Documentos Técnicos N 70 V.2. Presentación SSMSO sobre Síntesis del DT N 70 y novedades respecto del Proceso de Gestión de Riesgos

Transcripción

1 Documentos Técnicos N 70 V.2 Presentación SSMSO sobre Síntesis del DT N 70 y novedades respecto del Proceso de Gestión de Riesgos

2 Agenda de la Presentación Introducción Marco de Trabajo Proceso de Gestión de Riesgos en el Estado Principales cambios del Documento Técnico: Señales de Alerta Productos y plazos Temas Relevantes del Documento Técnico Ejemplos Prácticos: Identificación de Riesgos Señales de Alerta Definición de Roles CAIGG 2

3 Marco de Trabajo (Framework): Líneas de Acción Estratégicas Periodo Gestión del Riesgo ISO-NCh:31000 CAIGG 3

4 Proceso de Gestión de Riesgos en el Estado Definiciones: Riesgo La posibilidad (probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecución de los objetivos. (*) El efecto de la incertidumbre sobre los objetivos. (**) Esta definición destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales eventos y consecuencias, o a una combinación de ambos. La Gestión del Riesgo Es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la organización juegan un rol en el aseguramiento de éxito de la Gestión del Riesgo, pero la responsabilidad principal de la misma recae sobre la dirección. (***) * Marco Coso 2013 ** Norma NCh-ISO Guía 73:2012 *** Marco Integrado de Gestión del Riesgo COSO II CAIGG 4

5 Proceso de Gestión de Riesgos en el Estado Beneficios de la Gestión de Riesgos Mejora las posibilidades de alcanzar los objetivos en la organización. Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización. Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio. Genera y fortalece el enfoque en asuntos que realmente importan a la organización. Contribuye a disminuir las sorpresas y crisis en la organización. Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma. Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y económicas. Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas. CAIGG 5

6 Comunicación y Consulta Proceso de Gestión de Riesgos en el Estado NCh ISO 31000:2012 Gestión del Riesgo Principios y Orientaciones Principios de la Gestión del Riesgo Marco de Trabajo para la Gestión del Riesgo Proceso de Gestión del Riesgo 1. Crea Valor y lo Protege. 2. Está Integrada en los Procesos de la Organización. 3. Forma parte de la toma de decisiones. 4. Trata explícitamente la incertidumbre. 5. Es sistemática, estructurada y adecuada. 6. Está basada en la mejor información disponible. 7. Está hecha a medida. 8. Tiene en cuenta factores humanos y culturales. 9. Es transparente e inclusiva. 10. Es dinámica, iterativa y sensible al cambio. 11. Facilita la mejora continua en la organización. Mejoramiento Continuo del Marco Compromiso de la Dirección Diseño del Marco de Gestión del Riesgo Monitoreo y Revisión del Marco Implementación de la Gestión del Riesgo Establecer el Contexto Evaluación de Riesgos Identificar Riesgos Analizar Riesgos Valorar Riesgos Tratar los Riesgos Monitoreo y Revisión Cláusula 3 Cláusula 4 Cláusula 5 CAIGG 6

7 Proceso de Gestión de Riesgos en el Estado Interacción con Sistema Preventivo Delitos LA/FT/DF Ley ( ) Crea la Unidad de Análisis Financiero y Modifica Diversas Disposiciones en Materia de Lavado de Activos, Deber de Informar Operaciones Sospechosas Ley ( ) Modifica la Ley Ampliando el deber de informar a las Superintendencias, Servicios y demás Órganos Públicos señalados en el inciso segundo art 1 de la Ley Oficio Circular N 20 ( ) + Guía de Recomendaciones Orientaciones Generales para el Sector Público, se refuerza el compromiso y la colaboración de los Organismos Públicos con los más altos estándares de transparencia y probidad en la Administración del Estado Guía de Recomendaciones para el Sector Público en la Implementación de un Sistema Preventivo contra los Delitos Funcionarios, el Lavado de Activos, y el Financiamiento del Terrorismo Documento Técnico N 70 v 0.2 (Marzo 2016) En concordancia con las normativas mencionadas, CAIGG actualiza el Documento Técnico N 70 respecto de las Señales de Alertas y Cargo Asociados que se incluirán a partir del año 2016 en la Matriz de Riesgo Estratégica respecto de Lavado de Activo, Financiamiento del Terrorismo y Delitos Funcionarios (LA/FT/DF) También, se añaden la estructura de información a levantar relacionada con Señales de Alerta LA/FT/DF No incluidas en la Matriz de Riesgos Estratégica CAIGG 7

8 Proceso de Gestión de Riesgos en el Estado Resumen de Aspectos Relevantes Identificar Objetivos Señales de Alerta Cargo Asociado Identificar, Analizar y Valorar Riesgos Determinar Impacto y Probabilidad Identificar, Analizar y Valorar Controles Determinar Efectividad de Controles Determinar el nivel de riesgo residual o exposición riesgo no cubierto Formular Matriz de Riesgos Definir medidas de tratamiento Documento Técnico N 70: Implantación, Mantención y Actualización del Proceso de Gestión de Riesgos en el Sector Público Monitorear las medidas de tratamiento CAIGG 8

9 Señales de Alerta Proceso de Gestión del Riesgo en el Estado Fase II: Evaluación de Riesgos - Identificación Señal de Alerta Indicadores, indicios, condiciones, comportamientos o síntomas de ciertas operaciones o personal que podrían permitir potencialmente detectar la presencia de una operación sospechosa de lavado de activos, delitos funcionarios o financiamiento del terrorismo (1). (Anexo N 13 y 14 - DT N 70 v.2, Págs ) Ejemplos: Ciclo de Ventas Cuentas por Cobrar Alto nivel de reclamos por saldos de cuentas incorrectas. Documentos comerciales duplicados. Recaudaciones y/o recibos NO asociados a facturas o boletas. Ciclo de Compras Selección de Bienes y/o Servicios Apertura prematura de las ofertas. Extensión injustificada de fechas de apertura de las ofertas y sin el respaldo de los actos administrativos correspondientes. Falsificación de documentos de la oferta. DT N 70 CAIGG 9

10 A contar del año 2016, cuando corresponda, se debe asociar a los riesgos identificados en la Matriz de Riesgos Estratégica, señales de alerta de delitos LA/FT/DF. Proceso Transversal Proceso de Gestión del Riesgo en el Estado Fase II: Evaluación de Riesgos - Identificación LEVANTAMIENTO DE INFORMACIÓN DE PROCESOS Proceso Crítico Subproceso Pd. (1) Etapas MATRIZ DE RIESGOS ESTRATÉGICA (EXTRACTO) Objetivos Descripción Riesgos Específicos Fuente de Riesgos Tipo de Riesgo RIESGOS CRITICOS Señal de Alerta Cargo Asociado Probabilidad (P) Consecuencia (I) Clasif. valor Clasif. valor SUBSIDIO A GESTIÓN DE PRIVADO DE PROGRAMAS Y FOMENTO PROYECTOS SUBSIDIO A GESTIÓN DE PRIVADO DE PROGRAMAS Y FOMENTO PROYECTOS SUBSIDIO A PRIVADO DE FOMENTO SUBSIDIO A PRIVADO DE FOMENTO CAIGG GESTIÓN DE PROGRAMAS Y PROYECTOS GESTIÓN DE PROGRAMAS Y PROYECTOS. SI/NO ENTREGAR SUBSIDIOS PARA 40% EMPRENDE DORES Selecci ón y Aproba ción Levantamiento de al menos el 50% Seleccionar y aprobar a los postulantes que cumplan con los requisitos exigidos en las bases de acuerdo a los cupos disponibles para entrega beneficio. la del Modificación indebida de perfil usuario Conflictos de intereses Interna Tecnoló gicos Interna Imagen Jefe TICs Adm. Sistema Integrantes Comisión Evaluadora Modera do Muy Improb. 3 1 Catastr óficas Catastr óficas ( Ver Anexo Nº13) SI SI SI

11 Proceso de Gestión del Riesgo en el Estado Fase II: Evaluación de Riesgos - Identificación Para realizar dicha labor se sugiere revisar los siguientes antecedentes: Anexo N 12: Conceptos sobre delitos de Lavado de Activos (LA), Financiamiento del Terrorismo (FT) y Delitos Funcionarios (DF). Anexo N 13: Ejemplos de señales de alerta genéricas para delitos LA/FT/DF. Guía Señales de Alerta: publicada en la pagina web de la Unidad de Análisis Financiero (UAF) - Oficio Circular N 20/2015 del Ministerio de Hacienda: Orientaciones generales para el Sector Público en relación al inciso sexto del artículo 3 de la ley N Guía de Recomendaciones para el Sector Público en la implementación de un sistema preventivo contra los delitos funcionarios, el lavado de activos y el financiamiento del terrorismo (Adjunta al Oficio Circular N 20/2015 del Ministerio de Hacienda). Material del curso E-Learning para prevenir el lavado de activos y el financiamiento del terrorismo en las Instituciones Públicas, entregado por la Unidad de Análisis Financiero (UAF). CAIGG 11

12 Adicionalmente, se debe: Señales de Alerta de Delitos LA/FT/DF No Asociadas con los Riesgos incluidos en la Matriz de Riesgos Estratégica Identificar riesgos o señales de alerta LA/FT/DF en los procesos, subprocesos, etapas, proyectos, sistemas, etc., que no hayan sido considerados en la Matriz de Riesgos Estratégica. Por no estar dentro del porcentaje mínimo (valor porcentual mínimo) de procesos críticos que deben analizarse en la organización, según lo informado por el CAIGG. En el caso que todos los procesos de la Organización estén incluidos en la Matriz de Riesgos Estratégica, no será necesario considerar este requerimiento. Identificar cuando sea posible, otras señales de alerta de delitos LA/FT/DF relacionados con procesos, subprocesos, etapas, etc. Que por su naturaleza y características, no se han podido asociar a los riesgos operativos incluidos en la Matriz de Riesgos Estratégica. Se recomienda ver ejemplos en Anexo N 13. Anexo N 14, del DT N 70 Estructura de información a levantar relacionada con Señales de Alerta LA/FT/DF No asociadas con los Riesgos incluidos en la Matriz de Riesgos Estratégica. CAIGG 12

13 Productos y Plazos ORD N 369 del : Establece Objetivos Gubernamentales Ord N 18/2016: Reportes e Informes a enviar al CAIGG en el año REPORTE DE MONITOREO Y REVISIÓN DEL PLAN DE TRATAMIENTO ENVIADO AL POLÍTICA DE GESTIÓN DE RIESGOS 2016 Y RESPONSABLES Y SUS ROLES PLAN DE COMUNICACIÓN Y CONSULTA MATRIZ DE RIESGOS ESTRATÉGICA RANKING DE RIESGOS PLAN DE TRATAMIENTO DE RIESGOS INFORME DE RESULTADO DE LA APLICACIÓN DEL PLAN DE COMUNICACIÓN Y CONSULTA 2016 REPORTE DE ANÁLISIS DE INDICADORES DEL PROCESO DE GESTIÓN DE RIESGOS Y MATRIZ DEL RIESGOS INFORME DE MONITOREO DEL PLAN DE TRATAMIENTO 2016 CAIGG 13

14 Temas Relevantes El Documento Técnico en estudio y la presentación general, se encuentran disponibles en la página web Plataforma de Aprendizaje. La metodología establece el levantamiento de al menos el 50% o cuyo porcentaje se informe oportunamente por el Consejo de Auditoría, de los procesos críticos, en la Matriz de Riesgos Estratégica. Desde el 2016 se incorporan los requerimientos del Oficio Circular N 20 del Ministerio de Hacienda sobre delitos LA/FT/DF, velando por la inclusión en los mapas de riesgos institucionales. La función de auditoría interna tendrá un rol de apoyo para que la Dirección pueda alinear el enfoque y las prácticas de Gestión del Riesgo con la norma NCh- ISO 31000:2012. Además, debe proveer aseguramiento a la Dirección sobre la efectividad de la gestión de los riesgos. CAIGG 14

15 Ejemplos de Identificación de Riesgos, Señales de Alerta y definición de Roles CAIGG 15

16 Ejemplo de Identificación de Riesgos Proceso Crítico Subproceso Etapa Objetivo GESTIÓN DE PROGRAMAS Y PROYECTOS ENTREGAR SUBSIDIOS PARA EMPRENDEDORES Selección y Aprobación Seleccionar y aprobar a los postulantes que cumplan con los requisitos exigidos en las bases de acuerdo a los cupos disponibles para la entrega del beneficio Incendio en la instalación Hacker en Sistema Informático Causa Externo Evento Consecuencia Que la selección no se realice de acuerdo a los criterios establecidos en las bases Interno Causa No respetar los criterios de evaluación Falta de elaboración de Bases Entrega de Subsidios a postulantes que no corresponden. Despido del trabajo. Mala imagen del Servicio. CAIGG 16

17 Ejemplo de Identificación de Riesgos CAIGG La metodología considera la identificación, análisis y valoración, de riesgos y oportunidades que pueden afectar la consecución de los objetivos estratégicos de la organización gubernamental. Los eventos pueden generar IMPACTOS POSITIVOS O NEGATIVOS, O AMBOS. Los impactos positivos, se denominan OPORTUNIDADES, y los negativos son conocidos como RIESGOS. Ejemplo: Identificación de Riesgo Técnica: Tormenta de Ideas Objetivo: Seleccionar y aprobar postulantes que cumplan con los requisitos exigidos Lista de ideas 1. Modificación y/o asignación indebida de perfiles de autorización en el sistema 2. Falta de seguridad en el Sistema Informático que permita la modificación de datos. 3. Participación de la Comisión Evaluadora con conflictos de interés. 4. Que la selección no se realice de acuerdo a los criterios establecidos en las bases. 5. Existe una diversidad de técnicas para la determinación de los Riesgos: Anexo Nº7, DT N 75 y NCh ISO

18 Ejemplo de Identificación de Señales de Alerta LA/FT/DF Identificación de Riesgos Relevantes y Señales de Alerta LA/FT/DF incluidas en la Matriz de Riesgos Estratégica EJEMPLO: PROCESO TRANSVERSA L PROCESO CRITICO SUBPRO CESO OBJETIVOS ETAPAS OBJETIVOS DESCRIPCION RIESGO ESPECÍFICO FUENTE DE RIESGO TIPO DE RIESGO SEÑAL DE ALERTA RIESGOS CRÍTICOS CARGO ASOCIAD O PROBABILIDAD CONCECUENCIA SEVERIDAD DEL RIESGO CLASIF. VALOR CLASIF. VALOR CLASIF. VALOR SUBSIDIO A PRIVADO DE FOMENTO GESTIÓN DE PROGRAM AS Y PROYECTO S ENTREG AR SUBSIDI OS PARA EMPRE NDEDO RES OTORGAR AYUDA DIRECTA A HOMBRES Y MUJERES QUE REQUIERE N APOYO EN EL FINANCIA MIENTO DE SU PRIMER EMPRENDI MIENTO Selecció n y Aprobac ión Seleccionar y aprobar a los postulantes que cumplan con los requisitos exigidos en las bases de acuerdo a los cupos disponibles para la entrega del beneficio Modificación y/o asignación indebida de INTERN TECNOL perfiles de autorización en el sistema A ÓGICO Participación de la Comisión Evaluadora con conflictos de interés Que la selección no se realice de acuerdo a los criterios establecidos en las bases INTERN A INTERN A IMAGEN PROCES OS SI SI SI Jefe TICs MODER Adminis ADO trador del Sistema Comisió MUY n IMPROB Evaluad ABLE ora Comisió n Evaluad ora Jefe de Gestión de Progra mas MODER ADO CATASTR ÓFICAS CATASTR ÓFICAS CATASTR ÓFICAS 5 EXTREM O 15 5 ALTO 5 5 EXTREM O 15 CAIGG 18

19 Estructura de Información a levantar relacionada con Señales de Alerta LA/FT/DF No incluidas en la Matriz de Riesgos Estratégica EJEMPLO: Proceso, Subproceso, Etapa, Sistema, Proyecto, etc. Proceso de Abastecimiento y Compra Subproceso de Inventario - Bodegaje Gestión de Personas Ejemplo de Identificación de Señales de Alerta LA/FT/DF Identificación/ Descripción de la Señal de Alerta LA/FT/DF Alta cantidad de ajustes de inventario por responsable y por proveedor. Cargo (s) Funcionario Relacionado(s) Encargado de Bodega Control Asociado Qué: Inventario - Bodegaje/ Sistema Informático. Quién: Encargado de Bodega, Jefe DAF, Jefe Subpto. Bienes. Cómo: Revisión y control del inventario a través de un Sistema Informático, el cual genera aletas por inconsistencias, se cuenta con política de seguridad de la información y asignación de perfiles según corresponda. Cuándo: Semestral y Semanal. Qué: Cumplimiento Ley del Lobby. Quién: Jefe de RR.HH/ Jefe de Jurídica. Funcionario público que integra Cómo: Mantener registro de la comisión evaluadora y que audiencias, regalos, viajes, etc. frecuentemente e Comisión Evaluadora Mantener el control de asistencia a las injustificadamente se ausentan sesiones de la Comisión. del lugar de trabajo. Gestión de Programas Cuándo: Anual y en las veces que se realice una sesión de la Comisión Evaluadora. Qué: Cumplimiento Estatuto Administrativo. Funcionario público que integra Quién: Jefe RR.HH la comisión evaluadora Comisión Evaluadora Cómo: Revisión de funcionarios que renuente a hacer el uso de su no han tomado vacaciones en los feriado legal (vacaciones). periodos que correspondan. Cuándo: Anual Nivel de Cobertura de la Señal de Alerta ALTO MEDIA BAJA Medidas Correctivas y/o Preventivas Se realizará seguimiento a las actividades del proceso. Se realizará una verificación del cumplimiento y los datos ingresados en las DPI y revisión de los requisitos de la Ley Lobby, para su actualización y publicación en banner de trasparencia activa del Servicio. Lo anterior, se realizará de manera semestral y cada vez que ocurra un hecho relevante de actualización de la DPI, Ley Lobby. Se realizará una revisión y verificación del Uso del Feriado Legal y de la Rotación del Personal, por parte del Área de Recursos Humanos y Jurídica, de manera semestral y cada vez que ocurra algún hecho relevante. Adicionalmente se realizarán charlas en relación a la Probidad Administrativa. CAIGG 19

20 Ejemplo de definición de Roles en el Proceso de Gestión de Riesgos Ejemplo de Estructura Organizacional Responsabilidades de Administración de Riesgos Director Director Comité de Riesgos Jefe de Planificación y C. Gestión Jefe de Auditoría Interna Comité de Riesgos Encargados de Riesgos Jefe de Auditoría Interna Jefe Soportes Jefes Operativos Coordinadores de Riesgo por Depto. o Unidad Operativa Unidades de Soporte Unidades de Negocio CAIGG 20

21 Ejemplo de definición de Roles en el Proceso de Gestión de Riesgos Ejemplo de Roles Claves Rol Supervisor Coordinar decisión Comprensión del riesgo Operación y soporte Administrar y reportar riesgos a nivel de negocios Revisión cumplimiento de riesgos específicos Recolectar, analizar y reportar riesgos y respuestas a los riesgos en forma independiente y a través de auditoría interna Ejemplo de Tareas Director: Aprobación de políticas escritas Evaluar efectividad esquema de gestión de riesgos Comité de Riesgos: Supervisar y revisar implementación del marco de gestión de riesgos Monitorear perfil de riesgo de la organización Asegurarse que los riesgos han sido considerados en planes de largo plazo Encargado de Riesgos: Definir prioridades de riesgo Arbitrar y resolver conflictos Alinear respuesta al riesgo a todas las estrategias de la organización y objetivos del negocio Monitorear el avance general de la implementación de las estrategias de tratamiento Coordinadores de Riesgo: Alinear a través de la organización las prioridades y estrategias de identificación de riesgos Medición de impacto de los riesgos Formular respuestas apropiadas al riesgo - Mejoras continua de mediciones y procesos Monitorear el avance en su área de la implementación de las estrategias de tratamiento Auditor Interno: Revisión del cumplimiento de riesgos específicos, fraude, oportunidad de negocios, seguros, etc. Reportes al Director Unidad de Auditoría Interna: Comunicar y reforzar políticas de medición y monitoreo Revisión de cumplimiento Revisión de cumplimiento al monitoreo - Reportes al Director Anexo N 2 - DT N 70 v2 CAIGG 21

22 Ejemplo de definición de Roles en el Proceso de Gestión de Riesgos Roles para la auditoría interna en el PGR en el Sector Gubernamental Principales Roles recomendados en el PGR Algunos Roles que deben realizarse con independencia y objetividad en el PGR Algunos Roles que auditoría interna NO deben realizar en el PGR Realizar evaluación y entregar aseguramiento sobre el PGR. Brindar aseguramiento de que los riesgos son correctamente evaluados. Evaluar los PGR. Evaluar la elaboración de informes sobre los riesgos clave. Facilitación, identificación y evaluación de riesgos. Entrenamiento a la alta dirección sobre respuesta a riesgos. Coordinación de actividades del PGR. Mantenimiento y desarrollo del marco del PGR. Establecer el nivel de Riesgo Aceptado. Imponer Procesos de Gestión de Riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos. Tener roles y responsabilidad de la gestión de los riesgos. Es importante destacar, que la designación del responsable de la Gestión del Riesgo, NO puede ser el Auditor Interno de la organización PERDIDA DE INDEPENDENCIA Y OBJETIVIDAD CAIGG 22

23 Consultas? CAIGG 23