La implementación de la Administración de Riesgos Empresariales en el Sistema de Gestión de la Calidad de la Administración Universitaria

Transcripción

1 La implementación de la Administración de Riesgos Empresariales en el Sistema de Gestión de la Calidad de la Administración Universitaria 1

2 Antecedentes del SGC de la UNAM El Sistema de Gestión fue implementado en el año El Sistema de Gestión de la Calidad de la Administración Universitaria abarca a 130 Secretarias y Unidades Administrativas de la UNAM. Anualmente las SyUA sotorgan un total de 1.2 millones de servicios a la comunidad universitaria al año. En el año 2014 la Auditoria Superior de la Federación recomendó a la UNAM la incorporación del marco de control interno COSO 2013 para la administración universitaria; la UNAM decidió utilizar algunos componentes de éste. 2

3 Antecedentes del SGC de la UNAM 3

4 Antecedentes del SGC de la UNAM 4

5 EL MARCO COSO 5

6 Introducción Comitee of Sponsoring Organizations of the Treadway Commission La TreadwayCommissionfue formada en 1985 por 5 organizaciones privadas en los EEUU. American Accounting Association(AAA), American Institute of Certified Public Accountants(AICPA), Financial Executive Institute(FEI), Instituteof InternalAuditors(IIA), Institute of Management Accountants(IMA). En el año 1987 emite un reporte en el que sugiere que se desarrolle un marco general de control interno para ser adoptado en las organizaciones. En el año 1992 se emite el Reporte COSO I. 6

7 Introducción Según COSO Cuáles son los conceptos fundamentales sobre la definición de CONTROL INTERNO? Es un proceso: es el medio para alcanzar un fin, no es un fin en sí mismo. Su eficacia es un estado o condición en un momento determinado. Provee seguridad razonable: el costo del Control Interno no debe de exceder los beneficios. En el logro de objetivos: Eficacia y eficiencia de las operaciones: está relacionada con el uso eficaz y eficiente de los recursos de la entidad. Confiabilidad en la preparación de información financiera: se relaciona con la preparación de estados contables que se presentarán a terceros; se busca que sean confiables. Cumplimiento de leyes y normas aplicables: relacionada con el cumplimiento de las leyes y reglamentaciones aplicables. 7

8 Componentes de COSO 2013 Los 5 componentes del sistema de control interno afectan los 3 objetivos de control y se aplican a todas las Ambiente de Control Evaluación del riesgo Actividades de Control Actividad 1 Actividad 2 Unidad B Unidad A unidades y actividades del la organización Información y comunicación Actividades de Monitoreo 8

9 Componentes de COSO 2013 y su alineación con un SGC El Ambiente de Controles el conjunto de normas, procesos y estructuras que proporcionan las bases para llevar a cabo el control interno en toda la organización. Hay 5 principios relacionados con el ambiente de control: 1. La organización demuestra su compromiso por los valores éticos y de integridad. 2. El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno. 3. La dirección establece, con la supervisión del consejo de administración, las estructuras, las líneas de reporte, las responsabilidades y la autoridad para el logro de los objetivos. 4. La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal. 5. La organización hace responsable a su personal acerca de sus obligaciones para el control interno y el logro de objetivos. 9

10 Componentes de COSO 2013 y su alineación con un SGC Principios de COSO 2013 Requisitos de la norma ISO 9001:2008 1) La organización demuestra su compromiso con los valores éticos y de integridad. 2) El consejo de administración demuestra independencia de la dirección y ejercita el desarrollo y la eficiencia del control interno. 3) La dirección establece, con la supervisión del consejo de administración, las estructuras, líneas de reporte, responsabilidades y la autoridad para el logro de objetivos. 4) La organización demuestra su compromiso para atraer, desarrollar, y retener a su personal. 5.1 Compromiso de la dirección 5.2 Enfoque al cliente 5.3 Política de calidad 5.6 Revisión por la dirección 5.3 Política de calidad 5.4 Planificación 5.5 Responsabilidad, autoridad y comunicación 6.2 Recursos humanos Generalidades Competencia, formación y toma de conciencia 5) La organización hace responsable a su personal sobre sus obligaciones para el control interno y el logro de objetivos 5.5 Responsabilidad, autoridad y comunicación 10

11 Componentes de COSO 2013 y su alineación con un SGC La Evaluación del Riesgoinvolucra un proceso dinámico e interactivo para identificar y analizar los riesgos para el logro de los objetivos de la organización, formando así las bases para determinar qué riesgos deben ser administrados. La dirección considera los posibles cambios en el ambiente externo y en el modelo de negocios que puedan impedir su habilidad para lograr sus objetivos. Hay 4 principios relacionados con la evaluación del riesgo: 1. La organización tiene objetivos claros que permiten la identificación y la administración de los riesgos asociados. 2. La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados. 3. La organización considera el potencial de fraude al momento de evaluar los riesgos. 4. La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno. 11

12 Componentes de COSO 2013 y su alineación con un SGC Principios de COSO 2013 Requisitos de la norma ISO 9001:2008 1) La organización tiene claros que permiten la identificación y la administración de los riesgos asociados. 2) La organización identifica los riesgos que afectan el logro de objetivos dentro de la misma y analiza cómo deben ser tratados. 3) La organización considera el potencial de fraude al momento de evaluar los riesgos. 4) La organización identifica y administra los cambios que pueden tener un impacto significativo en el sistema de control interno Objetivos de la calidad 5.6 Revisión por la dirección 7. Realización del producto 7.1 Planificación de la realización del producto 7.2 Procesos relacionados con el cliente 7. Realización del producto 7.1 Planificación de la realización del producto 7.2 Procesos relacionados con el cliente Control de los documentos Mejora continua 12

13 Componentes de COSO 2013 y su alineación a un SGC Las Actividades de Controlson las acciones establecidas por las políticas y procedimientos que le ayudan a la dirección a asegurar el poder mitigar los riesgos que impidan el logro de objetivos. Las actividades de control se llevan a cabo en todos los niveles de la entidad y en todas las etapas de los procesos de negocios y sobre los ambientes de las tecnologías de la información. Hay 3 principios relacionados con las actividades de control: 1. La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable. 2. La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos. 3. La organización implementa las actividades de control por medio de los procedimientos que aseguran que las políticas se están cumpliendo. 13

14 Componentes de COSO 2013 y su alineación a un SGC Principios de COSO 2013 Requisitos de la norma ISO 9001:2008 1) La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos a un nivel aceptable. 2) La organización selecciona y desarrolla actividades de control sobre los sistemas de información que permitan el logro de los objetivos. 3)La organización implementa las actividades de control por medio de los procedimientos que aseguran que las políticas se están cumpliendo. 5.6 Revisión por la dirección Control de laproducción y de la prestación del servicio Validación de los procesos de la produccióny de la prestación del servicio Identificación y trazabilidad 8.4 Análisis de datos Fuera del alcance del SGC Procedimientos incluidos dentro del SGC Personal Servicios generales Bienes y suministros Presupuesto 14

15 Componentes de COSO 2013 y su alineación a un SGC La Información es necesaria para que la entidad lleva a cabo sus responsabilidades de control interno para el logro de objetivos, las comunicacionesse dan tanto interna como externamente y proveen la información que necesita la entidad para ejecutar los controles día a día; éstas deben proveer al personal con un entendimiento de sus responsabilidades dentro del control interno y del logro de los objetivos Hay tres principios relacionados a la información y comunicación: 1. La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno. 2. La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno. 3. La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno. 15

16 Componentes de COSO 2013 y su alineación con un SGC Principios de COSO 2013 Requisitos de la norma ISO 9001:2008 1) La organización obtiene y usa información de calidad para soportar la funcionalidad del control interno. 2) La organización internamente comunica los objetivos y las responsabilidades establecidas para el funcionamiento del control interno. 3) La organización comunica con los terceros interesados los temas que afectan el funcionamiento del control interno Seguimiento y medición de los procesos 8.4 Análisis de datos 5.5 Responsabilidad, autoridad y comunicación Procedimientos incluidos dentro del SGC Personal Servicios generales Bienes y suministros Presupuesto 16

17 Componentes de COSO 2013 y su alineación a un SGC Las Actividades de monitoreo son evaluaciones que realiza la organización en donde evalúa los 5 componentes del control interno para corroborar la eficacia y eficiencia de éstos. Hay dos principios relacionados a las actividades de monitoreo: 1. La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización. 2. La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato universitario 17

18 Componentes de COSO 2013 y su alineación con un SGC Principios de COSO 2013 Requisitos de la norma ISO 9001:2008 1) La organización selecciona, desarrolla y realiza evaluaciones de los diferentes componentes del control para comprobar que estén presentes y funcionando en la organización Satisfacción del cliente Auditoría interna Seguimiento y medición de los procesos 2) La organización evalúa y comunica las deficiencias de control interno a los responsables de realizar las acciones correctivas al igual que al patronato Mejora continua Acción correctiva Acción preventiva 18

19 IMPLEMENTACIÓN DE LA EVALUACIÓN DE RIESGOS 19

20 Implementación de la evaluación de riesgos La incertidumbre implica riesgos y oportunidadesy posee el potencial de erosionar o aumentar el valor de las organizaciones. Eventos: Riesgos y Oportunidades Los eventos pueden tener un impactonegativo, positivoo de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente. Los eventos con impacto positivopueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que repercutan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas. 20

21 Implementación de la evaluación de riesgos Alinear el riesgo aceptado y la estrategia En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados. Mejorar las decisiones de respuesta a los riesgos Proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados. 21

22 Implementación de la evaluación de riesgos Identificar y gestionar la diversidad de riesgos para toda la entidad Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización. La administración de riesgos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. Aprovechar las oportunidades Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo. Mejorar la dotación de recursos La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación. 22

23 Implementación de la evaluación de riesgos El apetito de riesgo es el máximo nivel de riesgo que la organización está dispuesta a aceptar. Es una guía en el establecimiento de la estrategia. Se expresa como un balance entre: crecimiento, riesgo y el retorno. Dirige la asignación de recursos. Alinea la organización, el personal, los procesos y la infraestructura. Impacto Bajo Medio Alto Dentro del Apetito de Riesgo Excediendo el Apetito de Riesgo Bajo Medio Alto Probabilidad 23

24 Implementación de la evaluación de riesgos La tolerancia al riesgo se puede medir preferentemente en las mismas unidades que los objetivos relacionados de la organización. Estrategia de negocio Variación Inaceptable Límite de tolerancia Desempeño Real Meta Fijada Límite de tolerancia Variación Inaceptable Tiempo 24

25 Eventos externos Económicos Medio ambiente Políticos Tendencias tecnológicas Disponibilidad de capital Incumplimiento de créditos Seguros Liquidez Mercado Huelgas Contaminación Energía Desastres naturales Cambios gubernamentales Legislación externa e interna Regulaciones Tecnologías emergentes Interrupciones E-business, E-commerce 25

26 Eventos internos Tecnología Personal Proceso Infraestructura Datos Capacidad Sistemas Competencia del personal Salud e higiene Ética e integridad Diseño Ejecución Proveedor Disponibilidad de activos Capacidad de activos Acceso a capital 26

27 Respuesta al riesgo Evitar el riesgo Reducir la expansión de una línea de productos a nuevos mercados Vender una división, unidad de negocio o segmento geográfico altamente riesgoso Dejar de producir un producto o servicio altamente riesgoso Compartir el riesgo Compra de seguros contra pérdidas inesperadas significativas Contratación de outsourcing para procesos del negocio Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios Respuesta al riesgo Aceptar el riesgo Auto-asegurarse (Self-insuring) contra pérdidas Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo Mitigar el riesgo Fortalecimiento del control interno en los procesos Diversificación de productos Establecimiento de límites a las operaciones y monitoreo Reasignación de capital entre unidades operativas 27

28 CÓMO SE HIZO EN LA UNAM? 28

29 Pasos para elaborar un plan de administración de riesgos Identifique todos los elementos de riesgo en la operación Asigne una probabilidad de que estos sucedan (Cuantitativamente o Cualitativamente) Determine el impacto de cada uno de éstos Prepare una matriz de probabilidad vs impacto por cada riesgo detectado Analice las eficacia de cada una de las estrategias para mitigar el riesgo Desarrolle planes de contingencia Desarrolle una estrategia de mitigación Asigne una prioridad para cada riesgo identificado De seguimiento a los riesgos 29

30 Pasos para elaborar un plan de administración de riesgos Costo Beneficio Impacto Qué tan malo es si pasa? Mitigación Qué tanto podemos reducir la probabilidad de que suceda?, a qué costo? Contingencia Podemos reducir el impacto?, a qué costo? 30

31 Pasos para elaborar un plan de administración de riesgos Probabilidad BA MA AA BM MM MA Los riesgos a los cuales se les asignaron actividades de control son aquellos catalogados de medios a altos. BB BM BA Impacto 31

32 Cómo lo integramos en el SGC Controles preventivos Son diseñados para evitar riesgos, errores o incidentes antes de su ocurrencia Controles detectivos Son diseñados para detectar de forma rápida los problemas Controles correctivos Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos 32

33 Cómo lo integramos en el SGC Se identificaron los riesgos y controles por procedimiento Incorporaron las matrices de riesgos en cada procedimiento Se desarrolló una matriz de riesgos clave por SyUA s La RXD específica incorpora el seguimiento y monitoreo de los riesgos mediante los indicadores y metas La RXD institucional encuentra los riesgos claves para cada proceso y les da seguimiento por medio de los indicadores y metas 33

34 Cómo lo integramos en el SGC Cómo identificamos un control clave? Los controles que cumplen 3 o más de las siguientes aserciones que eviten el logro del objetivo, son considerados un control clave. Totalidad Exactitud Validez Acceso restringido 34

35 Cómo lo integramos en el SGC Alineación de los objetivos Institucionales con los objetivos de calidad que son medibles a nivel SyUAs Línea rectora 14. Mejorar las condiciones de trabajo, seguridad y bienestar de la comunidad universitaria Objetivos generales Consolidar el programa de mantenimiento, particularmente el que se realiza en julio y diciembre. Crear acciones estratégicas para la protección del ambiente y de los recursos naturales en los espacios universitarios; impulsar un proyecto para el manejo de residuos sólidos, así como previsiones en materia de bioseguridad. Objetivos de la calidad 6. Mantener la infraestructura en condiciones apropiadas para el desarrollo de las funciones sustantivas 7. Contribuir a la protección del medio ambiente Proceso Presupuesto Servicios generales Bienes y suministros Servicios generales Indicador % Recursos utilizados para conservación de la infraestructura % Mantenimiento realizado % Planta física conservada % de trabajos realizados por cláusula 15 % de trabajadores favorecidos por cláusula 15 Eficiencia en el ejercicio de los recursos % de artículos, materiales y útiles diversos de bajo impacto ambiental adquiridos. % de lámparas fluorescentes reemplazadas 35

36 Cómo lo integramos en el SGC Se incluyeron los siguientes puntos en los procedimientos: Controles identificados en cada etapa del proceso. Matrices de riesgo incorporadas al procedimiento. Los controles están diseñados para poder identificar posibles riesgos de fraude. (Ej. cumplimiento de la normatividad universitaria) Los controles ayudan a mitigar el riesgo de servicios no conformes. 36

37 Cómo lo integramos en el SGC Diseño de la matriz cubre Descripción del control Riesgos identificados por control Clasificación del riesgo (Probabilidad e impacto) Clasificación del control Operativo Económico Normativo, etc. Tipo de control Preventivo Detectivo Correctivo 37

38 Cómo lo integramos en el SGC 38

39 Cómo lo integramos en el SGC Riesgos: afectar las labores de docencia, investigación y difusión de la cultura Servicio no conforme 39

40 Cómo lo integramos en el SGC Alta probabilidad de que se materialice el riesgo 40

41 Cómo lo integramos en el SGC Tolerancia al riesgo Fuera de la tolerancia 41

42 Recomendaciones 1. Todos los nivelesde la organización deben estar conscientes de la importancia de la administración de riesgo. 2. Los riesgos deben ser identificados por un equipo interdisciplinario. 3. Deben monitorearse continuamente ya que éstos se modifican en el tiempo. 4. La administración de riesgos debe ser parte de la planeación estratégica de la organización. 5. Capacitar, capacitar y capacitar. 42

43 Datos de contacto Mtro. Ricardo Adolfo Vidal Castro Dirección General de Servicios Administrativos / Dirección de planeación y gestión de la calidad Teléfono (55) ricardo.vidal@unam.mx 43