sistema de control interno - osinergmin.gob.pe · rc n°320-2006-cg. (continuación) (i) promover...
TRANSCRIPT
1
Sistema de Control Interno
Lima. Junio 2009
Carlos Serra, CP, CISA
2
¿Por qué?
¿En qué?
Necesidad de fortalecer el
SCI
3
Amenazas y vulnerabilidades 1. “El expediente no se encuentra. Tal vez quedó mal
archivado”.
2. “Nadie me dijo que eso cambió”.
3. “Nunca pasó nada”.
4. “Eso está a cargo de un proveedor, no es mi responsabilidad”.
5. “A mi me enseñaron a hacerlo así …”
6. “Una ventana abierta ..ya se encargará el vigilante”.
7. “Si la liquidación está mal es un problema informático y no mío”.
4
Hacia delante, Ganar, Lograr, Hacer
5
A veces los riesgos se concretan
6
¿Qué significa control interno?
RC N°320-2006-CG. DEFINICIÓN Y OBJETIVOS DE CONTROL INTERNO
Es un proceso integral efectuado por el titular, funcionarios y servidores de una entidad, diseñado para enfrentar a los riesgos y para dar seguridad razonable de que, en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales:
(sigue)
7
¿Para qué? RC N°320-2006-CG. (continuación) (i) Promover la eficiencia, eficacia, transparencia y economía en las
operaciones de la entidad, así como la calidad de los servicios públicos que presta.
(ii) Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo hecho irregular o situación perjudicial que pudiera afectarlos.
(iii) Cumplir la normatividad aplicable a la entidad y a sus operaciones.
(iv) Garantizar la confiabilidad y oportunidad de la información.
(v) Fomentar e impulsar la práctica de valores institucionales.
(vi) Promover el cumplimiento de los funcionarios o servidores públicos de rendir cuentas por los fondos y bienes públicos a su cargo o por una misión u objetivo encargado y aceptado.
8
Objetivos y Componentes de CI
9
¿Por qué identificamos los riesgos?
• Como funcionario está obligado a brindar un trato justo y trasparente y cuidar los bienes a su cargo (objetivos).
• Hay factores (riesgos) que amenazan esos objetivos.
• El no pensar en ellos es saludable pero no demuestra responsabilidad.
• El identificar los riesgos permite orientar los recursos a mitigar los mas críticos.
10
Marco Normativo
1. Resolución de Contraloría RC N°320-2006-CG, la cual establece las NORMAS DE CONTROL INTERNO, basadas en COSO. (octubre 2006).
2. Resolución de Contraloría RC N°458-2008-CG, Guía para la implementación del Sistema de Control Interno. (octubre 2008).
11
Hay que cumplir con la normativa pero…
• No ,en mi unidad no tenemos riesgos. • Mis controles ya son suficientemente sólidos. • Integro el Comité de Control pero tengo que
continuar con mis tareas normales. • Esto cumple con la calidad. • El control interno debe cumplirse, aunque a
veces no se sabe para que… • No está claro como aportamos al logro de los
objetivos institucionales.
12
En un mundo de incertidumbres DEBE:
Gestionar recursos Demostrar cuidado
Reducir las observaciones Prevenir antes que explicar
13
• Contribuye a la Gobernabilidad de la institución.
• Contribuye al autocontrol: quien ejecuta un proceso o actividad es responsable de su control.
• Contribuye a la gestión de riesgos, minimizándolos al nivel de Riesgo Máximo Aceptable.
• Minimiza la posibilidad de hallazgos OCI, que estará orientada, prioritariamente, a la prevención y mejora continua.
• Facilita el logro de los objetivos institucionales.
¿Qué beneficios logra con el SCI?
14
Gobernabilidad
• La implementación de los Sistemas de Control Interno en el Estado será uno de los más importantes avances en la modernización de la Administración Pública.
• Es un esfuerzo importante de la Administración, cuyos resultados contribuyen a mejorar la gobernabilidad.
Genaro Matute M., Ph. D. Ex-Contralor General de la República
15
Cuidar los bienes públicos a través de acciones preventivas y correctivas pertinentes. El control es un “proceso integral y permanente”. Ley Nº 27785
Los titulares de las entidades están obligados a emitir las
normas específicas, de acuerdo a su naturaleza, estructura y funciones, las que deben ser concordantes con la normativa que dicte la CGR. Ley Nº 28716
El titular, los funcionarios y todo el personal de la entidad
deben mostrar y mantener una actitud positiva y de apoyo al funcionamiento adecuado de los controles internos. La actitud (liderazgo) es una característica de cada entidad y se refleja en todos los aspectos relativos a su actuación Res Nº 320-2006-CG
¿Por qué tenemos que hacerlo?
16
Los Titulares tiene la responsabilidad básica de asegurar que existan adecuados controles internos.
La tarea de implantar y mantener el control interno recae sobre la Gerencia.
El Comité de Control Interno (y La Unidad de Riesgos) es especialista y coordinadora.
Cada empleado (directores, gerentes, funcionarios) es responsable del control interno dentro del ámbito de su actividad y responsabilidad.
Los Auditores (OCI) No tienen responsabilidad del control interno. Revisan el funcionamiento del Sistema de Control Interno, señalan deficiencias y promueven mejoras.
¿Cuál es su rol?
17
¿Cómo? PRINCIPIOS: (i) El autocontrol, Todo funcionario y servidor del Estado
debe controlar su trabajo, detectar deficiencias o desviaciones y efectuar correctivos para el mejoramiento de sus labores y el logro de los resultados esperados;
(ii) La autorregulación, La capacidad institucional para desarrollar las disposiciones, métodos y procedimientos que le permitan cautelar, realizar y asegurar la eficacia, eficiencia, transparencia y legalidad en los resultados de sus procesos, actividades u operaciones; y
(iii) La autogestión, Compete a cada entidad conducir, planificar, ejecutar, coordinar y evaluar las funciones a su cargo con sujeción a la normativa aplicable y objetivos previstos para su cumplimiento.
18
RC N°458-2008-CG
La Guía para la Implementación del Sistema de Control Interno de las entidades del Estado reúne lineamientos, herramientas y métodos que permitirá realizar una adecuada implementación del SCI en la gestión de las operaciones de la entidad, con la finalidad de fortalecer la organización y contribuir al logro de sus objetivos, siempre de acuerdo con la naturaleza de sus actividades.
19
Cómo utilizar el modelo de auto evaluación de riesgos y controles
• La autoevaluación implica una amplia participación de los directos participantes en la identificación y valoración de “¿qué puede salir mal?”
• La experiencia directa y el conocimiento de primera mano ayuda a la entidad .
• Es tan malo una evaluación pesimista como una optimista.
• Debe evitar pensar “como esto nunca pasó , nunca va a pasar …”
• Los resultados pueden ser auditados (si indica que un control esta funcionando adecuadamente ,asegúrese de contar con la evidencia demostrable) pero ser usados en ESTA ETAPA para mejorar y no para castigar
20
Una buena noticia
Su Entidad ya cuenta con un Sistema de Control Interno. Usted aplica controles desde su primer día de trabajo. ¿Entonces? Es la oportunidad de proponer mejoras a un sistema de
control interno que puede estar resultando insuficiente, obsoleto, o excesivamente costoso.
¿Cómo? Determinando que los controles se justifican en la existencia
de amenazas.
21
¿Cuándo?
Resolución de Contraloría General Nº 458-2008-CG
“Guía para la Implementación del Sistema de Control Interno de
las entidades del Estado”
22
Res.de CGR 458-2008-CG Publicado 30/10/2008
• ARTÍCULO SEGUNDO Al término de los doce (12) primeros meses, las
entidades del Estado deberán emitir un informe con los resultados de la implementación del Sistema de Control Interno producto de su autoevaluación, señalando los avances logrados. Al termino de los 12 meses siguientes deberán emitir un informe final señalando la Culminación de su implementación.
• ARTÍCULO TERCERO Cumplido el plazo máximo establecido, las entidades
deberán remitir anualmente los resultados del funcionamiento del Sistema de Control Interno …
23
¿Por donde comenzar?
Iniciativa de arriba-abajo Mensajes claros Compromiso real
24
Principales actividades Para el proceso de implementación del SCI la guía considera tres
fases: • La primera fase es la Planificación, la cual tiene como objetivo
la formulación de un Plan de Trabajo que incluya los procedimientos orientados a implementar adecuadamente el SCI, en base a un diagnóstico previamente elaborado. Son aspectos inherentes a esta fase asegurar el compromiso de la Alta Dirección y la conformación de un Comité de Control Interno;
• La segunda fase es la Ejecución, en la que se implantará el SCI en sus procesos, actividades, recursos, operaciones y actos institucionales, para lo cual la entidad procede al desarrollo del Plan de Trabajo para la implantación del SCI;
• La tercera fase es la Evaluación, en la que se evalúan los avances logrados y las limitaciones encontradas en el proceso de implementación como parte de la autoevaluación mencionada en el componente de Supervisión.
25
1. Planificación La fase de planificación tiene por finalidad
desarrollar un plan de trabajo que permita a la entidad implementar progresivamente su SCI, para esto se plantean:
• Elaboración de un diagnóstico. – A nivel entidad, – A nivel procesos
• Establecer el compromiso de todos los niveles organizacionales de la entidad y la formalización de dicho compromiso mediante documentos.
26
1.1. Compromiso de la Alta Dirección
• El Titular y la Alta Dirección se comprometan
formalmente en la implementación del SCI.
• Contar con un documento que evidencie dicho compromiso.
• Sensibilizar a todo el personal de la entidad sobre el compromiso en la implementación, supervisión y operación del SCI.
27
1.1.2. Constitución del Comité El Comité, cuyos integrantes serán designados por la Alta Dirección,
considerará lo siguiente, entre otros aspectos: • Dependerá directamente del Titular de la entidad • Contará con miembros titulares y suplentes • Se reunirá las veces necesarias, siendo recomendable que por cada
reunión se elabore un acta que contenga los compromisos contraídos • Propondrá al Titular, la capacitación al personal de la entidad sobre
el marco conceptual y normativo del Control Interno, facilitando el desarrollo de todas las acciones necesarias para la implementación
• Realizará, con el apoyo de todos los funcionarios encargados y responsables de cada una de las unidades orgánicas (área, departamento, división, unidad, jefatura entre otros), el diagnóstico sobre el SCI de la entidad
• Coordinará las acciones para el proceso de implementación, así como informará sobre seguimiento de los avances.
La participación del Jefe de OCI o su representante se da en calidad de veedor en las sesiones, procesos o actos que realice el Comité.
28
1.2. Diagnóstico Se deberá evaluar, entre otros aspectos: • El nivel de desarrollo y organización del SCI; • Los elementos de control que conforman el sistema
existente; • Las deficiencias, vacíos y oportunidades de mejora que
presenta el sistema; • Los ajustes o modificaciones que deben desarrollarse; • Los componentes y normas de control que deben ser
implementados; • Las prioridades en la implementación (identificación de los
principales procesos críticos); • Una estimación de los recursos económicos, materiales y
de personal requeridos para la implementación, • Los lineamientos a considerar por el equipo institucional
para su plan de trabajo.
29
Diagnóstico e Implementación a Nivel Entidad
• Se recolecta toda la información que afecte a toda la Entidad. MOF, ROF, Organigramas, Manuales, etc.
• Se analizan y concuerdan con las NCI, Componente por componente y/o subcomponente.
• Se hace el informe: resultado del diagnóstico, el Plan de Trabajo para implementar las recomendaciones y se eleva para la aprobación de la Alta Dirección.
• Previa aprobación, se continúa con las fases Ejecución y Evaluación.
• Se hace informe final de la Implementación del Sistema de Control Interno.
30
Implementación a Nivel Procesos
• Identificación de Procesos, subprocesos y actividades.
• Análisis de Procesos. Identificación de insumos y productos. Proveedores y Clientes.
• Identificación de actividades que aportan valor
• Definición del Objetivo del Proceso
• Identificación de riesgos, calificación por Probabilidad e Impacto, priorización y tratamiento de los riesgos.
• Supervisión y Monitoreo.
31
Resumen de Actividades requeridas Complejidad Beneficio
Talleres de sensibilización para el personal, que dice la normativa y ejercicios prácticos
Baja Muy Alto
Recopilación de información interna y análisis normativo (alineamiento con la excelencia)
Baja Alto
Encuestas de auto diagnóstico: definir cuestionario, aplicarlo a una muestra o en forma total. Interpretar los resultados
Media - Alta Muy Alto
Definición y documentación de procesos Baja -Media Alto
Adaptación de la metodología sugerida por la R 458 a la realidad interna de la organización
Media Alto
Piloto de análisis de riesgo de procesos sobre uno o más procesos de la organización
Baja-Media Muy Alto
32
La auto evaluación
• Es un proceso de evaluación interna.
• Requiere comparar una situación actual contra un Marco o Norma u Objetivo
• Implica contar con claros criterios de evaluación
• Tiene sentido si se transforma en acciones de mejora
33
Puntos básicos
• Requiere facilitadores
• Adecuada difusión de los objetivos
• Si sólo se busca culpables no van a aparecer los problemas
• Requiere un compromiso de sinceridad
• Identificar quienes deben responder
34
Ventajas
• Economía de Recursos • Motivación que se transforma en
involucramiento
• Permite una herramienta de análisis de gestión
• Identifica Riesgos rápidamente
35
Ejemplo: ¿La comunicación?
36
Ayudar a Mejorar
37
La autoevaluación no es un fin, es un medio
1.1 Ambiente de Control ¿La integridad y valores éticos del titular, funcionarios y
servidores determinan sus preferencias y juicios de valor, los que se traducen en normas de conducta y estilos de gestión ?
( ) Satisfactorio ( ) Mejorable ( ) No Satisfactorio ( ) No Aplicable
38
Día 2
39
Proceso: ¿Qué es y qué no es?
40
Proceso de negocio
Es un conjunto de actividades relacionadas para lograr un resultado definido.
• Tienen clientes (internos o externos), • Tiene responsables, • Requiere insumos y genera productos, • Puede cruzar fronteras organizacionales,
41
¿Cómo analizar un proceso?
PROVEEDOR
INSUMOS PRODUCTO
ESPECIFICACIONES DE LOS INSUMOS
¿Qué debo recibir?
ESPECIFICACIONES DE LOS PRODUCTOS
¿Qué produzco o que quieren mis Clientes?
ACTIVIDADES ¿Qué cosas se hacen Actividad a Actividad b Actividad c
¿Qué errores involuntarios pueden ocurrir? ¿Que errores voluntarios pueden ocurrir? ¿Cómo pueden
fallar los sistemas?
•?
OBJETIVO: ¿Qué debemos lograr ? ¿Cuánto? ¿En qué tiempo? ¿Para quien?
NOMBRE DEL SUBPROCESO:
SUBPROCESO Manuales, Documentos,
Controles Recursos humanos,
tecnología, Terceros
CLIENTES
42
Gestión de Riesgos
43
Modelo de Riesgos
Proceso/Unidad
Objetivos
Amenaza 1,2,.., n
*Posibilidad
*Impacto
Recursos
Controles
Misión Obj. Estratégicos
$
44
Amenazas -Riesgo operativo • Incendio por acumulación de papel
• Fraude Interno, • Robo de bienes de la Entidad. • Demora en la atención de solicitudes. • Falta de conocimientos previsionales y técnicos. • Robo de expediente en papel. • Extraer documentos de los expedientes. • Cambiar documentos de los expedientes. • Fraude en la tramitación de un beneficio • Resistencia al cambio. • Se presenta información falsa para cobrar un beneficio • Falta de personal en días de trabajo críticos. • El personal no aprende los procedimientos. • Daño por agua a los documentos • Vandalismo. • Ruidos excesivos. • Espacio de atención al público insuficiente. • La dirección del beneficiario se consigna en forma incorrecta
45
Algunos puntos • Un mismo riesgo que afecta a varios
subprocesos, incluirlo en todos ya que la probabilidad y/o impacto puede ser diferente.
• El hecho que nunca pasó no significa que no lo tome en cuenta (Prob =baja , no 0).
• El impacto es el perjuicio para toda la Entidad y no para el Área.
• Si el riesgo se origina en otra Área pero afecta sus objetivos, debe identificarlo.
46
• ¿Qué significa controles Adecuados? (Completos- Suficientes- Auditables)
• ¿Qué hacer si los controles actuales no son Adecuados? (Expresarlo)
• ¿Qué es Tratamiento? (Cómo cambiar)
• ¿Cuándo es obligatorio el Tratamiento?
47
Ejemplo. Liquidación de beneficio al ciudadano
Error en las datos consignados en el documento de solicitud Por qué pasa? El personal de atención no esta bien capacitado y consigna
códigos errados . ¿Pasa frecuentemente? ¿Cómo afecta a la Entidad? ¿Qué controles hay? Control de calidad de documentos recibidos por el área de Control ¿Son adecuados suficientes y demostrables? ¿Cómo podemos mejorarlos?
48
PROBABILIDAD Nivel Probabilidad de
ocurrencia del evento Descripción
5 Casi certeza
Hay una casi certeza de que este evento ocurrirá Las condiciones son altamente propicias para ocasionar su materialización. Existe una gran probabilidad de que dicho evento ocurra mas de doce veces al año.
4 Muy Frecuente Puede ocurrir por lo menos dos veces al año.
3 Frecuente Puede ocurrir por lo menos una vez al año. Las condiciones son medianamente favorables para permitir su ocurrencia
2 Ocasional Puede ocurrir por lo menos una vez cada dos años o más.
1 Rara vez Puede ocurrir por lo menos una vez cada diez años o más. No existen condiciones que permitan su ocurrencia
49
IMPACTO Nivel Impacto Descripción
5 Muy Alta
No se puede cumplir con los objetivos Institucionales, el no cumplimiento compromete a la Institución, puede ser sancionada, se pueden dar pérdidas financieras muy altas, pérdidas de imagen, y no cumplimiento de responsabilidades. Toma estado público. Por ej.; Incendio grave, robo o alteración de las bases de datos críticas.
4 Alta
Requiere tratamiento, corrección inmediata, en las áreas afectadas, Los procesos afectados son críticos Se requiere de asistencia para la corrección, se representan pérdidas financieras medias, de imagen y pueden existir debilidades en los procesos operativos y consecuencias legales. Altos costos de recursos para reparar la situación
3 Moderado Pérdidas de alguna capacidad de operación, La duración del efecto negativo no llega a afectar la operativa diaria, aunque puede ser percibido por terceros. La organización se ve expuesta a pérdidas financieras u operativas moderadas.
2 Menor
Los tratamiento de ayuda o corrección, se realiza de manera inmediata, Genera algunas pérdidas financieras o de imagen, Los procesos afectados no son críticos y los compromisos de la Entidad hacia los terceros o internamente no se ven comprometidos.
1 Insignificante Se trata de un caso puntual con pérdidas poco significativas, Se soluciona rápidamente sin que queden consecuencias.
50
Evaluación de los controles
Descripción
Adecuados Los controles se aplican en forma consistente y la evidencia de su aplicación se encuentra debidamente documentada. Se estima que no requiere agregarse nuevos controles.
A mejorar Si bien existen controles, no son suficientes para mitigar la amenaza. Pueden fortalecerse e incluirse nuevos controles. La evidencia de su aplicación es baja.
A implementar No existen controles para la amenaza evaluada. O los que existen se aplican en forma inconsistente
51
Score de Riesgos
Insignificante Menor Moderado Alto Muy Alto1 2 3 4 5
6 8 10
Rara Vez 1 1 2 3 4 5
Ocasional 2 2 4
12 16 20
Frecuente 3 3 6 9 12 15
Muy Frecuente 4 4 8
IMPACTO
PROBABILIDAD
Casi Certeza 5 5 10 15 20 25
52
Responsables de riesgos/controles
Estratégicos G.Grl.
Área Personal Área Servicios Área Tesorería
Mapa Riesgo de la entidad
53
Proponer tratamiento
• Capacitar, Verificar, Automatizar controles, Cambiar normativa, Cambiar Procedimiento; Acordar con otras instituciones, Cruzar datos, Programar soluciones, Actualizar Manuales
• Una propuesta de mejora no necesariamente será aprobada.
• La propuesta aprobada deberá ser ejecutada por alguien.
• Las soluciones más simples o económicas son más fáciles de implantar.
54
Opciones de Tratamiento de Riesgos
EVADIR no proseguir con la actividad riesgosa (cuando esto sea practicable),
REDUCIR tomar medidas tendientes a reducir la probabilidad de ocurrencia y/o impacto,
COMPARTIR que otra parte soporte parte del riesgo
ASUMIR aceptar el riesgo inherente pero conociéndolo,
E R C A
55
Análisis Inicial
56
Los Riesgos de tecnología
57
La TI como servicio
Pagos
Ventas
Compras
Servicios de TI: redes ,sist.operativos, bases de datos, hardware
Aplicativos
CONTROLES Sueldos
Sist. Contable C O N T R O L E S G E N E R A L E S
Sist. de Gestión
58
PROCESOS DE NEGOCIO
PROCESOS DE INFORMACION
RECURSOS DE TI
• datos • aplicaciones • tecnología • instalaciones • personal
• efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad
criterios de información
? ¿Concuerdan ?
Marco Cobit Lo que necesitamos Lo que tenemos
59
• La gestión de riesgos es responsabilidad de todos y cada uno de los trabajadores, en el ámbito de sus respectivos trabajos. Debe ser precisado en el ROF y MOF.
• El logro de la implementación del SCI, solo es posible con la decidida participación de todos. La “cooperación” no es suficiente.
EN CONCLUSIÓN
60
Muchas Gracias por su
atención!!
www.datasec-soft.com