presentación modelo de prevención y gestión de riesgos

www.msmadrid.com PRECISE. PROVEN. PERFORMANCE.

Modelo de Organización y Gestión para la Prevención

y Control de RiesgosOctubre 2015

Presentación propiedad de MSMADRID. Todos los derechos reservados

Agenda•Algunos datos interesantes,

•El Control Interno, como buena práctica administrativa,

•Prácticas administrativas que impactan en el Modelo de Organización

y Gestión,

•Metodología para el diseño e implementación de un Modelo de

Organización y Gestión,

•Modelo de Organización y Gestión; conceptualización metodología y

entregables,

•Asesoramiento en Procesos de Gestión Empresarial; objetivos.

Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos

2

Según algunas encuestas referentes a delitos económicos entre

2011/2014, en España un 35% de los encuestados declaró al menos un

fraude en los últimos 12 meses, 52% declaró un incremento de ese

delito. Un 64% de los delitos económicos fueron de origen interno, y de

estos en un 70% hubo más de un involucrado.

En la EU se incrementó un 39% y a nivel global un 43% durante los

pasados 5 años.


3

De las empresas donde se sucedió un evento que hicieron cuando lo

detectaron?

Acciones contra el perpetrador interno:• Un 70% calificó un despido, un 64% tomó acción policial/civil, un

5% no hizo nada, un 11% lo amonestó, un 4% lo traslado

internamente.

Acciones contra el perpetrador externo:• Un 40% notificó a entes reguladores, un 63% tomó acción

policial/civil, un 32% no hizo nada, un 36% cesó relación comercial.


4

Y…porqué hacemos tan poco: un 27% indicó que es costoso, un 17%

que no tiene valor, un 21% desconoce el valor de una revisión de

procesos y controles internos y un 25% simplemente no sabe.

Los tipos de fraude más comunes se identificaron el fraude fiscal 5%,

la manipulación contable 11%, transacciones no autorizadas 8%,

apropiación indebida de activos 38%, utilización indebida del crédito

16%.

Un 69% de los fraudes fue para mantener su estilo de vida, 34% por

inacción gerencial y 39% acciones anti-empresarial.


5

6


Presión y Motivación 68%

(1)

Racionalización 14%(3)

Oportunidad 18%(2)

Se han establecido tres condicionales básicas para que el fraude ocurra

En nuestro ecosistema empresarial debemos conocer cada proceso que

lo compone, los diferentes subprocesos que lo integran y la integración

de estos con el entorno tecnológico que lo soporta, y nos daremos

cuenta que muchos de nuestros procesos están profundamente

sustentados en personas más que en sistemas.

7


Y cada persona muchas veces lo ejecuta de acuerdo a su criterio y

entendimiento, con procesos inadecuadamente definidos, muchas veces

violentando las políticas y normas internas así como los controles

internos existentes, usan herramientas de su conocimiento y dominio,

incluso sobreponiéndolas a los sistemas que soportan el proceso.

Esto lo conocemos como debilidades de control.

8


9

Los eventos de riesgo se enmascaran en esas debilidades de

control y la explotan abusando de niveles de los confianza, en el mal

uso de las costumbres empresariales, por la inacción gerencial o

todas las anteriores.

Las Organizaciones y sus Administradores deberán ser diligentes en

implementar un modelo eficiente de prevención y control, que

identifique los riesgos inherentes de los procesos, así como las

acciones de control preventivas y detectivas diseñadas para

minimizar el nivel de exposición a riesgos previamente identificados.


La lección más importante de estas experiencias nos debe hacer

recapacitar acerca de lo expuesto y vulnerable de las

organizaciones ante la posibilidad cierta que no conocemos

totalmente nuestros riesgos, su impacto y que tan expuestos

estamos a ellos.

Esto requiere un nuevo enfoque orientado a la optimización de

la disponibilidad de nuestros activos críticos – gente, procesos,

data, tecnología e infraestructura -

10


Plataforma Tecnológica

Sistemas de Gestión

BD RedesSO

Appl B Appl A

Reporte Financiero

Procesos de Negocios

Operativa Transaccional

Proceso A

Proceso B

Proceso C

Gob.Corporativo Ética, P&N

Internet


11

Regulaciones OP T, NIIF, CI, Legal, FI

Regulaciones Comunitarias

BC, AB&C, RSE, RMA

12

Lo que ha establecido la nueva modificación a la reforma del Código

Penal, es que en caso de que, por inexistencia o inobservancia de

un Modelo de Prevención y Control, se produzcan eventos que

expongan, vulneren o afecten a terceras personas naturales o

jurídicas, tanto la Empresa como sus Administradores serían

directamente responsables, así ninguno de estos hubiese sido

directa o indirectamente beneficiado de ese evento.


13

Como prácticas más relevantes a riesgos, que pueden ser explotadas

partiendo de debilidades de control podremos citar:

Prácticas por descubrimiento y revelación de secretos: Descontrol

en documentos privados de clientes, empleados o proveedores, por

malas prácticas de clasificación de confidencialidad de documentos,

material de destrucción o de reciclaje. Malas prácticas de control y

custodia de documentos y archivos privados, discos duros y escáner y

fotocopiadoras.


14

Prácticas relacionadas a estafas o delitos contra la propiedad y el

patrimonio: directamente relacionados con prácticas de control de

fraude, descontrol de ventas y cobranzas, inventarios, compras,

gastos no justificados, pago de comisiones a vendedores y terceros,

prácticas anti éticas relacionadas a Gobierno Corporativo.


15

Mal uso y descontrol de datos y sistemas informáticos: Descontrol

de sistemas, aplicaciones y data. Descontrol de accesos, utilización de

claves genéricas de accesos, descontrol de uso de internet, monitoreo

de tráfico. Descontrol en detección y erradicación de virus internos que

infecten redes de clientes o proveedores. Descontrol de antivirus y

anti-spam internos.


16

Prácticas que atentan contra la propiedad intelectual e industrial,

al mercado y a los consumidores: Descontrol de sistemas,

aplicaciones y licencias de uso, descontrol de descargas de películas,

música y aplicaciones desde internet u otros medios (USB/CD).

Descontrol de aplicaciones internas de uso de redes y aplicaciones de

oficina (Windows©, Outlook©, Office©, Adobe-PDF©, BD.)

© 2012 Microsoft Corporation. All Rights reserved, Adobe System Incorporated. All Rights reserved


17

Diligencia debida en prácticas de control de blanqueo de

capitales: Descontrol en el proceso de aceptación de clientes y

proveedores sin revisión de referencias de Directivas, de personas

públicamente expuestas, de principales clientes (práctica de conozca

a su cliente). Donaciones a ONG´s cuestionadas o con procedimientos

abiertos. Indefinición o inexistencia de prácticas o guías de control de

BC/FT para clientes y proveedores (Diligencia debida).


18

Prácticas y delitos contra la Hacienda Pública y contra la

Seguridad Social: Facturas no declaradas al fisco, facturación

incompleta o a destiempo sustentada en anticipos, facturas

rectificativas sin sustento real, donaciones y declaración de pérdida o

daño de inventario irreales o inadecuadamente justificadas.


19

Prácticas de tráfico de influencias: Registro de anticipos, viáticos o

dietas o gastos sin justificación. Gastos de publicidad y viajes

internacionales para terceros y relacionados no soportados o como

retribución por favores, pago de comisiones sin soporte.

Control y prácticas anti corrupción en las transacciones

comerciales internacionales: Descontrol en relaciones comerciales

e inversiones en países con altos niveles de corrupción, o

considerados paraísos fiscales. Viajes fastuosos, regalos de alto

valor, gastos elevados recurrentes sin sustento.


20

El modelo de Prevención y Control que MSMADRID desarrolla, se respalda en las prácticas internacionalmente aceptadas para el diseño, desarrollo e implementación de modelos de gestión y control interno de riesgos

•Identificar y evaluar el marco de cumplimiento regulatorio•Identificar riesgos internos y del entorno

•Evaluar procesos críticos•Identificar controles y cualificar sus debilidades.•Determinar el nivel de exposición

•Identificar y proponer mejoras, cambios o adecuaciones en procesos, en marco regulatorio o en sistemas de gestión

•Seguimiento y auditoria periódica



Metodología

Evaluación del Modelo de Gestión y Control

El enfoque metodológico utilizado para la evaluación de control interno está sustentado en el enfoque propuesto por el Committee of Sponsoring Organizations (COSO) para la evaluación de procesos de negocios y para las tecnologías de información indicadas por la metodología COBIT o Control Objetives for Information and related Technologies .

Ambos enfoques metodológicos, establecen una serie de lineamientos que las organizaciones deben establecer a fin de ofrecer una garantía razonable que los riesgos empresariales son conocidos y que se han establecido y definido las actividades de control necesarias para minimizar el nivel de exposición y los impactos que pudiesen ocasionarse.

Estas metodologías, permiten sustentándose en la evaluación y entendimiento de los procesos empresariales operacionales y estratégicos, determinar en una primera instancia, que tan expuesta está la organización ante eventos de riesgo que puedan exponerlos a eventos contra el patrimonio, regulatorio, reputacional, de practicas de competencia, entre otros.

21

La primera etapa del proyecto la constituye la definición del Modelo de Gestión y Control, donde se evaluará el ambiente actual de gestión y control, identificando las actividades de control interno existente, su eficiencia y vigencia operacional así como las debilidades por carencia o ineficiencias de estos, emitiendo una serie de recomendaciones y sugerencias que permitan a la organización definir los planes de acción para minimizar los niveles de exposición a riesgos.

En una segunda fase, consistirá en hacer seguimientos semestrales a los controles internos definidos en el Modelo de Gestión, a fin de determinar que las debilidades anteriormente detectadas han sido solventadas o en caso contrario conocer las actividades que se están desarrollando para minimizar el impacto detectado y actividades preventivas o detectivas sobre el mismo.

Para la evaluación del Modelo de Gestión, se ejecutarán una serie de actividades como la documentación del Mapa de Procesos y Flujo del Proceso, el cual permite no solo documentar el mismo, sino es usado como mecanismo para identificar la debilidades del control

22


Metodología

Durante el proceso de levantamiento del proceso e identificación de los controles internos, simultáneamente se completará la Matriz de Control y Riesgos, en los cuales se cualifica una serie de eventos que permite finalmente concluir sobre el nivel de exposición e impacto de riesgos evaluados.

El resultado de la matriz expondrá una serie de indicadores de medición, control e impacto a fin que la Administración pueda en base las sugerencias y recomendaciones tomar las acciones que le permitan minimizar los niveles de exposición.

Finalmente se entrega un informe detallado del trabajo realizado, gráficas, matrices, mapas y flujos de procesos y diagramas de causa-efecto cuando aplique.

23


Metodología


Metodología

24

25


Mapa de Procesos

26


Flujograma de Procesos

27


Matriz de Riesgo

28


Gráfica Exposición a Riesgos

29


Gráfico Causa - Efecto

2.00 2.50 3.00 3.50 4.00 4.50 5.000.00

0.50

1.00

1.50

2.00

2.50

3.00

3.50

4.00

4.50

Efectividad del control

Impacto en el negocio

BAJO

ALTO

ALTO

A

GF

ED

CB

LEYENDA

A – OperacionesB – ProcuraC – AlmacénD – Capital humanoE – CobranzasF – FacturaciónG – Contabilidad

BAJO

30


Gráfica Nivel de Exposición Corporativo

Al margen de la normativa aprobada, el Modelo de Organización y

Gestión no solo ayudará a detectar riesgos internos, sino que mejorará

la eficiencia de nuestros procesos y operaciones de gestión

empresarial.

No es una receta que aplica a todos por igual

No es un seguro contra todo riesgo

Es una buena práctica gerencial

31


“Todas las organizaciones estamos expuestas a diversos tipos de riesgo los cuales provienen de variados ambientes. Una evaluación objetiva, proactiva y efectiva del riesgo, así

como la adecuada gestión del mismo, no sólo nos ayudará a detectarlo oportunamente y a protegernos de él, sino

convertirlo en una oportunidad de negocios. “

Crecer es un riesgo que todos debemos afrontar con sabiduría

32

Consultoría de riesgo y

control interno

Análisis de data, evaluación, diagnóstico, optimización y diseño de actividades de control interno que minimicen

los niveles de exposición a riesgos inherentes a los procesos de negocio.

Consultoría gerencial

Formación ycapacitación

Formación y capacitación en el análisis, y detección de debilidades de control más comunes en los procesos de

negocio.

Evaluación , diseño y priorización de las actividades de alineación estratégica empresarial, así como de sistemas

de gestión y su documentación

Asesoramiento en Procesos de Gestión

Empresarial

Líneas de servicios – sinopsis

33

Consultoría de riesgo y control

interno

Evaluación y diagnóstico de

procesos y sistemas de

gestión

Asistencia en diseño,

adecuación y optimización de

procesos

Análisis y evaluación de data

(contenido de la información) CAAT

Consultoría gerencial

Alineación estratégica de Unidades de

Negocio

Evaluación y selección de

sistemas informáticos de

gestión empresarial

Documentación de procesos

Formación ycapacitación

Charlas, Seminarios y Talleres de formación y capacitación

34

Asesoramiento en Procesos de Gestión

Empresarial

Líneas de servicios – sinopsis

35

Responsable:

Carlos Alberto [email protected]: +34 616 327 443

General Martínez Campos 42, bajo 1° y bajo 2°28010 MADRID. ESPAÑATeléfono: +34 91 310 00 52/ +34 913 10 43 46Fax: +34 91 319 17 36/ +34 91 308 34 92


mailto:[email protected]

presentación modelo de prevención y gestión de riesgos

Business