SISTEMA DE CONTROL INTERNO BASADO EN ISO RISK MANAGEMENT PARA GENERAR Y PROTEGER EL VALOR

Transcripción

1 SISTEMA DE CONTROL INTERNO BASADO EN ISO RISK MANAGEMENT PARA GENERAR Y PROTEGER EL VALOR Expositor: CPCC ALFONZO MUÑOZ C. alfonzo.munoz@gmail.com

2

3 QUÉ ES EL RIESGO? [1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000)

4 QUÉ ES EL RIESGO? [1] Efecto Desviación, Positiva o Negativa, Respecto a lo previsto [2] Incertidumbre IN (Negación) y CERTUS (Cierto) Carencia de conocimiento certero, desconocimiento de una condición futura. [3] Objetivos a) Otorgar créditos de calidad para asegurar el retorno de la inversión (capital), y la sostenibilidad de la rentabilidad. IMF: Ejm. Pérdida de Ingresos (intereses), capital, e incremento de provisiones, debido a una inadecuada calidad de la evaluación de la capacidad y voluntad de pago, realizado por los funcionarios de Negocios

5 COMUNICACIÓN Y CONSULTA EVOLUCIÓN DE LA METODOLOGÍA DEL RIESGO Esquema del proceso interactivo de Administración Integral del Riesgo: ISO ISO Basilea II + SOX +. Establecer contexto SAR Externo Interno Específico Definir las Áreas de Impacto Objetivos/Metas (Oportunidades) PARTES INVOLUCRADAS Definir las Fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) CAMBIOS MONITOREO Riesgo con Controles (Residual) Riesgo con Tratamientos Implementar Plan de Acción

6 PLAN ESTRATÉGICO QUÉ SE VA HACER? PLAN OPERATIVO INSTRUMENTOS DE GESTIÓN POLÍTICAS REGLAMENTOS PROCEDIMIENTOS INSTRUMENTOS NORMATIVOS PLAN DE NEGOCIOS PLANIFICA PROCESO CREDITICIO Objetivo Meta Inicio - Final META REPLICA IMPLEMENTA 100% INSTRUMENTOS NORMATIVOS 90% (+) 10% (-) MEDIDAS CORRECTIVAS CONTROL Reuniones de Directorio Control Metas/Objetivos Control Implementación de Procedimientos Análisis Financiero Análisis de Flujo de Caja Libro de Actas Normas del Proceso Crediticio Normas del Proceso Operacional

7 EVALUACIÓN DE RIESGOS IDENTIFICACIÓN = DEFINIR ÁREA DE IMPACTO (consecuencia) FUENTE DE RIESGO (probabilidad) ANÁLISIS = ÁREA DE IMPACTO + EVENTO + FUENTE DE RIESGO VALORACIÓN = PROBABILIDAD + IMPACTO = SEVERIDAD

8 ANÁLISIS DE RIESGOS ÁREA DE IMPACTO (consecuencia) Dinero efectivo Dinero Bancos Presupuesto Activos fijos Cuentas por pagar Ingresos Gastos Sobrecostos RR.HH. Pueblo Imagen (reputación) EVENTOS (factores) VALORES FORMACIÓN ACADÉMICA EXPERIENCIA RESPALDO ECONÓMICO CULTURA FUENTE DE RIESGO (causas) DIRECTORES FUNCIONARIOS PROVEEDORES PUEBLO

9 PROBABILIDAD TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO Directivos, Funcionarios Proveedores Clientes Fuente de Riesgo 2 1 Control Preventivo $ 1,000 5,000 50, , ,000 Impacto Área de Impacto Control Correctivo $ Activos, Pasivos, Patrimonio, Ingresos, Gastos, Costos

10 PROCESO DE SELECCIÓN DE PERSONAL FUENTE DE RESGO Control Interno Preventivo Control Interno Detectivo / Preventivo PERFIL Valores Experiencias Formación Académica Inspección en la Evaluación de Desempeño Cumplimiento MOF Manual de organigrama y funciones. Cumple metas (%, $) EVALUACIÓN DE DESEMPEÑO DESEMPEÑO DEL PERSONAL Control en Fuentes de Riesgo Control en Procesos

11 EJEMPLO SECTOR SALUD Objetivo: Otorgar servicios de salud integral de calidad a la población vulnerable. Meta: Atender de manera efectiva al 100% de la población vulnerable. Riesgo: Inadecuados servicios preventivos de salud a la población por parte del Ministerio de Salud. [1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000) Inadecuado Servicio de salud Funcionarios Población Equipos médicos Profesionales de la salud Funcionarios Población Equipos médicos Profesionales de la salud EVENTO FUENTE DE RIESGO ÁREA DE IMPACTO

12 MODELAMIENTO DEL RIESGO PROCESO: CARTERA DE CRÉDITOS ÁREA DE IMPACTO RIESGO FUENTES DE RIESGO Ingresos (intereses) Capital (otorgado al cliente) Provisiones (caso no pague) sobrecostos Pérdidas de los ingresos, pérdida del capital e incremento de las provisiones, debido a la inadecuada determinación de la capacidad y voluntad de pago, realizado por el funcionario de negocios. EVENTOS Funcionarios negocios. Clientes de Colusión entre el funcionario de negocio con el cliente falseo de información. No se realizaron visitas a la fuente generadora de ingresos y unidad familiar. Manipulación de ingresos y gastos.

13 TABLA SEMICUANTITATIVA: PROBABILIDAD TABLA SEMI-CUANTITATIVA: Probabilidad - Ejemplo RANGO DE PROBABILIDAD RARA POSIBILIDAD Puede ocurrir en circunstancias excepcionales PROBABILIDAD MATEMÁTICA <10% FRECUENCIA Error cada operaciones VALOR 1 IMPROBABLE Insignificante posibilidad de que el evento ocurra 10.1% - 40% Error cada operaciones 2 MODERADA PROBABLE CASI CERTEZA Alguna posibilidad de que el evento ocurra Posiblemente ocurra varias veces Ocurra la mayoría de veces 40.1% - 60% a 60.1% y < a 90% > 90% Error cada 100 operaciones Error cada 10 operaciones Error cada 2 operaciones 3 4 5

14 TABLA SEMICUANTITATIVA: CONSECUENCIA TABLA SEMI-CUANTITATIVA: Consecuencia - Ejemplo TIPOS GENERALES DE CONSECUENCIAS RANGO CONSECUENCIA RECURSOS HUMANOS PÉRDIDAS ECONÓMICAS PÉRDIDAS DE REPUTACIÓN VALOR INSIGNIFICANTE MENOR MODERADA MAYOR CATASTRÓFICA Sin lesiones o lesiones con incapacidad hasta 3 días Incapacidad mayor a 3 días hasta 1 mes Incapacidad mayor a 1 mes hasta 3 meses Incapacidad mayor a 3 meses hasta 6 meses Pérdida de vidas humanas Incapacidad total y permanente Más de 6 meses Hata S/ 1,000 Entre S/1,001 a S/. 5,000 Entre S/5,001 a S/50,000 Entre S/ 50,001 a S/.500,000 Mayores a S/500,001 Sólo es de conocimiento del Consejo Directivo De conocimiento a nivel de la Empresa. De conocimiento a nivel Distrital De conocimiento a nivel Regional De conocimiento a nivel Nacional

15 CRITERIOS REQUERIDOS PARA LA VALORACIÓN Y MEDICIÓN DE RIESGOS X = Severidad Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito al riesgo / etc.

16 Valoración de la Probabilidad

17 VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD FACTORES RANGO EVALUACIÓN PESO PONDERACIÓN PUNTAJE SENCILLO 1 1 COMPLEJIDAD DEL PROCESO ALGO COMPLEJO 5 MUY COMPLEJO NO APLICABLE 0 AUTOMATIZADO 1 10 GRADO AUTOMATICACIÓN COMBINADO 5 MANUAL NO APLICABLE 0 EXCELENTE 1 1 CALIDAD COMUNICACIÓN MODERADA 5 POBRE NO APLICABLE 0 MUY COMPLETA 1 5 CALDAD DOCUMENTACIÓN ACEPTABLE 5 DEFICIENTE NO APLICABLE 0 EXCELENTE 1 10 IDONEIDAD DEL PERSONAL ACEPTABLE 5 DEFICIENTE 10 NO APLICABLE PUNTAJE TOTAL FACTORES QUE APLICAN AL ESCENARIO CAUSA DEL RIESGO 270 % PROBABILIDAD (PUNTAJE TOTAL DE LA CAUSA/TOTAL DE PUNTAJE POSIBLE) 270/

18 VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD AUTOMATIZADO COMBINADO MANUAL EXCELENTE ACEPTABLE DEFICIENTE GRADO DE AUTOMATIZACIÓN Proceso que opera en su totalidad, sin intervención del funcionario. Actividades que realiza el funcionario con ayuda de un aplicativo. Actividades realizadas manualmente por el funcionario. IDONEIDAD DEL PERSONAL Cumple con el perfil requerido para el cargo, su trabajo es totalmente bueno. Cumple parcialmente con el perfil requerido para el cargo, cumple en buena forma con las obligaciones de su cargo. Comete errores apreciables con frecuencia y requiere supervisión, guía e instrucciones permanentes.

19 TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO Directivos, Funcionarios Proveedores Clientes Fuente de Riesgo Control Preventivo P r o b a b i l i d a d (4 x 4 = 16) RIESGO INHERENTE Cobertura Del Control Preventivo Cobertura Del Control con Tratamiento (2 x 4 = 8) RIESGO CON CONTROL $ 1,000 5,000 50, , ,000 Impacto (1 x 4 = 4) RIESGO CON TRATAMIENTO Área de Impacto Control Correctivo $ Activos, Pasivos, Patrimonio, Ingresos, Gastos, Costos

20 MAPA DE RIESGOS INHERENTES PROBABILIDAD 5.Casi certera Alto Alto Extremo Extremo Extremo R2 4. Probable Moderado Alto Alto Extremo Extremo R3 3. Moderado Bajo Moderado Alto Extremo Extremo R1 2. Improbable Bajo Bajo Moderado Alto Extremo 1. Raro Bajo Bajo Moderado Alto Alto 1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrófico IMPACTO

21

22 QUÉ ES EL CONTROL INTERNO? ISO Medida que modifica el riesgo. AS/NZS Son las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos. IIA Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.

23 CONTROL INTERNO PREVENTIVO SELECCIÓN DE PERSONAL PERFIL VALORES FORMACIÓN ACADÉMICA DETECTIVO/PREVENTIVO EVALUACIÓN DE DESEMPEÑO Cumplimiento del Manual de Organización y Funciones (MOF). Cumplimiento de Metas (%, $) EXPERIENCIA

24 CONTROLES 95% cumple Profesionales de Salud Valor Formación académica Experiencia Perfil del Puesto Equipo Médico Buen estado: tecnología avanzada Minimiza el riesgo Estructura Organizacional Adecuada al ajuste del entorno de la entidad 5% Proceso de Automatización Adecuada gestión de procesos automatizados con control de señales de alerta

25 VALORACIÓN DEL CONTROL INTERNO

26 VALORACIÓN DE EFICACIA DE CONTROLES Factores Características Efectividad Peso Ponderaci ón Puntaje Manual 1 IMPLEMENTACIÓN Combinado Automatizado / Mecánico 5 Ejecución Discretos (Muestreo) 1 De Aplicación Continua Discrecional 1 Oportunidad Periódicos Continuos 5 Sin documentar 1 Documentación Parcialmente documentado Documentado 5 Muy Complejo 1 Complejidad Algo complejo Sencillo 5 Responsabilidad no idóneo 1 RESPONSABILIDAD Parcialmente algo idóneo Responsabilidad idóneo 5 Puntaje Total 60 Puntaje Máximo tabla = 60 = 100% Efectividad Control EFECTIVIDAD DESCRIPCIÓN VALOR POBRE 10% INSATISFACTORIO 30% MODERADA 50% BUENA 70% EXCELENTE 90%

27 VALORACIÓN DE EFICACIA DE CONTROLES FACTOR RANGO DETALLE MANUAL Actividad realizadas manualmente por el funcionario IMPLEMENTACIÓN Actividad que realiza el funcionario con ayuda COMBINADO de un aplicativo. Proceso que opera en su totalidad sin AUTOMATIZADO intervención del funcionario. El responsable de ejecutar los controles, no RESPONSABLE cuenta con el perfil, experiencia y su NO IDONEO desempeño es bajo. RESPONSABILIDAD RESPONSABLE ALGO IDONEO RESPONSABLE IDONEO El responsable de ejecutar los controles, cumple parcialmente con el perfil y su desempeño se encuentra sobre el promedio. El responsable cumple con ejecutar los controles, cumple con el perfil y sus funciones, su desempeño es aceptable.

28 CONCLUSIONES La Gestión del Riesgo debe ser liderado por el DIRECTORIO/TITULAR El Auditor Interno es promotor de cambio El proceso de gestión de riesgo es parte de la misma gestión. Jerarquizar los riesgos, los controles de mayor cobertura y las fuentes de riesgos de mayor incertidumbre. Los controles deben estar orientados a las fuentes del riesgo para minimizar las causas. El tratamiento de Recursos Humanos y TI son estratégicos.

29 AMS CONSULTING INFORMES E INSCRIPCIONES Central Telefónica: / contacto@amsriskconsulting.com contactoamsrisk@gmail.com