Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
CONTROL INTERNO Y VALORACION DE RIESGOS
1. Control Interno y valoración de
riesgos
Objetivo:
Exponer el marco normativo y conceptual
relacionado con la valoración de riesgos,
tomando como punto de partida la estructura
actual de las normas de control interno.
Introducción de conceptos fundamentales
para iniciar un Proceso de Evaluación de
Riesgos.
Msc. María de los Ángeles Torres
3. COSO II - ERM: Marco de Gestión Integral de
Riesgo (Enterprise Risk Management)
COSO I: Control Interno - Marco
Conceptual Integrado
Ambiente de Control
Operaciones
Reporte
Cumplimiento
UnidadA
UnidadB
Actividad1
Actividad2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
Origen del estudio del Committee of Sponsoring Organizations
of the Treadway Commission (COSO)
4. Definiciones Importantes
Objetivos:
• Operaciones
• Información financiera
• Cumplimiento
Globales y Específicos
Las entidades deberán definir sus objetivos globales y
específicos basados en su planificación estratégica y planes de
acción los cuales serán la base para la evaluación de los
riesgos.
Mensurables y con
posibilidad de
evaluación, coherentes
con la misión.
5. COSO – ERM Framework
Evento es un incidente o condición de fuente interna o
externa para la entidad, que puede afectar la implementación
de la estrategia o logro de sus objetivos.
Riesgo toda posibilidad de que un evento pueda entorpecer
o impedir el normal desarrollo de las actividades de la entidad
y afecte el logro de sus objetivos.
Oportunidad la posibilidad de que un evento ocurra y
afecte positivamente a la consecución de objetivos.
Definiciones Importantes
6. Ejemplo: Objetivo - Eventos
OBJETIVO: Mantener un
margen sobre ventas
del 30%
Incrementos en la demanda del
producto
Instalación de nuevos equipos de
producción en la entidad
Mejoras en la planificación de la
producción
Incrementos en el porcentaje del
impuesto sobre las ventas
El consumidor tiene más opciones de
compra del producto ante nuevos
competidores que entran en el mercado
El consumidor incrementa su
conocimiento del producto por
comparaciones que hace con el uso del
internet
Aumento de defectos del producto
Eventos positivos
(oportunidades)
Eventos negativos
(riesgos)
7. Resumiendo…
El marco normativo para la evaluación de riesgos se
encuentra formalmente emitido en las Normas de Control
Interno
El marco teórico conceptual parte de la planificación
estratégica y la identificación de los objetivos (estratégicos
y operativos) de la entidad y los posibles eventos que
pueden influir en su cumplimiento de manera positiva o
negativa, convirtiéndose en el primer caso en
oportunidades y en el segundo en riesgos.
Interiorización de los conceptos fundamentales de objetivo,
evento, riesgo y oportunidad, para comprender la
metodología de gestión de riesgos.
8. PROCESO DE GESTIÓN DE RIESGOS
ESTABLECER EL
CONTEXTO
IDENTIFICAR LOS
RIESGOS
ANALIZAR LOS
RIESGOS
EVALUAR LOS
RIESGOS
GESTIONAR LOS
RIESGOS
COMUNICACIÓNYCONSULTA
MONITOREOYREVISIÓN
9. Fase 1: Establecer el Contexto
Entorno externo en el que funciona la entidad, considerando los aspectos:
Contexto
Estratégico
ENTIDAD
Sociales
Clientes
Usuarios
Financieros
Operativos
Competitivos
Políticos
Imagen
Culturales
Legales
Proveedores
Comunidad
10. Fase 1: Establecer el Contexto
Entorno interno en el que funciona la entidad, considerando:
CONTEXTO
ORGANIZACIONAL
O INTERNO
ENTIDAD
Estructura
interna
Talento
humano
Estrategia
Valores
Institucionales
Políticas
Objetivos
11. Factores Externos
Económicos:
decisiones de política
económica,
presupuestaria, de la
deuda pública,
contingencias, etc.
Medio Ambientales:
riesgos ambientales,
naturaleza,
regulaciones de medio
ambiente, normas,
desarrollo sustentable,
decisiones de impacto,
etc.
Tecnológicos:
tecnologías de la
información, políticas
estatales,
innovaciones, etc.
Políticos y legales:
legislación,
actualización, cambios
en la legislación,
lavado de dinero y
activos, asesoría legal,
etc.
Sociales:
comportamiento de
usuarios,
responsabilidad social,
cambios culturales,
etc.
Ver Ejemplos
12. Factores Internos
Infraestructura:
disponibilidad de
activos, capacidad de
activos, etc.
Personal: capacidad
operativa, capacidad
del personal,
capacitación,
cumplimiento de
disposiciones, etc.
Procesos: diseño,
ejecución,
oportunidad,
supervisión, personal
de supervisión,
adopción de medidas,
usuarios, etc.
Tecnología:
continuidad,
integridad y
confiabilidad,
sistemas,
mantenimiento de
sistemas, etc.
Ver Ejemplos
13. FASE 2: IDENTIFICACIÓN DE RIESGOS
La identificación de los riesgos
debe efectuarse utilizando un
proceso sistemático para incluir
todos los riesgos de la
organización. La idea es generar
una lista de todos los eventos o
circunstancias que podrían
afectar a la entidad para luego a
mayor detalle, identificar lo que
puede suceder.
14. Técnicas de Identificación de Riesgos
Listas de Chequeo Diagramas de Flujo
Lluvia de Ideas
Análisis Causa - Efecto
15. Ejemplo de identificación de Riesgos
CORPORACIÓN DE CRÉDITO MICROEMPRESARIAL
IDENTIFICACIÓN DE RIESGOS
OBJETIVO ESTRATÉGICO: Incrementar con calidad el nivel de la cartera
ESTRATEGIA (S): Disminuir el nivel de morosidad de los créditos de fomento otorgados a microempresarios
OBJETIVO OPERATIVO
DESCRIPCIÓN RIESGOS
ESPECÍFICOS
Factores externos Factores internos
EFECTOS/CONSECUENCIAS
Económicos
Medioambientales
PolíticosyLegales
Sociales
Tecnológicos
Infraestructura
Personal
Procesos
Tecnología
Obtener el pago completo y oportuno de los créditos
otorgados a microempresarios
Falta de acciones oportunas de cobranzas
X
Incremento de la cartera vencida en un
30%
Insolvencia de los deudores
X
Pérdida de recursos
Falta de garantías
X
Pérdida de recursos por créditos no
respaldados
Ingreso inoportuno o incompleto de pagos
X
Pérdida de recursos y falta de liquidez a
la entidad
Errores en la digitación de los montos
X
Pérdida de recursos/información
financiera no confiable
16. Resumiendo…
La Identificación de Riesgos, es un proceso
sistemático que requiere la participación del
personal de todos los niveles y diferentes
áreas de gestión, quienes con la aplicación
de técnicas y herramientas administrativas
como: listas de chequeo, diagramas de
flujo, lluvia de ideas, análisis causa-efecto,
etc. tienen la responsabilidad de obtener un
listado de todos los riesgos y las posibles
consecuencias en la realización de las
actividades y cumplimiento de los objetivos
institucionales.
17. FASE 3:ANÁLISIS DE RIESGOS
El análisis de riesgos
consiste en determinar
la probabilidad de
ocurrencia de los
riesgos así como su
impacto, calificándolos
con el fin de establecer
el nivel de riesgo y las
acciones que se
requieren implantar.
18. Probabilidad, Impacto e Importancia
Probabilidad es la posibilidad de ocurrencia del riesgo, que puede ser
medida con criterios de Frecuencia (por ejemplo, número de veces en
un tiempo determinado) o Factibilidad, teniendo en cuenta la presencia
de factores internos y externos que pueden propiciar el riesgo.
Por impacto se entiende las consecuencias del riesgo o la magnitud de
sus efectos.
La importancia del riesgo identificado está relacionada con la relevancia
del factor en la gestión institucional.
19. Probabilidad
Valor Escala Concepto
3
Muy
Probable
Se espera que ocurra al menos una vez al año y ya ha ocurrido con anterioridad varias veces
2 Probable Puede ocurrir alguna vez/ha ocurrido solo una vez
1 Improbable No ha ocurrido nunca pero podría ocurrir en los próximos años o en circunstancias excepcionales
Frecuencia:
20. Impacto
Valor Escala Concepto
3
Alto
Las consecuencias amenazarán la supervivencia del programa, proyecto, actividad, proceso de la entidad. Las
consecuencias amenazarán la efectividad del programa o del cumplimiento de objetivos de la entidad.
2
Medio
Las consecuencias no amenazarán el cumplimiento del programa, proyecto, actividad, proceso, o de los
objetivos, pero requerirán cambios significativos o formas alternativas de operación.
1 Bajo
Las consecuencias pueden solucionarse con algunos cambios o pueden manejarse mediante actividades de
rutina.
21. Importancia
Importancia
Concepto (Factor de Riesgo)
10 Muy importante en el contexto de la entidad, programa, proyecto, actividad o proceso
5
Factor de riesgo de importancia media o moderada en lagestiónde la entidad, programa,proyecto, actividad o proceso.
1
Factor de riesgo no significativo en la gestión de la entidad, programa, proyecto, actividad o proceso.
22. Escala de Calificación del Riesgo
Calificación Final: Riesgo Color
De 1 a 10 BAJO Verde
De 11 a 30 MODERADO Naranja
De 31 a 90 ALTO Rojo
Ejemplo PrácticoFormato No. 2
Matriz de Análisis y Calificación
de Riesgos.xls
23. FASE 4:EVALUACIÓN DE RIESGOS
Involucra comparar el
nivel de riesgo detectado
durante el proceso de
análisis con criterios de
riesgo establecidos
previamente por la
dirección, considerando el
balance entre los
beneficios potenciales y
resultados adversos.
(costo-beneficio)
Reportes KRI
24. Valoración del Riesgo
La valoración del riesgo se
obtiene al comparar los
resultados de la evaluación del
riesgo con los controles
existentes o establecidos en
los diferentes procesos por
parte de la entidad.
Los controles pueden ser
preventivos o correctivos.
Datos pérdida
interna
Análisis datos pérdida
Datos pérd.
ext
Reportes Incidentes
Análisis
escenarios
25. Controles
Controles Preventivos son aquellos que actúan para eliminar las
causas del riesgo, para prevenir su ocurrencia o materialización.
Controles Correctivos son aquellos que permiten el
restablecimiento de la actividad después de haber detectado un
evento no deseable; también permiten la modificación de las
acciones que propiciaron su ocurrencia. La importancia del riesgo
identificado está relacionada con la relevancia del factor en la
gestión institucional.
26. Ejemplos de controles existentes
Controles de Gestión Políticas claras aplicadas
Seguimiento al plan estratégico y
operativo
Indicadores de gestión
Tableros de control
Seguimiento al Cronograma
Evaluación del desempeño
Informe de Gestión
Monitoreo de riesgos
Controles Operativos Conciliaciones
Consecutivos
Verificación de firmas
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Controles Legales Normas claras aplicadas
Control de Términos
Gestión Tablero de Comando
Gestión Operativos Legales
27. El Riesgo Residual
El riesgo residual es el que permanece después de
que la dirección desarrolla sus respuestas al riesgo
inherente, refleja si se han implantado o no las
actividades y controles para disminuir o mitigar el
mismo.
Ejemplo de la Fase: Formato No. 3 Matriz de Evaluación de Riesgos.xls
28. FASE 5: TRATAMIENTO DE LOS RIESGOS
El tratamiento de los riesgos consiste en identificar las
opciones para mitigarlos, su valoración y la implementación
del plan para llevarlas a cabo.
Son las acciones que la entidad toma para prevenir o
corregir los impactos de eventos que afectarían el logro de
los objetivos
29. Alternativas de Mitigación
Prevenir , control de calidad, mantenimiento
preventivo.
Disminuir, optimización de procedimientos,
implementación de controles
Transferir, las pérdidas a otras organizaciones,
contratos a riesgo compartido, seguros, etc.
Asumir el riesgo residual luego que ha sido
reducido o transferido
30. Ejemplos de respuesta al riesgo
Evitar Compartir
Prescindir de las actividades de una unidad de negocio, agencia
regional o subsidiaria.
Suspender la producción de una línea de servicio o producto.
Terminar con las actividades de un programa, proyecto o sistema.
Decidir no emprender nuevas iniciativas/actividades que podrían dar
lugar a riesgos.
Adoptar seguros contra pérdidas inesperadas significativas.
Establecer acuerdos con otros servicios o entidades públicas o privadas.
Protegerse contra los riesgos utilizando instrumentos del mercado de capital a
largo plazo, cuando se tenga autorización para ello.
Externalizar procesos de negocio riesgosos siempre que no correspondan al
ejercicio mismo de sus facultades.
Distribuir el riesgo mediante acuerdos contractuales con entidades que actúen
como clientes, proveedores u otros interesados.
Reducir Aceptar
Diversificar las ofertas de servicios y productos.
Establecer límites en la ejecución del presupuesto por región o
unidad.
Establecer procesos de negocio eficaces.
Aumentar la implicación de la dirección en la toma de decisiones y el
seguimiento.
Reasignar los recursos presupuestarios entre las unidades
operativas.
Provisionar las posibles pérdidas.
Confiar en las compensaciones naturales existentes dentro de una cartera.
Aceptar el riesgo si se adapta al nivel máximo preestablecido.
Confiar en las compensaciones naturales existentes dentro de un portafolio.
Aceptar el riesgo si se adapta a las tolerancias al riesgo existente.
31. Planes de Tratamiento o Mitigación
Plan de Mitigación o Tratamiento de los Riesgos
Actividades
Responsables
(Cargo)
Recursos
Cronograma
Indicadores
Duración Fecha Inicio Fecha Termino
Ejemplo Práctico Formato No. 4 Matriz de Mitigación o Tratamiento de Riesgos v1.xlsm
32. RESUMEN FINAL DE LA CLASE
El propósito de la clase es formular un plan
de tratamiento de los riesgos identificados,
evaluados y calificados en las anteriores
fases del proceso, documento que incluya:
las actividades para mitigar los riesgos, los
servidores responsables, los recursos
necesarios, el cronograma de ejecución, así
como los indicadores de cumplimiento de
las acciones programadas.