page 1 | confidential and proprietary information gestión de riesgos y control interno en el sector...

| Confidential and Proprietary Information

Gestión de Riesgos y Control Interno en el Sector Público

Vincent Tophoff, Federación Internacional de Contadores (IFAC)

Contraloría General de la República (CGR)

Seminario Un Aporte de Gobernanza Distinto: El Control Interno

Santiago, Chile. Enero, 2015


Federación Internacional de Contadores

• Organización mundial de la profesión contable• Apoya a los contadores profesionales en las siguientes áreas:

– Gobernabilidad y ética

– Gestión de riesgos y control interno (GR / CI)

– Sostenibilidad y responsabilidad corporativa

– Gestión financiera y de rendimiento

– Informes de negocios

– Promover y contribuir al valor de los contadores profesionales

• Todas las áreas de importancia crítica para los contadores profesionales (y para las Entidades Fiscalizadoras Superiores (EFS) y entidades del sector público también ...)


Relación entre la gestión del sector público, gestión de riesgos y control interno

• ¿Cómo crees que la gobernanza, gestión de riesgos y el control interno están relacionados unos con otros?

“Sé la diferencia entre lo bueno y lo malo, pero eso no me ha detenido”


Relación entre gestión del sector público, GR y CI

Gobernanza Gestión de Riesgos Control Interno


Programa de hoy

Las Peligros – Sentando las Bases

El pensamiento actual Estándares COSO / ISO 31000 Madurez de gestión de riesgos

y control interno "Llamado a la Acción“ de las

Entidades Fiscalizadoras Superiores (EFS)

Preguntas y respuestas

GESTIÓN DE RIESGOS


Los Peligros – Sentando las Bases


Graves fallas en el control de riesgos y control interno

• Tener una mentalidad de solamente de cumplimiento.

• Tratar el riesgo únicamente como algo negativo y pasar por alto que las entidades tienen que asumir riesgos en la búsqueda de sus objetivos.

• Gestión de riesgos y control interno demasiado centrados en la información financiera externa.

• Visualizar la gestión de riesgos y el control interno como funciones o procesos separados.

• Visualizar la gestión de riesgos y el control interno como predominantemente importantes para las operaciones.


Lo bueno versus lo malo en las prácticas de control de riesgos (CR) y control interno (CI) y control interno

CR / IC como objetivo en sí mismo vs. CR / IC para ayudar a lograr los objetivos

Impulsadas por los auditores / personal vs. Impulsadas desde arriba hacia abajo

Basadas en reglas vs. Basadas en rendimiento & principios

Utilización de sistemas existentes vs. Adaptadas a la entidad

Centradas en la minimización

de la pérdida vs. También centradas en la creación de valor

Controles principalmente duros vs. Reconocimiento de la cultura y actitudes

Impuestas vs. Implementadas orgánicamente

Aisladas, agregadas vs. Integradas, incorporadas

Estáticas, anticuadas vs. Dinámicas, en evolución

Consideradas como gastos generales vs. Consideradas como una buena inversión

Abandonadas vs. Integradas en la gobernabilidad


Crisis global

La crisis mundial, según una investigación de IFAC, fue causada por:

Fallas éticas

Gobernanza, gestión de riesgos en teoría, pero no en espíritu

Sobrecarga reglamentaria, lo que lleva al cumplimiento legalista

Sistemas de control de riesgo demasiado centrados sólo en controles de información financiera

Las conclusiones de la crisis: Las entidades deben adoptar un enfoque más amplio en la gestión de riesgos

y control interno

La aplicación adecuada de las normas y principios de gestión de riesgos y control interno es a menudo el problema


El pensamiento actual


El pensamiento actual sobre el riesgo

El lugar más seguro para un barco ...

... Es permanecer en el puerto

Pero esto no es para lo que se construyeron los barcos ...


... En cambio, los barcos fueron construídos para el transporte de personas y mercancías a otros destinos…

… Y eso implica riesgo…

Así que, ¿cuál es el riesgo?• El riesgo hoy en día se define como "el efecto de la

incertidumbre sobre (el establecimiento y logro de) los objetivos de la entidad" (ISO 31000)

• Ningún Objetivo = Ningún riesgo. Por lo tanto, el riesgo siempre debe evaluarse a la luz de (el establecimiento y logro de) los objetivos de la entidad!

El pensamiento actual sobre el riesgo


El pensamiento actual sobre

El pensamiento actual sobre gestión de riesgos

P: “¿Cómo aborda su entidad la incertidumbre en la consecución de sus objetivos estratégicos?”

R: “A través de nuestro sistema de gestión estratégica;”– La gerencia de línea se dedica al ciclo planificar-hacer-

verificar-actuar

– Se centra en la consecución de los objetivos de la entidad

P: “¿Cómo aborda su entidad el riesgo?”

R: “A través de nuestro sistema de gestión de riesgos;” – Sistemas de riesgos y de control (separados), funcionarios,

registro de riesgos

– Centrado en la mitigación del riesgo


¿Qué nos dice este ejemplo de nosotros?

• Que nosotros, los profesionales de la gestión de riesgos, hemos logrado grandes avances en el área de gestión de riesgos y control interno ...

• ... Pero que, en el proceso, hemos perdido a las otras personas de nuestra entidad!

Gestión de riesgos

El resto de la entidad



Cinco líneas de defensa:





1. Jugadores

2. Capitán

3. Entrenador

4. Arbitro

5. FIFA




1. Jugadores (Equipo de operaciones)

2. Capitán (Supervisor)

3. Entrenador (Gerente de Riesgos)

4. Arbitro (Auditoría Interna)

5. FIFA (Controlaría)

Línea

Soporte


El pensamiento actual sobre el gestor de riesgos

El mayor riesgo que enfrenta una entidad:

La desconexión entre los responsables de la consecución de los objetivos estratégicos frente a los responsables de la gestión del riesgo

Solución:

Hacer a los responsables de la consecución de los objetivos estratégicos también responsables de la gestión de los riesgos relacionados!

El objetivo clave del gestor de riesgos es garantizar que la gestión de riesgos esté totalmente integrada a la línea de gerencia!

No sé nada sobre el tema, pero estoy feliz de darte mi opinión de experto.


El pensamiento actual sobre control interno

Frenar la entidad Activar la entidad

Buen control interno = La mano invisible

Desde Hacia


Marcos COSO(también adoptado por INTOSAI)


Cubo de control interno COSO 2013

Evaluación de Riesgos


Cubo COSO GRI 2004

¡Será revisado pronto!


CI COSO vs. GRI COSO


Ampliado en 3 componentes

Control Interno - Marco Integrado Gestión de Riesgos Empresarial - Marco Integrado


Estándar Gestión de Riesgos ISO 31000


Principios, marco y proceso ISO 31000


Principios de Gestión de riesgos ISO 31000

• Crea Valor

• Parte integral de los procesos de organización

• Parte de la Toma de Decisiones

• Aborda explícitamente la incertidumbre

• Sistemático, estructurado y oportuno

• Sobre la base de "la mejor información disponible"

• Con capacidad de adaptación

• Considera factores humanos y culturales

• Transparente e inclusivo

• Dinámico, iterativo y da respuesta a los cambios

• Facilita la mejora continua


Marco de gestión de riesgos ISO 31000

Mandato y Compromiso

Diseño del Marco

Mejora Continua del Marco

Implementación de la Gestión de Riesgos

Supervisión y Revisión del Marco


Proceso de gestión de riesgos ISO 31000

Para seraplicado en todos los procesos de toma de decisiones

y posterior ejecución!

Establecer el Contexto

Identificación de Riesgos

Análisis de Riesgos


Tratamiento de Riesgos

Calificación de riesgo

Com

unic

ació

n y

Con

sulta

Sup

ervi

sión

y R

evis

ión


GRI COSO vs. ISO 31000

Muchas entidades utilizan tanto COSO como ISO 31000...

… El mayor desafío es que los conceptos no están alineados

COSO ISO 31000

Largo vs. CortoCentrado en el GRI vs. Enfoque general a la gestión de riesgosUn cubo vs. Principios, marco y procesoSesgado a lo negativo vs. El riesgo puede ser positivo o negativoEl riesgo ya existe vs. Riesgo ligado a la consecución de objetivosRiesgos y oportunidades vs. Oportunidades también fuente de riesgoMás proceso secuencial vs. Proceso más iterativo

Muy corto para ser realmente entendido


Madurez de gestión de riesgos y control interno


Niveles de madurez de GR/CI

Nivel 1:No – existe o no es

ad hoc

Gestión de Crisis

Nivel 2:Solo control

Interno

Control interno formal,

Centrado principalmente

en la información financiera

externa

Nivel 3:GR / CI como

un silo

Control interno complementado con la gestión

de riesgos, pero aun

considerados como elementos

separados

Gestión de riesgos,

incluyendo el control interno, integrados en el

sistema de gestión de la organización

Nivel 4:GR / CI

Integrados


• No es tener controles efectivos ...

• No es gestionar eficazmente el riesgo ...

Es más bien

• Establecer correctamente y lograr sus objetivos

• Evitar demasiadas sorpresas en el camino

• Y crear valor sostenible

El objetivo principal de una entidad del sector público

Objetivo

Tiempo


Argumento para la integración de gestión de riesgos y CI

• Por lo tanto, la gestión de riesgos y control interno no son objetivos en sí mismos, sino medios para un fin ...

… Tomar decisiones sólidas (FODA) y ejecutar acciones posteriores para lograr los objetivos de la entidad, sin sorpresas!

... La gestión de riesgos y control interno, por lo tanto deben estar plenamente integrados en el sistema general de gestión de una entidad del sector público, incluido el gobierno, desarrollo de estrategias y planificación, operaciones, elaboración de informes y la rendición de cuentas


El riesgo es inherente al establecer los objetivos

Nivel de Incertidumbre Tiempo

Riesgo Controles

Objetivo


Alcanzar los objetivos mediante la planificación y control 1

H

V

Ciclo de Planificación y Control



Ciclos estratégicos, tácticos y operacionales de planificación y

control

A

P

D

C

H

V

HH

VV



Ciclo de Planificación y Control en Espiral

Tiempo


GR/CI constituye una parte integral para lograr los objetivos

Nivel de Incertidumbre

Riesgo Controles

Objetivo

Tiempo

Nivel Estratégico

Nivel Táctico

Nivel Operacional


• Utilizar los marcos

• Considerar el desarrollo de buenas prácticas

• Realizar un análisis de diferencias

• Determinar el rendimiento

• Revisar los resultados de auditoría

• Analizar serias fallas

• ...

• Moverse continuamente para mejorar!

Pensamientos sobre la evaluación de la madurez de GR/CI


"Llamado a la Acción“


"Llamado a la Acción“

Ustedes juegan un papel importante en la aplicación de una buena gestión de riesgos y control interno en las entidades del sector público:

• Desarrollan las competencias pertinentes sobre GR / CI (incl. Las normas y directrices de INTOSAI, marcos COSO, ISO 31000)

• Educan a los órganos rectores, los comités de auditoría, equipos directivos y personal de las entidades del sector público pertinentes

• Abogan por la importancia de una buena GR / CI: totalmente integrado en el sistema general de la gestión de la entidad

• Apoyan a las entidades del sector público a través la provisión de garantías alta calidad, consejos y visión


Su Rol - #1

Abogan por la importancia de una buena gestión de riesgos:

• Ustedes se comunican con el liderazgo del sector público de la entidad

• La actitud y las acciones de ustedes establecen el tono para una buena gestión de riesgos en las entidades del sector público

• ¡Promueven la integración de la gestión de riesgos en la línea de gerencia de una entidad del sector público!

• El elemento más importante: hacen GR/CI parte de todos los procesos de toma de decisiones y la posterior ejecución en la entidad!


Su Rol - #2

Apoyan a la línea de gerencia, proporcionando la garantía de alta calidad, asesoramiento y visión:

• Las decisiones se deben tomar solamente con la comprensión explícita de los riesgos asociados y sus posibles consecuencias para el logro de los objetivos de la entidad

• Por lo tanto, los tomadores de decisiones necesitan información relevante y confiable para sus procesos de toma de decisión y de control


Las principales conclusiones

• Hay muchas fallas en la gestión de riesgos y las prácticas actuales de control interno

• El logro de los objetivos de la entidad es el objetivo general; el riesgo es parte inherente de este proceso

• La gestión de riesgos debe, por lo tanto, estar plenamente integrada en el sistema de gestión de la entidad

• Ustedes apoyan a GR/CI de diversas maneras en las entidades del sector público que supervisan

• IFAC apoya a contadores profesionales / CGR

• Sin embargo, sin importar la orientación proporcionada ...


Siempre habrá algunos ...

…que lo harán a su manera!

page 1 | confidential and proprietary information gestión de riesgos y control interno en el sector...

Documents

control de riesgos

control interno ci

control interno santiago

prcticas de control

control internollamado

control internocmo

madurez de gestin

riesgos cr