control interno en entidades locales - fvmp€¦ · modelo de control interno permanente en...
TRANSCRIPT
© 2017 Deloitte, S.L. 1Control Interno en Entidades Locales
Control Interno en Entidades LocalesValencia, 25 de octubre de 2017
© 2017 Deloitte, S.L. 2Control Interno en Entidades Locales
Contenido
► Introducción 3
► Entorno regulatorio 4
► Estructura Real Decreto 5
► Modelo de Control Interno 6
► Enfoque global 7
► Modelo de Control Interno Permanente en Entidades Locales 8
► Riesgos potenciales 9
► Grado de madurez en la gestión de riesgos 10
► Ejemplos 11
► De los controles manuales a los automáticos 13
► Enfoque metodológico 14
► Herramientas GRC 16
© 2017 Deloitte, S.L. 3Control Interno en Entidades Locales
Introducción
© 2017 Deloitte, S.L. 4Control Interno en Entidades Locales
Entorno regulatorio
xxxxEn los últimos años se ha producido una creciente normativización de distintas recomendaciones en el ámbito del Control Interno, y se han seguidodesarrollando otras de índole específico o sectorial, que están motivando cambios en la forma en la que se gestionan las Entidades del Sector Público:
Ley Reguladora de Haciendas Locales
Ley de Racionalización y Sostenibilidad de la
Administración Local
RD Control Interno Entidades Sector Público Local
RD 2/2004
• Dotar de mayor claridad al sistema tributario y financiero aplicable a las entidades locales mediante la integración en un único cuerpo normativo.
• Aumentar la seguridad jurídica de la Administración tributaria y, especialmente, de los contribuyentes.
• Consagrar la estabilidad presupuestaria de todas las Administraciones Públicas.
• Clarificar las competencias.
• Racionalizar la estructura organizativa de la Administración local.
• Garantizar un control financiero más riguroso.
• Favorecer la iniciativa económica privada.
Ley 27/2013RD aprobado en Consejo de
Ministros 28/04/2017
• Lograr un control económico-presupuestario más riguroso
• Reforzar el papel de la función interventora en las Entidades Locales
• Asegurar la gestión regular de los fondos, empleo eficiente de los mismos y sostenibilidad financiera de las entidades locales
• Lograr un modelo eficaz de control
2004 2013 2017
COSO 2013Reforma de la Ley de Societades de Capital
Reforma del Código PenalReforma del CódigoUnificado de Buen
Gobierno
Ley de estabilidad Presupuestaria y
Sostenibilidad Financiera
Ley 2/2012
• Garantizar la sostenibilidad financiera de todas las Administraciones Públicas.
• Fortalecer la confianza en la estabilidad de la economía española.
• Reforzar el compromiso de España con la Unión Europea en materia de estabilidad presupuestaria.
2012
Circular 07/2015 Control Interno (IAGC)
AdministraciónPública
Tendencia del Mercado
© 2017 Deloitte, S.L. 5Control Interno en Entidades Locales
Estructura Real Decreto
Real Decreto Control Interno Sector Público Local
Función Interventora Control Financiero
Control Interno Permanente
Auditoría Pública
Fiscalización previa
ordinaria
Intervención previa de la
liquidación del gasto
Intervención formal de la
ordenación del pago
Intervención material del
pago
Fiscalización limitada previa
Plan Anual
Control
Financiero
Modelo
de
Control
Interno
Análisis
de
Riesgos
Informe de
Auditoría
El Proyecto de Real Decreto revisa el papel de la Intervención y refuerza el control financiero ya existente en la Administración Pública Localcomplementándolo con un Modelo de Control Interno Permanente
© 2017 Deloitte, S.L. 6Control Interno en Entidades Locales
Modelo de Control Interno
© 2017 Deloitte, S.L. 7Control Interno en Entidades Locales
Modelo de Control Interno – Enfoque global
GRC
2. Riesgos
1. Estrategia
3. Nivel de control
4. Supervisión
¿Qué objetivos se marca la
organización y de qué manera los
quiere conseguir?
¿Qué puede suceder que impida
alcanzar los objetivos definidos?
¿Qué medidas se toman para
prevenir estos riesgos?
¿Cómo validamos y corregimos
la eficacia de las medidas de estos
riesgos?
Plan
estratégico
Modelo de
gestión de riesgos
Sistema de
control interno
Indicadores riesgos
Plan de Auditoría
x
xx
x x
xxxx
x
x
ccc
ccc
ccc
ccc
c
c
¿Cómo se consigue que el control interno aporte valor a la gestión pública?
¿De verdad todoslos riesgos son importantes?
¿Están definidasqué actividadesde control son relevantes enrelación con los riesgos?
¿Cómo encaja el modelo de control internoCOSO en la administración local? Enparticular, ¿cómo queda el papel del Interventor en cuánto la revisión de la efectividad de los controles y la segregaciónde funciones?
© 2017 Deloitte, S.L. 8Control Interno en Entidades Locales
Modelo de Control Interno Permanente en Entidades Locales
xxxxEl Real Decreto por el que se regula el régimen jurídico del control interno en las entidades del sector público local tiene como objetivo básico la implantación de un Modelo de Control Interno Permanente en las Administraciones Públicas Locales, para adaptar y evolucionar el modelo de control interno existente.
• Cumplimiento de objetivos de la Entidad Local.
• Limitación de la responsabilidad mediante la evidencia de la implantación de un modelo de control interno.
• Efectividad de la ejecución del control interno en relación a los recursos disponibles.
Objetivos Subyacentes
Cuadro de Mandos
Definición y entendimiento de los controles clave
• El propósito es definir y evaluar las actividades de control con el fin de mitigar los riesgos identificados en el análisis de riesgos realizado, identificando posibles debilidades y propuestas de mejoras.
Actividades de Control
Matriz de Riesgos y Controles
Objetivos Principales
• Cumplimiento de Leyes y Normas• Fiabilidad de la Información Financiera
y Presupuestaria• Eficacia y Eficiencia de las operaciones
Desarrollo y consolidación de las funciones de control permanente
• El objetivo es lograr un correcto funcionamiento del Modelo de Control Interno Permanente a través de evaluaciones objetivas y oportunas sobre la calidad de los controles clave implantados en la Administración Pública y la realización de recomendaciones que mejoren los sistemas y las operaciones.
Supervisión
Plan Anual de Control Financiero
Componentes
• Entorno de Control• Evaluación y Gestión de Riesgos• Actividades de Control• Información y Comunicación• Supervisión
Análisis de Riesgos
Comprensión de los principales procesos de la Administración e identificación, evaluación y valoración de los riesgos
asociados más relevantes
• El objetivo es la evaluación de los principales riesgos teniendo en cuenta todas las tipologías de riesgos (financiero, operativo y de cumplimiento). De este modo se tratará de asegurar un modelo de control efectivo basándose en un análisis de riesgos consistente con los objetivos a conseguir y las prioridades establecidas para cada ejercicio.
Mapa de Riesgos
Modelo de Gobierno
• Equipo de Gobierno encargado de promover una gestión y manejo de riesgos, en un ambiente de claridad y confianza para todos los interesados
Modelo de Control Interno
¿Qué otros objetivossubyacentes se puedendesprender de este Nuevo RD Control Interno?
© 2017 Deloitte, S.L. 9Control Interno en Entidades Locales
Riesgos Potenciales
RIESGOS OPERACIONALES
Riesgos relacionados con el inadecuado diseño de procesos y riesgos tecnológicos:
• Procesos manuales y automáticos de recaudación de impuestos, tasas y precios públicos
• Efectiva aplicación del remanente de tesorería afectado
• Cumplimiento real de los contratos, en especial de las concesiones
• Adecuada asignación de recursos humanos
• Rendimiento previsto y real de las inversiones reales
• Funcionamiento y seguridad de las aplicaciones informáticas
RIESGOS FINANCIEROS
Riesgos relacionados con el inadecuado registro o desglose de las operaciones realizadas:
• Incumplimiento de estabilidad presupuestaria y sostenibilidad financiera:
✓ Déficit
✓ Techo de gasto
✓ Otros
• Incumplimiento de periodos de pago a proveedores
• Emisión de información presupuestaria y económico-patrimonial que no representa la imagen fiel
• Emisión de información de costes que no es fiable y otra información a incluir en la memoria de la cuenta general
RIESGOS DE CUMPLIMIENTO
Riesgos relacionados con el incumplimiento de las normas internas y normativa externa:
• Normativa de contratación pública
• Normativa asociada a la concesión de subvenciones y justificación de su uso
• Normativa asociada a personal
• Normativa de cumplimiento económico financiero (endeudamiento, patrimonio, etc.)
• Normativa de seguridad informática (protección de datos, esquema nacional de seguridad, etc.)
• Otra normativa (ej. transparencia y buen gobierno)
Contar con una gestión completa y oportuna de los riesgos es vital para incrementar la confiabilidad de los procesos y cumplir con los objetivos de la Entidad. Las prioridades y alcance del sistema de seguimiento de los riesgos deben estar en función de la valoración y priorización de los distintos riesgos en cada una de las áreasde actividad y procesos, pues allí donde hay más riesgo debe haber mayor control y supervisión.
En consecuencia, es necesario contar con un conocimiento detallado de los procesos y de los riesgos que los afectan, así como definir la tolerancia al riesgo de la Entidad, para decidir cuáles deben ser objeto de seguimiento.
¿Tienen todas las entidades públicaslocales los mismosriesgos?
¿Son los riesgossiempre iguales y permanence inalterados en el tiempo?
¿Es la ciberseguridad un riesgo que debeser controlado?
¿Hay demasiado foco en riesgoúnicamente financieros y de cumplimiento?
© 2017 Deloitte, S.L. 10Control Interno en Entidades Locales
Grado de Madurez en la Gestión de Riesgos
Grado de Madurez en la Gestión de Riesgos
• La gestión de riesgos depende exclusivamente de la iniciativa individual de las personas
• No hay una mínima sistemática de análisis y gestión de riesgos
• Se reacciona a las situaciones adversas por especialistas en cada área
• Asignación de responsabilidades en gestión de riesgos de forma desestructurada y pocos riesgos
• Gestión de riesgos limitada al ámbito financiero y de cumplimiento.
• Ambiente de control establecido desde la Dirección
• Políticas, procedimientos y responsabilidades en gestión de riesgos definidos y comunicados
• Respuesta integrada frente a situaciones adversas
• Transformación de la cultura en proceso
• Gestión de Riesgos integrada en los procesos de decisión
• Modelo sostenible en el tiempo “La Gestión de Riesgos es una responsabilidad de todos"
Riesgos no compensados
Riesgos compensados
- +
¿En qué estadio se encuentratu entidad?
© 2017 Deloitte, S.L. 11Control Interno en Entidades Locales
Ejemplos: Mapa de Riesgos
RO1
RF1
RG1
RCN1
RIC1
RG2
RG3
RE1
RE2
RE3
RO2
RO3
RO6
RO10
RF2
RF3
RF4
RIC2
RIC5
RIC6 RE4
RF5
RO7
RO8
RO9
RCN2RO4
RO5
RIC3
RIC4
3,00
3,50
4,00
4,50
5,00
5,50
6,00
6,50
7,00
7,50
8,00
8,50
9,00
2,00 2,50 3,00 3,50 4,00 4,50 5,00 5,50 6,00
VULNERABILIDAD
IMPACTO
¿Sería útil para la entidad contar con un mapa de riesgos a efectos de gestión y a efectos de enfocar los esfuerzos de control interno?
© 2017 Deloitte, S.L. 12Control Interno en Entidades Locales
Flujogramas de procesos Matrices de riesgos y controles
Ejemplos: Flujogramas y Matrices de riesgos y controles
¿Dispone la entidad de flujogramas de susprincipales procesosque definan susriesgos y los controlesimplantados?
¿La labor de supervisión del control interno de la entidadestá basada enherramientassimilares?
© 2017 Deloitte, S.L. 13Control Interno en Entidades Locales
Procesos & Controles manuales Procesos & Controles automatizados
Inicio Manual AutomáticoSeguimiento automático
No basado en riesgosEnfoque basado en riesgos
Procesos de control sobre aplicaciones
Automatización de la monitorización de los controles
Controles redundantes
Racionalización de controles
Controles de acceso y segregación de funciones
Monitorizacióncontinua de los controles
Procesos y controles informáticos y de negocio manuales
Plataforma de gestión de controles
Pruebas eficientes sobre los controles
Optimización operacional
Pruebas ineficientesProcedimientos muy manuales
Automatización de algunas pruebas
Procedimientosostenible de revisión del control
Enfoque reactivo a losproblemas de control
Pruebas con gran volumen de muestras
Pruebas con muestras menores
Enfoque proactivo
Controles inefectivos e ineficientes
Controles sub-óptimos
Controles efectivos y eficientes
Valoración de los controles para la organización
De los controles manuales a los automáticos
¿En qué nivel de automatización de controles se encuentra la entidad?
© 2017 Deloitte, S.L. 14Control Interno en Entidades Locales
Enfoque metodológico
© 2017 Deloitte, S.L. 15Control Interno en Entidades Locales
• Plan de Acción del Proyecto
• Plantilla Plan de Acción
Fase 4: Plan de Acción
• Formalizar un Plan de Acción donde se determinen las medidas a adoptar para subsanar las debilidades, deficiencias o incumplimientos detectados en el trabajo realizado
•Elaboración de plantilla estándar de identificación y seguimiento de los Planes de Acción detectados, incluyendo:
─ Medidas de corrección adoptadas
─ Responsable
─ Calendario
• Plan Anual de Control Financiero
Fase 3:Plan Anual de
Control Financiero
Recoge las actuaciones de control permanente y auditoría pública a realizar durante el ejercicio:
•Concretar las actuaciones a realizar e identificar el alcance objetivo, subjetivo y temporal de cada una de ellas.
•Asignar prioridades para seleccionar las actuaciones a realizar
•Estimar la importancia del riesgo, utilizando tanto criterios cuantitativos como cualitativos, y de la conveniencia de seleccionar controles con regularidad y rotación.
•Alcance de las auditorías a realizar en el ejercicio
•Herramienta GRC en
funcionamiento.
Fase 5: Herramienta de Control Interno
Benchmarking de
herramientas de gestión
de riesgos (Herramienta
GRC).
Implantar una
herramienta informática,
de modo que permita
gestionar y controlar tanto
las actividades propias de
la operativa requerida,
como la información y
documentación asociada:
•Diseño funcional de la
herramienta.
• Implantación de la
herramienta.
•Carga inicial de datos.
Fase 2:Control Permanente
•Matrices de Riesgos y Controles
Comprobar, de forma continua, que el funcionamiento de la actividad económico financiera del sector público local se ajusta al ordenamiento jurídico y a los principios generales de buena gestión financiera, para ello:
• Entrevistas a los responsables de cada área
• Análisis de la documentación existente sobre los riesgos identificados.
• Identificación de controles que mitiguen los riesgos identificados en la Fase 1.
• Elaboración de la Matriz de Riesgos y Controles
•Análisis de Riesgo
•Mapa de Riesgo
Fase 1:Análisis de Riesgo
TAREAS
• Identificación de la totalidad de los riesgos aplicables a la Administración Pública atendiendo a la siguiente taxonomía:
─ Financiero
─ Cumplimiento
─ Operacional
•Elaborar un inventario de riesgos clave.
•Evaluación y priorización de riesgos acorde al impacto y probabilidad de los mismos.
DOCUMENTOS
Enfoque metodológico
Para la consecución de los objetivos marcados, planteamos el siguiente enfoque metodológico acorde a lo dispuesto en el Real Decreto analizado:
© 2017 Deloitte, S.L. 16Control Interno en Entidades Locales
Herramientas GRC
© 2017 Deloitte, S.L. 17Control Interno en Entidades Locales
Herramientas GRC
Modelo de control gestionado
manualmente
5 Entidades dependientes
5 Responsables por entidad dependiente
Tabla registro base de riesgos penales y controles
Ref. Delito Eventos Departamento Responsable del diseño del
control
# Control Control Doc. Referencia Clasificación control Tipo control Automatización
control
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Finanzas Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Recursos Humanos Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Inversiones Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.07 Secreto de empresa Apoderarse de datos,
documentos, soportes
informáticos u otros objetos
para descubrir un secreto de
empresa.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
Contenidodel Modelo Modelo definido
Número elevado de responsables de
Riesgos/Controles
Departamento Control Interno / Intervención
Planes de Acción Difícil Seguimiento
Evidencias sin centralizar
Multi-documentación Ofimática
Mantenimientodel Modelo
Dedicación exclusivaSobreesfuerzos
(tiempo & Personas)
Gestióndel Modelo
Carpetas de RedInteracción Limitada
Workflows: Correos electrónicos
Posibilidad de Errores Manuales
Dificultad de Seguimiento
Certificación Manual
Tabla registro base de riesgos penales y controles
Ref. Delito Eventos Departamento Responsable del diseño del
control
# Control Control Doc. Referencia Clasificación control Tipo control Automatización
control
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Finanzas Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Recursos Humanos Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Inversiones Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.07 Secreto de empresa Apoderarse de datos,
documentos, soportes
informáticos u otros objetos
para descubrir un secreto de
empresa.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
© 2017 Deloitte, S.L. 18Control Interno en Entidades Locales
Herramientas GRC
Número elevado de responsables de
Riesgos/Controles
Modelo de control gestionado
manualmente
Planes de Acción Difícil Seguimiento
Contenidodel Modelo Modelo definido
Mantenimientodel Modelo
Gestióndel Modelo
5 Entidades dependientes
5 Responsables por entidad dependiente
Departamento Control Interno / IntervenciónTabla registro base de riesgos penales y controles
Ref. Delito Eventos Departamento Responsable del diseño del
control
# Control Control Doc. Referencia Clasificación control Tipo control Automatización
control
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Finanzas Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Recursos Humanos Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Inversiones Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.07 Secreto de empresa Apoderarse de datos,
documentos, soportes
informáticos u otros objetos
para descubrir un secreto de
empresa.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
Tabla registro base de riesgos penales y controles
Ref. Delito Eventos Departamento Responsable del diseño del
control
# Control Control Doc. Referencia Clasificación control Tipo control Automatización
control
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Finanzas Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Recursos Humanos Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.01 Contra la intimidad Utilizar, alterar o apoderarse de
datos reservados de carácter
personal.
Inversiones Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
R.07 Secreto de empresa Apoderarse de datos,
documentos, soportes
informáticos u otros objetos
para descubrir un secreto de
empresa.
Asesoría Jurídica Asesoría Jurídica CD-001 Todos los empleados de Miura Private Equity f irman una carta de compromiso de confidencialidad en
la que adquieren, entre otros, los siguientes compromisos: (i) guardar secreto y velar por la
seguridad de todos los datos de carácter personal a los que puedan tener acceso ya sean
propiedad de la Compañía o de cualquier empresa vinculada/asociada a la misma, (ii) guardar secreto
respecto de las claves de acceso y cualquier otra medida de seguridad otorgadas por la Compañía y
(iii) no recopilar datos de carácter personal ni crear f icheros que contengan datos de carácter
personal sin la autorización del Responsable de Seguridad.
1.1 Compromiso de
confidencialidad de los
empleados
Contratos Preventivo Manual
Multi-documentación Ofimática
Evidencias sin centralizar
Dificultad de Seguimiento
Certificación ManualPosibilidad de Errores
Manuales
Dedicación exclusivaSobreesfuerzos
(tiempo & Personas)
Carpetas de RedInteracción Limitada
Workflows: Correos electrónicos
Planes de Acción:Conocidos, Analizados
Valorados…
Workflows automáticos: valoración riesgos,
diseño control, efectividad control, autoevaluaciones
Repositorio único de evidencias
Trazabilidad Completa
Modelo de control,herramienta centralizada,
interacción propietarios
Herramienta colaborativa
Minimiza errores manuales
Cuadros de mando seguimiento
Certificación embebida en herramienta GRC
© 2017 Deloitte, S.L. 19Control Interno en Entidades Locales
Herramientas GRC
Invo
lucr
a a
tod
a la
org
aniz
ació
n • Distintas áreas de la organización deben estar involucradas: Intervención, Legal, Presupuestos, Operaciones, Tecnologías de la Información…
• Debe gestionar la existencia de gran cantidad de información.
• La estrategia de GRC debe estar alineada con los objetivos de la entidad.
Ge
stió
n In
tegr
ada • Las distintas
actividades de un modelo de control interno deben gestionarse de forma integrada.
• Se debe proporcionar un repositorio de información compartida.
• Se debe integrar con los procesos y tecnologías existentes.
Re
po
rtin
g • Debe ser capaz de generar reporting optimizado a diferentes niveles de agregación.
• Debe garantizar la homogeneidad en los indicadores.
• Debe proporcionar una visión clara y fiable de riesgo en la organización.
© 2017 Deloitte, S.L. 20Control Interno en Entidades Locales
Herramientas GRC
GRC
Control
Interno
Seguimiento del Modelo
de Control Interno
Tecnologías de
la Información
• Gestión de segregación de
funciones
• Seguimiento de políticas y
estándares de TI
Otras áreas
intervinientes
Usuarios que interactúen en
la ejecución de controles
(Calidad, Legal)
Reporting
Presupuestario
Seguimiento de Modelos de
control asociados a
información financiera y
presupuestaria
Gestión de
Riesgos
Identificación, evaluación
y seguimiento de los
riesgos
Cumplimiento
normativo
Seguimiento del cumplimiento
de la regulación interna o
externa.
Auditoría
interna• Gestión de Auditorías
Internas.
• Alimenta las incidencias de
auditoría que afectan a otras
áreas
© 2017 Deloitte, S.L. 21Control Interno en Entidades Locales
Herramientas GRC
Gestión del Fraude
• Proporciona a las organizaciones la posibilidad de detectar posibles casos de fraude mediante la automatización y generación de alertas en tiempo real y la investigación de los resultados obtenidos, que permite mejorar la calibración de las estrategias de detección creadas.
Control de Accesos
• Estas soluciones permiten realizar las tareas de detección, análisis de riesgos, remediación y mitigación en el ámbito del control de accesos y la segregación de funciones (SoD) a los sistemas de información de la organización.
Gestión de Auditorías
• Este componente proporciona a intervención una herramienta sobre la que llevar a cabo sus trabajos de planificación, preparación, ejecución, documentación y seguimiento de auditorías.
Gestión de Riesgos
• Incluye las funcionalidades que permiten identificar, evaluar, gestionar y monitorizar todo tipo de riesgos de negocio (estratégicos, operativos, legales, financieros, etc.), manteniendo actualizado el mapa de riesgos de la organización.
Control de Procesos
• Este módulo incluye una gestión integrada de los procesos de control interno y cumplimiento normativo, mediante funcionalidades para el registro y evaluación periódica de los marcos de control definidos.
Estas soluciones integran distintos componentes o módulos, con funcionalidades diferenciadas, que pueden funcionar de forma autónoma o integrada, que permiten que el proceso de cumplimiento sea sostenible y eficiente, destacando los siguientes:
© 2017 Deloitte, S.L. 22Control Interno en Entidades Locales
Herramientas GRC
Una vez desarrollado y disponible el Modelo de Control (procesos, riesgos, controles,etc.) o el contenido que se haya desarrollado, y evaluada la necesidad de incorporar unasolución tecnológica en el proceso, algunas de las características generales que deberíapresentar esta herramienta GRC serían:
• Posibilidad de parametrización de la solución tecnológica, para su adecuación
al modelo de control existente, siguiendo los requisitos establecidos por la entidad
(considerando múltiples regulaciones, entidades dependientes, organizaciones o
procesos).
• Implementación de workflows y notificaciones (p.e., para los procesos de
ejecución, revisión y actualización, de forma que la herramienta guíe y haga más
eficientes estos procesos)
• Implementación de controles automáticos, mediante la conexión con los
sistemas fuentes de información, optimizando y automatizando las labores de
ejecución de controles.
• Integración con los sistemas de información de la entidad (sean estos
sistemas comerciales o desarrollos a medida)
• Definición de modelos de reporting y cuadros de mando flexibles y adaptados a
las necesidades de cada organización, que faciliten el proceso de toma de decisiones.
• Trazabilidad de las operaciones realizadas sobre la herramienta
• Procesos automáticos de carga masiva de información.
© 2017 Deloitte, S.L. 23Control Interno en Entidades Locales
Herramientas GRC
Deloitte, está focalizada en las herramientas de Gobierno, Gestión de Riesgo y Cumplimiento(GRC) líderes en el mercado (según analistas como Gartner o Forrester y según nuestra propiaexperiencia).
Esta fortaleza acredita la solvencia técnica y la experiencia necesarias para acometer unproyecto de implantación de cualquier solución GRC.
En este sentido trabajamos con estas soluciones GRC de manera totalmente independientey manteniendo en todo momento una imparcialidad sobre cada tecnología en cadaorganización:
Fuente: The Forrester Wave™: Governance, Risk, And Compliance Platforms, Q1 2016
Fuente: Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms Q4 2013
© 2017 Deloitte, S.L. 24Control Interno en Entidades Locales
Herramientas GRC
Favorece una visión integrada del riesgo y el cumplimiento.
Mejora la función de gestión de riesgos y el cumplimiento.
Optimización del rendimiento y reducción de costes (automatización de controles y procesos).
Mejora en la toma de decisiones, desde una perspectiva de riesgo.
Mejora en el reporting a la Dirección.
Consistencia y integridad en la información
Trazabilidad de las actividades
© 2017 Deloitte, S.L. 25Control Interno en Entidades Locales
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited (“DTTL”) (private company limited by guarantee, de acuerdo con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página wwwdeloitte.com/about desea obtener una descripción detallada de DTTL y sus firmas miembro.
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de 225.000 profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto.
Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades asociadas (conjuntamente, la “Red Deloitte”), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.