page 1 | confidential and proprietary information gestión de riesgos y control interno en el sector...
TRANSCRIPT
Page 1 | Confidential and Proprietary Information
Gestión de Riesgos y Control Interno en el Sector Público
Vincent Tophoff, Federación Internacional de Contadores (IFAC)
Contraloría General de la República (CGR)
Seminario Un Aporte de Gobernanza Distinto: El Control Interno
Santiago, Chile. Enero, 2015
Page 2 | Confidential and Proprietary Information
Federación Internacional de Contadores
• Organización mundial de la profesión contable• Apoya a los contadores profesionales en las siguientes áreas:
– Gobernabilidad y ética
– Gestión de riesgos y control interno (GR / CI)
– Sostenibilidad y responsabilidad corporativa
– Gestión financiera y de rendimiento
– Informes de negocios
– Promover y contribuir al valor de los contadores profesionales
• Todas las áreas de importancia crítica para los contadores profesionales (y para las Entidades Fiscalizadoras Superiores (EFS) y entidades del sector público también ...)
Page 3 | Confidential and Proprietary Information
Relación entre la gestión del sector público, gestión de riesgos y control interno
• ¿Cómo crees que la gobernanza, gestión de riesgos y el control interno están relacionados unos con otros?
“Sé la diferencia entre lo bueno y lo malo, pero eso no me ha detenido”
Page 4 | Confidential and Proprietary Information
Relación entre gestión del sector público, GR y CI
Gobernanza Gestión de Riesgos Control Interno
Page 5 | Confidential and Proprietary Information
Programa de hoy
Las Peligros – Sentando las Bases
El pensamiento actual Estándares COSO / ISO 31000 Madurez de gestión de riesgos
y control interno "Llamado a la Acción“ de las
Entidades Fiscalizadoras Superiores (EFS)
Preguntas y respuestas
GESTIÓN DE RIESGOS
Page 6 | Confidential and Proprietary Information
Los Peligros – Sentando las Bases
Page 7 | Confidential and Proprietary Information
Graves fallas en el control de riesgos y control interno
• Tener una mentalidad de solamente de cumplimiento.
• Tratar el riesgo únicamente como algo negativo y pasar por alto que las entidades tienen que asumir riesgos en la búsqueda de sus objetivos.
• Gestión de riesgos y control interno demasiado centrados en la información financiera externa.
• Visualizar la gestión de riesgos y el control interno como funciones o procesos separados.
• Visualizar la gestión de riesgos y el control interno como predominantemente importantes para las operaciones.
Page 8 | Confidential and Proprietary Information
Lo bueno versus lo malo en las prácticas de control de riesgos (CR) y control interno (CI) y control interno
CR / IC como objetivo en sí mismo vs. CR / IC para ayudar a lograr los objetivos
Impulsadas por los auditores / personal vs. Impulsadas desde arriba hacia abajo
Basadas en reglas vs. Basadas en rendimiento & principios
Utilización de sistemas existentes vs. Adaptadas a la entidad
Centradas en la minimización
de la pérdida vs. También centradas en la creación de valor
Controles principalmente duros vs. Reconocimiento de la cultura y actitudes
Impuestas vs. Implementadas orgánicamente
Aisladas, agregadas vs. Integradas, incorporadas
Estáticas, anticuadas vs. Dinámicas, en evolución
Consideradas como gastos generales vs. Consideradas como una buena inversión
Abandonadas vs. Integradas en la gobernabilidad
Page 9 | Confidential and Proprietary Information
Crisis global
La crisis mundial, según una investigación de IFAC, fue causada por:
Fallas éticas
Gobernanza, gestión de riesgos en teoría, pero no en espíritu
Sobrecarga reglamentaria, lo que lleva al cumplimiento legalista
Sistemas de control de riesgo demasiado centrados sólo en controles de información financiera
Las conclusiones de la crisis: Las entidades deben adoptar un enfoque más amplio en la gestión de riesgos
y control interno
La aplicación adecuada de las normas y principios de gestión de riesgos y control interno es a menudo el problema
Page 10 | Confidential and Proprietary Information
El pensamiento actual
Page 11 | Confidential and Proprietary Information
El pensamiento actual sobre el riesgo
El lugar más seguro para un barco ...
... Es permanecer en el puerto
Pero esto no es para lo que se construyeron los barcos ...
Page 12 | Confidential and Proprietary Information
... En cambio, los barcos fueron construídos para el transporte de personas y mercancías a otros destinos…
… Y eso implica riesgo…
Así que, ¿cuál es el riesgo?• El riesgo hoy en día se define como "el efecto de la
incertidumbre sobre (el establecimiento y logro de) los objetivos de la entidad" (ISO 31000)
• Ningún Objetivo = Ningún riesgo. Por lo tanto, el riesgo siempre debe evaluarse a la luz de (el establecimiento y logro de) los objetivos de la entidad!
El pensamiento actual sobre el riesgo
Page 13 | Confidential and Proprietary Information
El pensamiento actual sobre
El pensamiento actual sobre gestión de riesgos
P: “¿Cómo aborda su entidad la incertidumbre en la consecución de sus objetivos estratégicos?”
R: “A través de nuestro sistema de gestión estratégica;”– La gerencia de línea se dedica al ciclo planificar-hacer-
verificar-actuar
– Se centra en la consecución de los objetivos de la entidad
P: “¿Cómo aborda su entidad el riesgo?”
R: “A través de nuestro sistema de gestión de riesgos;” – Sistemas de riesgos y de control (separados), funcionarios,
registro de riesgos
– Centrado en la mitigación del riesgo
Page 14 | Confidential and Proprietary Information
¿Qué nos dice este ejemplo de nosotros?
• Que nosotros, los profesionales de la gestión de riesgos, hemos logrado grandes avances en el área de gestión de riesgos y control interno ...
• ... Pero que, en el proceso, hemos perdido a las otras personas de nuestra entidad!
Gestión de riesgos
El resto de la entidad
El pensamiento actual sobre gestión de riesgos
Page 15 | Confidential and Proprietary Information
Cinco líneas de defensa:
El pensamiento actual sobre gestión de riesgos
Page 16 | Confidential and Proprietary Information
Cinco líneas de defensa:
El pensamiento actual sobre gestión de riesgos
1. Jugadores
2. Capitán
3. Entrenador
4. Arbitro
5. FIFA
Page 17 | Confidential and Proprietary Information
Cinco líneas de defensa:
El pensamiento actual sobre gestión de riesgos
1. Jugadores (Equipo de operaciones)
2. Capitán (Supervisor)
3. Entrenador (Gerente de Riesgos)
4. Arbitro (Auditoría Interna)
5. FIFA (Controlaría)
Línea
Soporte
Page 18 | Confidential and Proprietary Information
El pensamiento actual sobre el gestor de riesgos
El mayor riesgo que enfrenta una entidad:
La desconexión entre los responsables de la consecución de los objetivos estratégicos frente a los responsables de la gestión del riesgo
Solución:
Hacer a los responsables de la consecución de los objetivos estratégicos también responsables de la gestión de los riesgos relacionados!
El objetivo clave del gestor de riesgos es garantizar que la gestión de riesgos esté totalmente integrada a la línea de gerencia!
No sé nada sobre el tema, pero estoy feliz de darte mi opinión de experto.
Page 19 | Confidential and Proprietary Information
El pensamiento actual sobre control interno
Frenar la entidad Activar la entidad
Buen control interno = La mano invisible
Desde Hacia
Page 20 | Confidential and Proprietary Information
Marcos COSO(también adoptado por INTOSAI)
Page 21 | Confidential and Proprietary Information
Cubo de control interno COSO 2013
Evaluación de Riesgos
Page 22 | Confidential and Proprietary Information
Cubo COSO GRI 2004
¡Será revisado pronto!
Page 23 | Confidential and Proprietary Information
CI COSO vs. GRI COSO
Evaluación de Riesgos
Ampliado en 3 componentes
Control Interno - Marco Integrado Gestión de Riesgos Empresarial - Marco Integrado
Page 24 | Confidential and Proprietary Information
Estándar Gestión de Riesgos ISO 31000
Page 25 | Confidential and Proprietary Information
Principios, marco y proceso ISO 31000
Page 26 | Confidential and Proprietary Information
Principios de Gestión de riesgos ISO 31000
• Crea Valor
• Parte integral de los procesos de organización
• Parte de la Toma de Decisiones
• Aborda explícitamente la incertidumbre
• Sistemático, estructurado y oportuno
• Sobre la base de "la mejor información disponible"
• Con capacidad de adaptación
• Considera factores humanos y culturales
• Transparente e inclusivo
• Dinámico, iterativo y da respuesta a los cambios
• Facilita la mejora continua
Page 27 | Confidential and Proprietary Information
Marco de gestión de riesgos ISO 31000
Mandato y Compromiso
Diseño del Marco
Mejora Continua del Marco
Implementación de la Gestión de Riesgos
Supervisión y Revisión del Marco
Page 28 | Confidential and Proprietary Information
Proceso de gestión de riesgos ISO 31000
Para seraplicado en todos los procesos de toma de decisiones
y posterior ejecución!
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
Calificación de riesgo
Com
unic
ació
n y
Con
sulta
Sup
ervi
sión
y R
evis
ión
Page 29 | Confidential and Proprietary Information
GRI COSO vs. ISO 31000
Muchas entidades utilizan tanto COSO como ISO 31000...
… El mayor desafío es que los conceptos no están alineados
COSO ISO 31000
Largo vs. CortoCentrado en el GRI vs. Enfoque general a la gestión de riesgosUn cubo vs. Principios, marco y procesoSesgado a lo negativo vs. El riesgo puede ser positivo o negativoEl riesgo ya existe vs. Riesgo ligado a la consecución de objetivosRiesgos y oportunidades vs. Oportunidades también fuente de riesgoMás proceso secuencial vs. Proceso más iterativo
Muy corto para ser realmente entendido
Page 30 | Confidential and Proprietary Information
Madurez de gestión de riesgos y control interno
Page 31 | Confidential and Proprietary Information
Niveles de madurez de GR/CI
Nivel 1:No – existe o no es
ad hoc
Gestión de Crisis
Nivel 2:Solo control
Interno
Control interno formal,
Centrado principalmente
en la información financiera
externa
Nivel 3:GR / CI como
un silo
Control interno complementado con la gestión
de riesgos, pero aun
considerados como elementos
separados
Gestión de riesgos,
incluyendo el control interno, integrados en el
sistema de gestión de la organización
Nivel 4:GR / CI
Integrados
Page 32 | Confidential and Proprietary Information
• No es tener controles efectivos ...
• No es gestionar eficazmente el riesgo ...
Es más bien
• Establecer correctamente y lograr sus objetivos
• Evitar demasiadas sorpresas en el camino
• Y crear valor sostenible
El objetivo principal de una entidad del sector público
Objetivo
Tiempo
Page 33 | Confidential and Proprietary Information
Argumento para la integración de gestión de riesgos y CI
• Por lo tanto, la gestión de riesgos y control interno no son objetivos en sí mismos, sino medios para un fin ...
… Tomar decisiones sólidas (FODA) y ejecutar acciones posteriores para lograr los objetivos de la entidad, sin sorpresas!
... La gestión de riesgos y control interno, por lo tanto deben estar plenamente integrados en el sistema general de gestión de una entidad del sector público, incluido el gobierno, desarrollo de estrategias y planificación, operaciones, elaboración de informes y la rendición de cuentas
Page 34 | Confidential and Proprietary Information
El riesgo es inherente al establecer los objetivos
Nivel de Incertidumbre Tiempo
Riesgo Controles
Objetivo
Page 35 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y control 1
H
V
Ciclo de Planificación y Control
Page 36 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y control 2
Ciclos estratégicos, tácticos y operacionales de planificación y
control
A
P
D
C
H
V
HH
VV
Page 37 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y control 3
Ciclo de Planificación y Control en Espiral
Tiempo
Page 38 | Confidential and Proprietary Information
GR/CI constituye una parte integral para lograr los objetivos
Nivel de Incertidumbre
Riesgo Controles
Objetivo
Tiempo
Nivel Estratégico
Nivel Táctico
Nivel Operacional
Page 39 | Confidential and Proprietary Information
• Utilizar los marcos
• Considerar el desarrollo de buenas prácticas
• Realizar un análisis de diferencias
• Determinar el rendimiento
• Revisar los resultados de auditoría
• Analizar serias fallas
• ...
• Moverse continuamente para mejorar!
Pensamientos sobre la evaluación de la madurez de GR/CI
Page 40 | Confidential and Proprietary Information
"Llamado a la Acción“
Page 41 | Confidential and Proprietary Information
"Llamado a la Acción“
Ustedes juegan un papel importante en la aplicación de una buena gestión de riesgos y control interno en las entidades del sector público:
• Desarrollan las competencias pertinentes sobre GR / CI (incl. Las normas y directrices de INTOSAI, marcos COSO, ISO 31000)
• Educan a los órganos rectores, los comités de auditoría, equipos directivos y personal de las entidades del sector público pertinentes
• Abogan por la importancia de una buena GR / CI: totalmente integrado en el sistema general de la gestión de la entidad
• Apoyan a las entidades del sector público a través la provisión de garantías alta calidad, consejos y visión
Page 42 | Confidential and Proprietary Information
Su Rol - #1
Abogan por la importancia de una buena gestión de riesgos:
• Ustedes se comunican con el liderazgo del sector público de la entidad
• La actitud y las acciones de ustedes establecen el tono para una buena gestión de riesgos en las entidades del sector público
• ¡Promueven la integración de la gestión de riesgos en la línea de gerencia de una entidad del sector público!
• El elemento más importante: hacen GR/CI parte de todos los procesos de toma de decisiones y la posterior ejecución en la entidad!
Page 43 | Confidential and Proprietary Information
Su Rol - #2
Apoyan a la línea de gerencia, proporcionando la garantía de alta calidad, asesoramiento y visión:
• Las decisiones se deben tomar solamente con la comprensión explícita de los riesgos asociados y sus posibles consecuencias para el logro de los objetivos de la entidad
• Por lo tanto, los tomadores de decisiones necesitan información relevante y confiable para sus procesos de toma de decisión y de control
Page 44 | Confidential and Proprietary Information
Las principales conclusiones
• Hay muchas fallas en la gestión de riesgos y las prácticas actuales de control interno
• El logro de los objetivos de la entidad es el objetivo general; el riesgo es parte inherente de este proceso
• La gestión de riesgos debe, por lo tanto, estar plenamente integrada en el sistema de gestión de la entidad
• Ustedes apoyan a GR/CI de diversas maneras en las entidades del sector público que supervisan
• IFAC apoya a contadores profesionales / CGR
• Sin embargo, sin importar la orientación proporcionada ...
Page 45 | Confidential and Proprietary Information
Siempre habrá algunos ...
…que lo harán a su manera!