SISTEMA DE CONTROL INTERNO BASADO EN ISO 31000 RISK MANAGEMENT PARA GENERAR Y PROTEGER EL VALOR Expositor: CPCC ALFONZO MUÑOZ C. alfonzo.munoz@gmail.com
QUÉ ES EL RIESGO? [1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000)
QUÉ ES EL RIESGO? [1] Efecto Desviación, Positiva o Negativa, Respecto a lo previsto [2] Incertidumbre IN (Negación) y CERTUS (Cierto) Carencia de conocimiento certero, desconocimiento de una condición futura. [3] Objetivos a) Otorgar créditos de calidad para asegurar el retorno de la inversión (capital), y la sostenibilidad de la rentabilidad. IMF: Ejm. Pérdida de Ingresos (intereses), capital, e incremento de provisiones, debido a una inadecuada calidad de la evaluación de la capacidad y voluntad de pago, realizado por los funcionarios de Negocios
COMUNICACIÓN Y CONSULTA EVOLUCIÓN DE LA METODOLOGÍA DEL RIESGO Esquema del proceso interactivo de Administración Integral del Riesgo: ISO 31000 + ISO 31010 + Basilea II + SOX +. Establecer contexto SAR Externo Interno Específico Definir las Áreas de Impacto Objetivos/Metas (Oportunidades) PARTES INVOLUCRADAS Definir las Fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) CAMBIOS MONITOREO Riesgo con Controles (Residual) Riesgo con Tratamientos Implementar Plan de Acción
PLAN ESTRATÉGICO QUÉ SE VA HACER? PLAN OPERATIVO INSTRUMENTOS DE GESTIÓN POLÍTICAS REGLAMENTOS PROCEDIMIENTOS INSTRUMENTOS NORMATIVOS PLAN DE NEGOCIOS PLANIFICA PROCESO CREDITICIO Objetivo Meta Inicio - Final META REPLICA IMPLEMENTA 100% INSTRUMENTOS NORMATIVOS 90% (+) 10% (-) MEDIDAS CORRECTIVAS CONTROL Reuniones de Directorio Control Metas/Objetivos Control Implementación de Procedimientos Análisis Financiero Análisis de Flujo de Caja Libro de Actas Normas del Proceso Crediticio Normas del Proceso Operacional
EVALUACIÓN DE RIESGOS IDENTIFICACIÓN = DEFINIR ÁREA DE IMPACTO (consecuencia) FUENTE DE RIESGO (probabilidad) ANÁLISIS = ÁREA DE IMPACTO + EVENTO + FUENTE DE RIESGO VALORACIÓN = PROBABILIDAD + IMPACTO = SEVERIDAD
ANÁLISIS DE RIESGOS ÁREA DE IMPACTO (consecuencia) Dinero efectivo Dinero Bancos Presupuesto Activos fijos Cuentas por pagar Ingresos Gastos Sobrecostos RR.HH. Pueblo Imagen (reputación) EVENTOS (factores) VALORES FORMACIÓN ACADÉMICA EXPERIENCIA RESPALDO ECONÓMICO CULTURA FUENTE DE RIESGO (causas) DIRECTORES FUNCIONARIOS PROVEEDORES PUEBLO
PROBABILIDAD TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO Directivos, Funcionarios Proveedores Clientes 5 4 3 Fuente de Riesgo 2 1 Control Preventivo 1 2 3 4 5 $ 1,000 5,000 50,000 100,000 500,000 Impacto Área de Impacto Control Correctivo $ Activos, Pasivos, Patrimonio, Ingresos, Gastos, Costos
PROCESO DE SELECCIÓN DE PERSONAL FUENTE DE RESGO Control Interno Preventivo Control Interno Detectivo / Preventivo PERFIL Valores Experiencias Formación Académica Inspección en la Evaluación de Desempeño Cumplimiento MOF Manual de organigrama y funciones. Cumple metas (%, $) EVALUACIÓN DE DESEMPEÑO DESEMPEÑO DEL PERSONAL Control en Fuentes de Riesgo Control en Procesos
EJEMPLO SECTOR SALUD Objetivo: Otorgar servicios de salud integral de calidad a la población vulnerable. Meta: Atender de manera efectiva al 100% de la población vulnerable. Riesgo: Inadecuados servicios preventivos de salud a la población por parte del Ministerio de Salud. [1] Efecto de la [2] incertidumbre en el logro de los [3] objetivos. (ISO 31000) Inadecuado Servicio de salud Funcionarios Población Equipos médicos Profesionales de la salud Funcionarios Población Equipos médicos Profesionales de la salud EVENTO FUENTE DE RIESGO ÁREA DE IMPACTO
MODELAMIENTO DEL RIESGO PROCESO: CARTERA DE CRÉDITOS ÁREA DE IMPACTO RIESGO FUENTES DE RIESGO Ingresos (intereses) Capital (otorgado al cliente) Provisiones (caso no pague) sobrecostos Pérdidas de los ingresos, pérdida del capital e incremento de las provisiones, debido a la inadecuada determinación de la capacidad y voluntad de pago, realizado por el funcionario de negocios. EVENTOS Funcionarios negocios. Clientes de Colusión entre el funcionario de negocio con el cliente falseo de información. No se realizaron visitas a la fuente generadora de ingresos y unidad familiar. Manipulación de ingresos y gastos.
TABLA SEMICUANTITATIVA: PROBABILIDAD TABLA SEMI-CUANTITATIVA: Probabilidad - Ejemplo RANGO DE PROBABILIDAD RARA POSIBILIDAD Puede ocurrir en circunstancias excepcionales PROBABILIDAD MATEMÁTICA <10% FRECUENCIA Error cada 10.000 operaciones VALOR 1 IMPROBABLE Insignificante posibilidad de que el evento ocurra 10.1% - 40% Error cada 1.000 operaciones 2 MODERADA PROBABLE CASI CERTEZA Alguna posibilidad de que el evento ocurra Posiblemente ocurra varias veces Ocurra la mayoría de veces 40.1% - 60% a 60.1% y < a 90% > 90% Error cada 100 operaciones Error cada 10 operaciones Error cada 2 operaciones 3 4 5
TABLA SEMICUANTITATIVA: CONSECUENCIA TABLA SEMI-CUANTITATIVA: Consecuencia - Ejemplo TIPOS GENERALES DE CONSECUENCIAS RANGO CONSECUENCIA RECURSOS HUMANOS PÉRDIDAS ECONÓMICAS PÉRDIDAS DE REPUTACIÓN VALOR INSIGNIFICANTE MENOR MODERADA MAYOR CATASTRÓFICA Sin lesiones o lesiones con incapacidad hasta 3 días Incapacidad mayor a 3 días hasta 1 mes Incapacidad mayor a 1 mes hasta 3 meses Incapacidad mayor a 3 meses hasta 6 meses Pérdida de vidas humanas Incapacidad total y permanente Más de 6 meses Hata S/ 1,000 Entre S/1,001 a S/. 5,000 Entre S/5,001 a S/50,000 Entre S/ 50,001 a S/.500,000 Mayores a S/500,001 Sólo es de conocimiento del Consejo Directivo De conocimiento a nivel de la Empresa. De conocimiento a nivel Distrital De conocimiento a nivel Regional De conocimiento a nivel Nacional 1 2 3 4 5
CRITERIOS REQUERIDOS PARA LA VALORACIÓN Y MEDICIÓN DE RIESGOS X = Severidad Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito al riesgo / etc.
Valoración de la Probabilidad
VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD FACTORES RANGO EVALUACIÓN PESO PONDERACIÓN PUNTAJE SENCILLO 1 1 COMPLEJIDAD DEL PROCESO ALGO COMPLEJO 5 MUY COMPLEJO 10 10 NO APLICABLE 0 AUTOMATIZADO 1 10 GRADO AUTOMATICACIÓN COMBINADO 5 MANUAL 10 100 NO APLICABLE 0 EXCELENTE 1 1 CALIDAD COMUNICACIÓN MODERADA 5 POBRE 10 10 NO APLICABLE 0 MUY COMPLETA 1 5 CALDAD DOCUMENTACIÓN ACEPTABLE 5 DEFICIENTE 10 50 NO APLICABLE 0 EXCELENTE 1 10 IDONEIDAD DEL PERSONAL ACEPTABLE 5 DEFICIENTE 10 NO APLICABLE 0 100 PUNTAJE TOTAL FACTORES QUE APLICAN AL ESCENARIO CAUSA DEL RIESGO 270 % PROBABILIDAD (PUNTAJE TOTAL DE LA CAUSA/TOTAL DE PUNTAJE POSIBLE) 270/270 100
VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD AUTOMATIZADO COMBINADO MANUAL EXCELENTE ACEPTABLE DEFICIENTE GRADO DE AUTOMATIZACIÓN Proceso que opera en su totalidad, sin intervención del funcionario. Actividades que realiza el funcionario con ayuda de un aplicativo. Actividades realizadas manualmente por el funcionario. IDONEIDAD DEL PERSONAL Cumple con el perfil requerido para el cargo, su trabajo es totalmente bueno. Cumple parcialmente con el perfil requerido para el cargo, cumple en buena forma con las obligaciones de su cargo. Comete errores apreciables con frecuencia y requiere supervisión, guía e instrucciones permanentes.
TÉCNICA PARA INTERRELACIONAR LA FUENTE DE RIESGO, EL ÁREA DE IMPACTO Y EL CONTROL INTERNO Directivos, Funcionarios Proveedores Clientes Fuente de Riesgo Control Preventivo P r o b a b i l i d a d 5 4 3 2 1 (4 x 4 = 16) RIESGO INHERENTE Cobertura Del Control Preventivo Cobertura Del Control con Tratamiento (2 x 4 = 8) RIESGO CON CONTROL 1 2 3 4 5 $ 1,000 5,000 50,000 100,000 500,000 Impacto (1 x 4 = 4) RIESGO CON TRATAMIENTO Área de Impacto Control Correctivo $ Activos, Pasivos, Patrimonio, Ingresos, Gastos, Costos
MAPA DE RIESGOS INHERENTES PROBABILIDAD 5.Casi certera Alto Alto Extremo Extremo Extremo R2 4. Probable Moderado Alto Alto Extremo Extremo R3 3. Moderado Bajo Moderado Alto Extremo Extremo R1 2. Improbable Bajo Bajo Moderado Alto Extremo 1. Raro Bajo Bajo Moderado Alto Alto 1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrófico IMPACTO
QUÉ ES EL CONTROL INTERNO? ISO 31000 Medida que modifica el riesgo. AS/NZS Son las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos. IIA Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.
CONTROL INTERNO PREVENTIVO SELECCIÓN DE PERSONAL PERFIL VALORES FORMACIÓN ACADÉMICA DETECTIVO/PREVENTIVO EVALUACIÓN DE DESEMPEÑO Cumplimiento del Manual de Organización y Funciones (MOF). Cumplimiento de Metas (%, $) EXPERIENCIA
CONTROLES 95% cumple Profesionales de Salud Valor Formación académica Experiencia Perfil del Puesto Equipo Médico Buen estado: tecnología avanzada Minimiza el riesgo Estructura Organizacional Adecuada al ajuste del entorno de la entidad 5% Proceso de Automatización Adecuada gestión de procesos automatizados con control de señales de alerta
VALORACIÓN DEL CONTROL INTERNO
VALORACIÓN DE EFICACIA DE CONTROLES Factores Características Efectividad Peso Ponderaci ón Puntaje Manual 1 IMPLEMENTACIÓN Combinado 3 3 15 Automatizado / Mecánico 5 Ejecución Discretos (Muestreo) 1 De Aplicación Continua 5 1 5 Discrecional 1 Oportunidad Periódicos 3 2 10 Continuos 5 Sin documentar 1 Documentación Parcialmente documentado 3 1 5 Documentado 5 Muy Complejo 1 Complejidad Algo complejo 3 2 10 Sencillo 5 Responsabilidad no idóneo 1 RESPONSABILIDAD Parcialmente algo idóneo 3 3 15 Responsabilidad idóneo 5 Puntaje Total 60 Puntaje Máximo tabla = 60 = 100% Efectividad Control EFECTIVIDAD DESCRIPCIÓN VALOR POBRE 10% INSATISFACTORIO 30% MODERADA 50% BUENA 70% EXCELENTE 90%
VALORACIÓN DE EFICACIA DE CONTROLES FACTOR RANGO DETALLE MANUAL Actividad realizadas manualmente por el funcionario IMPLEMENTACIÓN Actividad que realiza el funcionario con ayuda COMBINADO de un aplicativo. Proceso que opera en su totalidad sin AUTOMATIZADO intervención del funcionario. El responsable de ejecutar los controles, no RESPONSABLE cuenta con el perfil, experiencia y su NO IDONEO desempeño es bajo. RESPONSABILIDAD RESPONSABLE ALGO IDONEO RESPONSABLE IDONEO El responsable de ejecutar los controles, cumple parcialmente con el perfil y su desempeño se encuentra sobre el promedio. El responsable cumple con ejecutar los controles, cumple con el perfil y sus funciones, su desempeño es aceptable.
CONCLUSIONES La Gestión del Riesgo debe ser liderado por el DIRECTORIO/TITULAR El Auditor Interno es promotor de cambio El proceso de gestión de riesgo es parte de la misma gestión. Jerarquizar los riesgos, los controles de mayor cobertura y las fuentes de riesgos de mayor incertidumbre. Los controles deben estar orientados a las fuentes del riesgo para minimizar las causas. El tratamiento de Recursos Humanos y TI son estratégicos.
AMS CONSULTING INFORMES E INSCRIPCIONES Central Telefónica: 460-2385 / 460-2364 E-mail: contacto@amsriskconsulting.com contactoamsrisk@gmail.com www.amsriskconsulting.com