efectividad Control Riesgo & Control GESTION DE RIESGOS 27
31 El Control Interno bajo un Enfoque de RiesgosMuy buenos días con todos. Bienvenidos a este primer taller sobre Gobierno Corporativo y Control interno que desarrollaremos en las próximas tres horas en esta y en otras sesiones programadas en los próximos meses. Este taller es un complemento del Toyota Way y el Toyota Value porque buscamos algo que es muy importante “Generar Valor Agregado”. En la práctica del Toyota Way y el Toyota Value generamos un valor diferenciado que nos hace más competitivos, más preferidos por nuestros clientes que se traduce en incremento de los niveles de producción y ventas a nivel global, regional y local. Del mismo modo, en la práctica de un Buen Gobierno Corporativo generamos un valor agregado que nos da un trato diferenciado en el mercado financiero y que eleva el valor de las acciones cotizadas en bolsa. Alguien de ustedes puede decir: Para qué sirve todo esto si nosotros somos una empresa muy pequeña, no cotizamos en bolsa, no necesitamos obtener ninguna ventaja del sistema financiero por nosotros mismos porque en cuanto decimos que somos filiales de TMC y MBK, dos empresas muy poderosas en el mundo, todos los bancos nos abren las puertas de par en par. Todo este razonamiento es interesante y puede ser motivo de discusión más adelante cuando profundicemos un poco más en el tema. Piensen en ello y veamos después con la participación de todos que tan cierto es este razonamiento. Quiero presentarles al Sr. Armando Villacorta, él es un consultor experto en el tema que voy a invitarlo a presentarse a nuestro estilo. Al igual que en el TW y el TV, Armando va a oficiar de facilitador de este taller, el que les hable va a ser su ayudante, ambos trataremos de que al final del taller todos entendamos un poco más sobre este tema. 28
32 ¿Habrán Escuchado Esto Alguna Vez?Y para que esta el área de riesgos, de seguridad de la información? Por que Riesgos no esta validando la operatividad de los controles? El día a día no nos deja tiempo para esto. Quien debe documentar los controles? Eso fue lo que escribió el dueño del proceso. La Matriz de Riesgo es del dueño del proceso, yo solo apoyo. Que lo haga Control Interno o Auditoria Interna. 29
33 El Modelo de Las Tres Líneas de Defensa – EstructuraOrganismo de Gobierno / Directorio / Comité de Auditoría Auditoría Externa Organismos De Control Gerente General 1° Línea de defensa 2° Línea de defensa 3° Línea de defensa Controles De Gerencia Directores Subgerentes Medidas de Control Interno Control Financiero Auditoria Interna Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento 30
34 Rol de la Primera Línea de Defensa – CaracterizaciónCorresponde a la hoja de vida del proceso, ayudando a identificar las características generales del proceso (Objetivo, Alcance, responsables, entradas, salidas, entre otros.) B POLÍTICAS Son guías de acción establecidas por la dirección que orientan la acción y decisiones del personal en la ejecución de las actividades del procedimiento. C PROCEDIMIENTO D MATRIZ Y RIESGOS DE CONTROLES E INDICADORES Documento escrito que describe secuencialmente, la forma de realizar una actividad para lograr un objetivo dado, dentro del alcance establecido. Corresponde a la relación de los riesgos inherentes que se pueden presentar en el logro de los objetivos y riesgos residuales (con controles) con su calificación de probabilidad e impacto en el proceso y su colorimetría. Los indicadores son las medidas cuantitativas financieras y no financieras que se recopilan y monitorean por parte del dueño del procesos, sobre el cumplimiento de los objetivos. 1° Línea de defensa Controles de Gerencia Medidas de Control Interno D Planes de Acción del Levantamiento del proceso de gestión de riesgos. 31
35 Primer paso para gestionar los riesgos: conocimiento pleno de la estrategiaMisión Por qué existimos CARACTERIZACIÓN Valores fundamentales En qué creemos Visión Qué queremos ser Estrategia Nuestro plan de juego Iniciativas estratégicas Qué necesitamos hacer Objetivos Por Proceso y de Desempeño Qué necesito Cumplir y hacer en mi proceso para cumplir con los objetivos estratégicos. Resultados Estratégicos 1° Línea de defensa Controles de Gerencia Medidas de Control Interno Utilidad a los Accionistas Clientes Satisfechos Procesos efectivos Personal motivado y preparado 32
36 Primer paso para gestionar los riesgos: conocimiento pleno de la estrategiaCARACTERIZACIÓN Plan Estratégico Objetivos Estrategicos Estrategía Metas Planes 33
37 Primer paso para gestionar los riesgos: conocimiento pleno de la estrategiaCARACTERIZACIÓN El valor es creado, destruido o preservado por las decisiones gerenciales desde la estrategia hasta la operación del día a día Toda entidad existe para generar valor para sus stakeholders Objetivos Estratégicos Operacionales Información Cumplimiento Respondiendo para reducir pérdidas inesperadas y tomar oportunidades valor Gestión de riesgos No se eliminan los riesgos, se mitigan con controles 34
38 SEGUNDO PASO PARA GESTIONAR LOS RIESGOS: CONOCIMIENTO PLENO DE LA CADENA DE VALORCARACTERIZACIÓN 35
39 Planeamiento EstratégicoSEGUNDO PASO PARA GESTIONAR LOS RIESGOS: CONOCIMIENTO PLENO DE LA CADENA DE VALOR Planeamiento Estratégico A CARACTERIZACIÓN SOPORTE Proceso de Tecnologías de la Información Proceso de Contabilidad y Finanzas Proceso de Recursos Humanos Proceso Legal Proceso de Logística Proceso de Proyectos Proceso de Mantenimiento OPERACIÓN UNIDAD MINERA Proceso de Geología y Exploración Proceso de Mina Proceso de Planeamiento Proceso de Planta Proceso de Transporte Proceso de Comercialización Proceso de Laboratorio APOYO Proceso de Gestión de Medio Ambiente Proceso de Exploraciones Proceso de Gestión de Seguridad Proceso de Responsabilidad Social 36
40 Rol de la Primera Línea de Defensa – CaracterizaciónNOMBRE DEL SUBPROCESO: Administración del sistema salarial y prestacional. PROCESO AL QUE PERTENECE: Gestión Humana. OBJETIVO: Garantizar que el pago de la nómina, las prestaciones sociales y parafiscales se realicen de manera oportuna y eficaz conforme a los lineamientos definidos por la Entidad y a lo establecido por la legislación laboral. 1° Línea de defensa Controles de Gerencia Medidas de Control Interno 37
41 A CARACTERIZACIÓN 38
42 Medidas de Control InternoRol de la Primera Línea de Defensa Ambiente Interno: Políticas y Procedimientos A CARACTERIZACIÓN A CARACTERIZACIÓN Corresponde a la hoja de vida del proceso, ayudando a identificar las características generales del proceso (Objetivo, Alcance, responsables, entradas, salidas, entre otros.) B POLÍTICAS Son guías de acción establecidas por la dirección que orientan la acción y decisiones del personal en la ejecución de las actividades del procedimiento. C PROCEDIMIENTO MATRIZ Y RIESGOS DE CONTROLES D INDICADORES Documento escrito que describe secuencialmente, la forma de realizar una actividad para lograr un objetivo dado, dentro del alcance establecido. E Corresponde a la relación de los riesgos inherentes que se pueden presentar en el logro de los objetivos y riesgos residuales (con controles) con su calificación de probabilidad e impacto en el proceso y su colorimetría. Los indicadores son las medidas cuantitativas financieras y no financieras que se recopilan y monitorean por parte del dueño del procesos, sobre el cumplimiento de los objetivos. 1° Línea de defensa Controles de Gerencia Medidas de Control Interno D Planes de Acción del Levantamiento del proceso de gestión de riesgos. 39
43 Rol de la Primera Línea de Defensa Ambiente Interno: Políticas y Procedimientos40
44 … Hablemos del COSO 41 COSO: Marco conceptual integrado, 2013Políticas y Procedimientos COSO: Marco conceptual integrado, 2013 COSO ERM: Marco de Gestión Integral de Riesgo, 2004 41
45 B C Políticas y Procedimientos 42
46 Sistema de Control Interno 17 principios de control interno efectivoB C POLÍTICAS Y PROCEDIMIENTOS COSO : Sistema de Control Interno Ambiente de Control: Principio 1: Demuestra compromiso con la integridad y los valores éticos. Principio 2: Ejerce responsabilidades de la supervisión. Principio 3: Establece estructura, autoridad y responsabilidad. Principio 4: Demuestra compromiso con la competencia. Principio 5: Exige hacerse responsable 43
47 Sistema de Control Interno 17 principios de control interno efectivoB C POLÍTICAS Y PROCEDIMIENTOS Ambiente de Control: Principio 1: Demuestra compromiso con la integridad y los valores éticos. Principio 2: Ejerce responsabilidades de la supervisión. Principio 3: Establece estructura, autoridad y responsabilidad. Principio 4: Demuestra compromiso con la competencia. Principio 5: Exige hacerse responsable No existe un requisito para evaluar por separado si los puntos de foco se encuentran disponibles. Controles implícitos en otros componentes pueden afectar este principio 44
48 Marco de Referencia Sistema de Control Interno Antes del COSO 2013B C POLÍTICAS Y PROCEDIMIENTOS EJEMPLO 1 :¿Qué necesito para cumplir con el Ambiente Interno? a) Se debe contar con una definición de principios y valores. b) Se debe crear, mantener y desarrollar una cultura basada en valores. c) La Dirección debe demostrar e insistir que una conducta ética es de vital importancia para el Control Interno 45
49 Marco de Referencia Sistema de Control Interno Ahora – Preparados para el nuevo COSO 2013 B C POLÍTICAS Y PROCEDIMIENTOS La entidad debe contar con un documento único que defina el código de conducta de manera integrada, el cual debe de ser consistente con el Reglamento Interno de Trabajo y el Código de Ética. Asimismo, se deberán desarrollar mecanismos de difusión y monitoreo del código de conducta elaborado, que permitan la medición del grado de conocimiento y aplicación de dicho documento, suscribiendo un acta de compromiso que acredite el conocimiento y cumplimiento de dichos documentos. El desarrollo e implementación de un código de ética permitirá especificar los aspectos a tener en cuenta en las relaciones de trabajo internas, así como con las que se tienen con terceros, en función del cargo. Además, la administración lo tendrá en consideración en la evaluación del personal. La entidad definirá sus principios y valores, y contará con mecanismos para desarrollar, incentivar y difundir la cultura y valores en los empleados (comunicaciones, publicaciones, entre otros). La entidad deberá centralizar todas las sanciones dispuestas en un área específica, que le permita su adecuada administración y ejecución. Cualquier sanción al personal, deberá contar con toda la documentación de evidencia y formará parte del "File Personal" del trabajador. 46
50 Controles Implícitos - MecanismosEvaluación del Sistema de Control Interno 17 principios de control interno efectivo B C POLÍTICAS Y PROCEDIMIENTOS Ambiente de Control: Principio 1: Demuestra compromiso con la integridad y los valores éticos. Controles Implícitos - Mecanismos Componente a) La entidad debe contar con un documento único que defina el código de conducta de manera integrada, el cual debe de ser consistente con el Reglamento Interno de Trabajo y el Código de Ética. Asimismo, se deberán desarrollar mecanismos de difusión y monitoreo del código de conducta elaborado, que permitan la medición del grado de conocimiento y aplicación de dicho documento, suscribiendo un acta de compromiso que acredite el conocimiento y cumplimiento de dichos documentos. Ambiente Interno b) La entidad deberá definir un mecanismo para el reporte de cualquier acto de fraude o en contra del Código de Conducta (Línea de Ética) y ésta deberá ser soportada por un Procedimiento de Denuncias de Prácticas Cuestionables. Actividad de Control c) La entidad definirá sus canales de transmisión de información, la cual puede ser a través de Intranet, correo electrónico o cualquier otro medio que considere necesario, debiendo designar a un responsable para el mantenimiento de la información. Por otro lado, la entidad debería definir un reglamento para la difusión de la información a través del canal que haya definido. Información y Comunicación d) La entidad deberá contar con herramientas para realizar un monitoreo general de cumplimiento en relación al comportamiento de sus empleados, indagando los resultados de las denuncias reportadas en la línea de ética, la cual es evaluada por Auditoría Interna. Monitoreo 47
51 Implementar el Sistema de Control Interno COSOB C POLÍTICAS Y PROCEDIMIENTOS NO BUROCRACIA SI EFICIENCIA 48
52 Implementar el Sistema de Control Interno COSOLas mejoras en la administración de riesgo corporativo se pueden construir sobre la inversión hecha en control interno. COSO “ERM”: Gestión Integral de Riesgos COSO : Sistema de Control Interno 49
53 Implementar el Sistema de Control Interno COSOEl COSO ERM TIENE CIERTOS ELEMENTOS QUE MARCAN LA DIFERENCIA CON EL COSO: Objetivos Estratégicos Definición de Apetito de Riesgos Añade tres componentes adicionales 50
54 Implementar el Sistema de Control Interno COSO1) El COSO ERM está enfocado en la estrategia de la Compañía para el cumplimiento de sus objetivos OBJETIVOS STAKEHOLDERS Rentabilidad Accionistas Clima Laboral Trabajadores Calidad Clientes Cumplimiento Gobierno 51
55 Relevamiento de RiesgosAl estar enfocado en la estrategia , ¿Qué riesgos son los que requiero relevar para elaborar el mapa de riesgos? Riesgos financieros Riesgo de crédito Riesgo de liquidez Riesgo de mercado Riesgo estratégico Riesgo de reputación Imagen Pérdida de oportunidades Riesgo de Mercado Surge de la fluctuación de los activos y pasivos de la empresa (tipo de cambios, precio, interés, entre otros) Fallas en los sistemas Errores humanos Procedimientos inadecuados Controles inadecuados Fraude Riesgo de desastres Desastres naturales Suspensión de los mercados Riesgo legal Juicios Contratos Regulatorio Riesgo de Crédito Surge por incumplimiento del deudor Riesgo de operación Riesgo de Liquidez Surge por descalce por pago de obligaciones inmediatas, endeudándose en condiciones desfavorables. 52
56 Definición de objetivos, es importante diferenciar algunos aspectos… apetito al riesgo y tolerancia al riesgo 2) Incluye la definición del Apetito al Riesgo, para el tratamiento y gestión de los riesgos El apetito al riesgo se define como el grado de riesgo, en un nivel amplio, que la organización o la entidad está dispuesta a aceptar en la búsqueda de sus objetivos. La tolerancia al riesgo se define como el nivel aceptable de la variación alrededor del logro de un objetivo de negocio específico y se debe alinear con el apetito del riesgo de una organización. Risk appetite can be used to: Communicate the amount of risk that the organisation is willing to take, consistent with business strategies and objectives; Determine acceptable risk levels and set expectations for the evaluation of volatility of actual business outcomes; Establish risk parameters to reduce the level of losses and to promote risk diversification; Create a framework for the delegation of authorities throughout the organisation; Formulate a set of limits and guidelines for business boundaries; and Evaluate strategic alternatives which may include: innovators - organisations that have a high risk appetite and lead the market in a particular area, fast followers - organisations that have a medium risk appetite and closely follow market leaders in a particular area; and late adopters - organisations that have a low risk appetite and wait until business practices are well-established before adopting them. Risk tolerances should be: Tangible, actionable and practical Articulated using appropriate measures Allocated across business units at an appropriate level for effective management and monitoring Clearly communicated both internally and externally 53
57 Componentes para la Gestión de Riesgo3) El COSO ERM añade tres componentes para la Gestión del Riesgo. Objetivo Nuevo E.R.M = COSO I + SGIR Nuevo Componente Monitoring helps determine the effectiveness of the processes, technologies and personnel executing enterprise risk management. The entity establishes minimum standards for each component of enterprise risk management. The entity’s performance against these standards can then be monitored objectively. Monitoring can be done in two ways: through ongoing activities or separate evaluations. Enterprise risk management mechanisms usually are structured to monitor themselves on an ongoing basis, at least to some degree. Ongoing monitoring is built into the normal, recurring operating activities of an entity. Ongoing monitoring is performed on a real-time basis, reacts dynamically to changing conditions and is ingrained in the entity. As a result, it is more effective than separate evaluations. The greater the degree and effectiveness of ongoing monitoring, the lesser need for separate evaluations. The frequency of separate evaluations is a matter of management's judgment. In making that determination, consideration is given to the nature and degree of changes occurring, from both internal and external events, and their associated risks; the competence and experience of the personnel implementing risk responses and related controls; and the results of the ongoing monitoring. Usually, some combination of ongoing monitoring and separate evaluations will ensure that enterprise risk management maintains its effectiveness over time. Deficiencies in an entity’s enterprise risk management may surface from many sources, including the entity's ongoing monitoring procedures, separate evaluations and external parties. All enterprise risk management deficiencies that affect the entity’s ability to develop and implement its strategy and to achieve its established objectives should be reported to those who can take necessary action, as discussed in the next section Componente Ampliado Nuevo Componente Nuevo Componente Foco de la ponencia 54 57
58 Componentes para la Gestión de RiesgoMisión Ser un productor líder de productos Premium para el hogar en las regiones en las cuales operamos. Objetivo estratégico Estar en el cuartil superior de venta de productos para minoristas. Objetivos relacionados Contratar 180 nuevas personas calificadas en todas las divisiones de fabricación para cumplir con la demanda sin sobretiempo. Mantener un 22% de costo de personal por dólar orden. Unidad de medida de objetivo Número de personal nuevo contratado calificado. El costo de personal por dólar orden. Tolerancia 165 – 200 personal nuevo calificado Costo de personal entre 20% y 23% por dólar orden. Potencial eventos / riesgos e impactos relacionados Variaciones del desempleo en el mercado laboral causan mayor o menor oferta laboral, resultando aumento o disminución en los costos de personal. Descripciones inadecuadas de necesidades y especificaciones, dando por resultado la contratación de personal incompetente. Ejemplo 55
59 Relevamiento de Riesgos¿Qué riesgos son los que requiero relevar para elaborar el mapa de riesgos? Riesgos financieros Riesgo de crédito Riesgo de liquidez Riesgo de mercado Riesgo estratégico Riesgo de Mercado Riesgo de reputación Imagen Pérdida de oportunidades Surge de la fluctuación de los activos y pasivos de la empresa (tipo de cambios, precio, interés, entre otros) Fallas en los sistemas Errores humanos Procedimientos inadecuados Controles inadecuados Fraude Riesgo de desastres Desastres naturales Suspensión de los mercados Riesgo legal Juicios Contratos Regulatorio Riesgo de Crédito Surge por incumplimiento del deudor Riesgo de operación Riesgo de Liquidez Surge por descalce por pago de obligaciones inmediatas, endeudándose en condiciones desfavorables. 56
60 Relevamiento de Riesgos¿Qué riesgos son los que requiero relevar para elaborar el mapa de riesgos? 57
61 Relevamiento de RiesgosMATRIZ DE RIESGOS Y CONTROLES ¿Qué riesgos son los que requiero relevar para elaborar el mapa de riesgos bajo el COSO? Fallas en los sistemas Errores humanos Procedimientos inadecuados Controles inadecuados Fraude Riesgo de desastres Desastres naturales Suspensión de los mercados Riesgo legal Juicios Contratos Regulatorio Riesgos Operacionales Riesgos de Reporte Riesgos de Cumplimiento Riesgo de operación POR PROCESO 58
62 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesCARACTERIZACIÓN Corresponde a la hoja de vida del proceso, ayudando a identificar las características generales del proceso (Objetivo, Alcance, responsables, entradas, salidas, entre otros.) B POLÍTICAS Son guías de acción establecidas por la dirección que orientan la acción y decisiones del personal en la ejecución de las actividades del procedimiento. D MATRIZ Y RIESGOS DE CONTROLES E INDICADORES C PROCEDIMIENTO Documento escrito que describe secuencialmente, la forma de realizar una actividad para lograr un objetivo dado, dentro del alcance establecido. Corresponde a la relación de los riesgos inherentes que se pueden presentar en el logro de los objetivos y riesgos residuales (con controles) con su calificación de probabilidad e impacto en el proceso y su colorimetría. Los indicadores son las medidas cuantitativas financieras y no financieras que se recopilan y monitorean por parte del dueño del procesos, sobre el cumplimiento de los objetivos. 1° Línea de defensa Controles de Gerencia Medidas de Control Interno D Planes de Acción del Levantamiento del proceso de gestión de riesgos. 59
63 Rol de la Primera Línea de Defensa – Matriz de Riesgos y Controles¿Conoce usted la Cadena de Valor / Mapa de Procesos de su empresa? ¿Sabe como contribuye su actividad en el ofrecimiento del producto o servicio? 60
64 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesDate ¿Cómo relevar los riesgos bajo el esquema COSO? D MATRIZ DE RIESGOS Y CONTROLES 61
65 Rol de la Primera Línea de Defensa – Matriz de Riesgos y Controles¿Qué nos recomienda el COSO 2013? Evaluar los riesgos de alto nivel Proceso de Recursos Humanos D MATRIZ DE RIESGOS Y CONTROLES 62
66 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesCADENA DE VALOR SOPORTE SEGURIDAD , MEDIO AMBIENTE Y RESPONSABILIDAD SOCIAL LOGISTICA FINANZAS INFRAESTRUCTURA RECURSOS HUMANOS LEGAL TECNOLOGÍAS DE LA INFORMACIÓN PROYECTOS Reclutamiento y Selección Recursos Humanos Planillas Capacitación Por cada MACRO PROCESO se identifican los procesos asociados Bienestar Social Por cada PROCESO se debe de elaborar un Diagrama de Flujo de Actividades de Control D MATRIZ DE RIESGOS Y CONTROLES 63
67 Rol de la Primera Línea de Defensa – Matriz de Riesgos y Controles64
68 EJEMPLO RIESGO OPERACIONALRol de la Primera Línea de Defensa – Matriz de Riesgos y Controles El resultado: Una Matriz de Riesgos y Controles bajo el esquema COSO 2013: EJEMPLO RIESGO OPERACIONAL D MATRIZ DE RIESGOS Y CONTROLES 65
69 EJEMPLO RIESGO DE REPORTERol de la Primera Línea de Defensa – Matriz de Riesgos y Controles El resultado: Una Matriz de Riesgos y Controles bajo el esquema COSO 2013: EJEMPLO RIESGO DE REPORTE D MATRIZ DE RIESGOS Y CONTROLES 66
70 EJEMPLO RIESGO DE CUMPLIMIENTORol de la Primera Línea de Defensa – Matriz de Riesgos y Controles D MATRIZ DE RIESGOS Y CONTROLES El resultado: Una Matriz de Riesgos y Controles bajo el esquema COSO 2013: EJEMPLO RIESGO DE CUMPLIMIENTO 67
71 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesRiesgo Operacional D MATRIZ DE RIESGOS Y CONTROLES Luego de contar con los objetivos y los riesgos estratégicos, así como con la Cadena de Valor ¿Qué se obtiene en este paso? COSO Proceso de Recursos Humanos 68
72 Importante - Cuando se tiene implementado el ERMPor cada proceso ERM, se debe de contar : Objetivos por proceso Riesgos Estratégicos Riesgos Operacionales, Reporte, Reporte No Financiero y Cumplimiento Debe existir una relación entre 1, 2 y 3 69
73 Rol de la Primera Línea de Defensa – Matriz de Riesgos y Controles70
74 Respuesta al Riesgo Respuesta al riesgo es la acción que la compañía toma para prevenir o corregir los impactos de eventos que afectarían el logro de los objetivos 71
75 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesRiesgo: La posibilidad de que ocurra un evento que tenga impacto negativo sobre el logro de los objetivos. ISO – 2009 Definición de Riesgo Es “el efecto de la incertidumbre en la consecución de los objetivos”. 1.Incertidumbre (Puede que nunca ocurra). 2.El Riesgo importa y debe gestionarse porque tiene un efecto (Positivo y Negativo). 3.Ese efecto es sobre los objetivos fijados 1° Línea de defensa Controles de Gerencia Medidas de Control Interno 72
76 D MATRIZ DE RIESGOS Y CONTROLES Información no actualizada de las obras en curso debido a demora en la confirmación por parte de los departamento responsables de avisar la finalización de las mismas. 73
77 D MATRIZ DE RIESGOS Y CONTROLES Información no actualizada de las obras en curso debido a demora en la confirmación por parte de los departamento responsables de avisar la finalización de las mismas. Amenaza ¿Qué teme que suceda? 74
78 D MATRIZ DE RIESGOS Y CONTROLES Información no actualizada de las obras en curso debido a demora en la confirmación por parte de los departamento responsables de avisar la finalización de las mismas. Vulnerabilidad ¿Cómo puede ocurrir la amenaza? 75
79 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesActividades de Control: Las actividades de control son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la Dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos. Aspectos Claves de Diseño a Identificar en un Control Quién lleva a cabo el control (Responsable) Frecuencia del Control (Cada cuanto se realiza) Qué busca hacer el control (objetivo) Cómo se lleva a cabo el control (procedimiento) Qué pasa con las desviaciones y/o excepciones (Investigación y análisis) Evidencia de la ejecución del control (La firma no es evidencia suficiente de que un control se ejecuto) 76
80 Rol de la Primera Línea de Defensa – Matriz de Riesgos y Controles77
81 Rol de la Primera Línea de Defensa – IndicadoresCARACTERIZACIÓN Corresponde a la hoja de vida del proceso, ayudando a identificar las características generales del proceso (Objetivo, Alcance, responsables, entradas, salidas, entre otros.) B POLÍTICAS Son guías de acción establecidas por la dirección que orientan la acción y decisiones del personal en la ejecución de las actividades del procedimiento. C PROCEDIMIENTO D MATRIZ Y RIESGOS DE CONTROLES E INDICADORES Documento escrito que describe secuencialmente, la forma de realizar una actividad para lograr un objetivo dado, dentro del alcance establecido. Corresponde a la relación de los riesgos inherentes que se pueden presentar en el logro de los objetivos y riesgos residuales (con controles) con su calificación de probabilidad e impacto en el proceso y su colorimetría. Los indicadores son las medidas cuantitativas financieras y no financieras que se recopilan y monitorean por parte del dueño del procesos, sobre el cumplimiento de los objetivos. 1° Línea de defensa Controles de Gerencia Medidas de Control Interno D Planes de Acción del Levantamiento del proceso de gestión de riesgos. 78
82 Rol de la Primera Línea de Defensa – IndicadoresOBJETIVO: Que las obras en curso estén registradas de acuerdo al monto y la fecha que corresponde al avance de la misma, a fin de asegurar su adecuada activación. ¿Cuáles son los Indicadores del proceso que me aseguren el cumplimiento de los objetivos? Indicador 1 : Monto a pagar……. Indicador 2 : Fecha de elaboración…… 79
83 El Modelo de Las Tres Líneas de Defensa – EstructuraOrganismo de Gobierno / Directorio / Comité de Auditoría Auditoría Externa Organismos De Control Gerente General 1° Línea de defensa 2° Línea de defensa 3° Línea de defensa Controles De Gerencia Directores Subgerentes Medidas de Control Interno Control Financiero Auditoria Interna Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento 80
84 Rol de la Segunda Línea de Defensa Apoyo en el Diseño y Monitoreo Preventivo17 Principios para describir los componentes del Control Interno. 5 Componentes, la organización define las responsabilidades de las personas a nivel de control interno para la Consecución de los Objetivos. En un mundo perfecto, tal vez sólo una línea de defensa sería necesaria para asegurar una gestión de riesgos efectiva . COSO Cube (2013 Edition) 81
85 Rol de la Segunda Línea de Defensa Apoyo en el Diseño y Monitoreo Preventivo82
86 Un control Bien DiseñadoRol de la Segunda Línea de Defensa Apoyo en el Diseño y Monitoreo Preventivo Un control Bien Diseñado Mitiga la Causa Asociada (Disminuye su impacto y/o probabilidad). La frecuencia del control permite identificar un error oportunamente La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente. Existe segregación de funciones en quien hace la actividad y el que ejecuta el control. La Información utilizada para realizar el control es adecuada y confiable. Las excepciones resultantes de ejecutar el control son resueltas oportunamente Es posible reprocesar la actividad de control de acuerdo a las evidencias y soportes anexos de su ejecución. 83
87 Planes de Acción del Levantamiento del proceso de gestión de riesgos.Rol de la Segunda Línea de Defensa Apoyo en el Diseño y Monitoreo Preventivo A CARACTERIZACIÓN Corresponde a la hoja de vida del proceso, ayudando a identificar las características generales del proceso (Objetivo, Alcance, responsables, entradas, salidas, entre otros.) Independencia Objetividad B POLÍTICAS Son guías de acción establecidas por la dirección que orientan la acción y decisiones del personal en la ejecución de las actividades del procedimiento. D MATRIZ Y RIESGOS DE CONTROLES E INDICADORES C PROCEDIMIENTO Corresponde a la relación de los riesgos inherentes que se pueden presentar en el logro de los objetivos y riesgos residuales (con controles) con su calificación de probabilidad e impacto en el proceso y su colorimetría. Los indicadores son las medidas cuantitativas financieras y no financieras que se recopilan y monitorean por parte del dueño del procesos, sobre el cumplimiento de los objetivos. Documento escrito que describe secuencialmente, la forma de realizar una actividad para lograr un objetivo dado, dentro del alcance establecido, Planes de Acción del Levantamiento del proceso de gestión de riesgos. 84
88 El Modelo de Las Tres Líneas de Defensa – EstructuraOrganismo de Gobierno / Directorio / Comité de Auditoría Auditoría Externa Organismos De Control Gerente General 1° Línea de defensa 2° Línea de defensa 3° Línea de defensa Controles De Gerencia Directores Subgerentes Medidas de Control Interno Control Financiero Auditoria Interna Seguridad Gestión de Riesgos Calidad Inspección Cumplimiento 85
89 Rol de la Tercera Línea de DefensaCONTROLES DISEÑO CONTROLES EJECUCION Podría operar bien pero no esta bien diseñado ? Podría estar bien diseñado Pero opera mal ? QUE EL RIESGO NO SE MATERIALICE 86
90 Rol de la Primera Línea de Defensa – Matriz de Riesgos y ControlesAuditoria Interna verificará y validará los controles implementados. ¿Cómo opera? Riesgo Residual 87
91 Conclusiones Los modelos actuales de control interno y gestión de riesgos motivan a la acción requiriendo mecanismos en lugar de documentos Fundamental para el análisis de riesgos, una clara identificación de la Cadena de Valor Al identificar riesgos, es importante considerar el ámbito estratégico, pues condiciona el operativo Lograr un balance entre controles directivos, preventivos, correctivos, detectivos El equilibrio entre la Gestión y Control tiene respuesta en la Gestión de Riesgos 88
92