Vincent_Tophoff - Contraloría General de la República
Download
Report
Transcript Vincent_Tophoff - Contraloría General de la República
Gestión de Riesgos y Control Interno en
el Sector Público
Vincent Tophoff, Federación Internacional
de Contadores (IFAC)
Contraloría General de la República (CGR)
Seminario Un Aporte de Gobernanza
Distinto: El Control Interno
Santiago, Chile. Enero, 2015
Page 1 | Confidential and Proprietary Information
Federación Internacional de Contadores
• Organización mundial de la profesión contable
• Apoya a los contadores profesionales en las siguientes áreas:
– Gobernabilidad y ética
– Gestión de riesgos y control interno (GR / CI)
– Sostenibilidad y responsabilidad corporativa
– Gestión financiera y de rendimiento
– Informes de negocios
– Promover y contribuir al valor de los contadores profesionales
• Todas las áreas de importancia crítica para los contadores
profesionales (y para las Entidades Fiscalizadoras Superiores
(EFS) y entidades del sector público también ...)
Page 2 | Confidential and Proprietary Information
Relación entre la gestión del sector público,
gestión de riesgos y control interno
• ¿Cómo crees que la
gobernanza, gestión de
riesgos y el control
interno están
relacionados unos con
otros?
“Sé la diferencia entre lo bueno y lo malo, pero
eso no me ha detenido”
Page 3 | Confidential and Proprietary Information
Relación entre gestión del sector público, GR y CI
Gobernanza
Gestión de Riesgos
Control Interno
Page 4 | Confidential and Proprietary Information
Programa de hoy
Las Peligros – Sentando las
Bases
El pensamiento actual
Estándares COSO / ISO 31000
Madurez de gestión de riesgos
y control interno
"Llamado a la Acción“ de las
Entidades Fiscalizadoras
Superiores (EFS)
Preguntas y respuestas
GESTIÓN DE
RIESGOS
Page 5 | Confidential and Proprietary Information
Los Peligros – Sentando las Bases
Page 6 | Confidential and Proprietary Information
Graves fallas en el control de riesgos
y control interno
• Tener una mentalidad de solamente de cumplimiento.
• Tratar el riesgo únicamente como algo negativo y pasar por
alto que las entidades tienen que asumir riesgos en la
búsqueda de sus objetivos.
• Gestión de riesgos y control interno demasiado centrados en la
información financiera externa.
• Visualizar la gestión de riesgos y el control interno como
funciones o procesos separados.
• Visualizar la gestión de riesgos y el control interno como
predominantemente importantes para las operaciones.
Page 7 | Confidential and Proprietary Information
Lo bueno versus lo malo en las prácticas de
control de riesgos (CR) y control interno (CI)
y control interno
CR / IC como objetivo en sí mismo
vs.
CR / IC para ayudar a lograr los objetivos
Impulsadas por los auditores / personal
vs.
Impulsadas desde arriba hacia abajo
Basadas en reglas
vs.
Basadas en rendimiento & principios
Utilización de sistemas existentes
vs.
Adaptadas a la entidad
de la pérdida
vs.
También centradas en la creación de valor
Controles principalmente duros
vs.
Reconocimiento de la cultura y actitudes
Impuestas
vs.
Implementadas orgánicamente
Aisladas, agregadas
vs.
Integradas, incorporadas
Estáticas, anticuadas
vs.
Dinámicas, en evolución
Consideradas como gastos generales
vs.
Consideradas como una buena inversión
Abandonadas
vs.
Integradas en la gobernabilidad
Centradas en la minimización
Page 8 | Confidential and Proprietary Information
Crisis global
La crisis mundial, según una investigación de IFAC, fue
causada por:
Fallas éticas
Gobernanza, gestión de riesgos en teoría, pero no en espíritu
Sobrecarga reglamentaria, lo que lleva al cumplimiento legalista
Sistemas de control de riesgo demasiado centrados sólo en controles de
información financiera
Las conclusiones de la crisis:
Las entidades deben adoptar un enfoque más amplio en la gestión de riesgos
y control interno
La aplicación adecuada de las normas y principios de gestión de riesgos y
control interno es a menudo el problema
Page 9 | Confidential and Proprietary Information
El pensamiento actual
Page 10 | Confidential and Proprietary Information
El pensamiento actual sobre el riesgo
El lugar más seguro para un barco ...
... Es permanecer en el puerto
Pero esto no es para lo que se construyeron los barcos ...
Page 11 | Confidential and Proprietary Information
El pensamiento actual sobre el riesgo
... En cambio, los barcos fueron construídos para el
transporte de personas y mercancías a otros destinos…
… Y eso implica riesgo…
Así que, ¿cuál es el riesgo?
• El riesgo hoy en día se define como "el efecto de la
incertidumbre sobre (el establecimiento y logro de) los
objetivos de la entidad" (ISO 31000)
• Ningún Objetivo = Ningún riesgo. Por lo tanto, el riesgo
siempre debe evaluarse a la luz de (el establecimiento y
logro de) los objetivos de la entidad!
Page 12 | Confidential and Proprietary Information
El pensamiento actual sobre gestión de riesgos
P: “¿Cómo aborda su entidad la incertidumbre en la
consecución de sus objetivos estratégicos?”
R: “A través de nuestro sistema de gestión estratégica;”
–
La gerencia de línea se dedica al ciclo planificar-hacerverificar-actuar
–
Se centra en la consecución de los objetivos de la entidad
P: “¿Cómo aborda su entidad el riesgo?”
R: “A través de nuestro sistema de gestión de riesgos;”
–
Sistemas de riesgos y de control (separados), funcionarios,
registro de riesgos
–
Centrado en la mitigación del riesgo
Page 13 | Confidential and Proprietary Information
El pensamiento actual sobre gestión de riesgos
¿Qué nos dice este ejemplo de nosotros?
• Que nosotros, los profesionales de la gestión de
riesgos, hemos logrado grandes avances en el área
de gestión de riesgos y control interno ...
• ... Pero que, en el proceso, hemos perdido a las otras
personas de nuestra entidad!
Gestión de riesgos
El resto de la entidad
Page 14 | Confidential and Proprietary Information
El pensamiento actual sobre gestión de riesgos
Cinco líneas de defensa:
Page 15 | Confidential and Proprietary Information
El pensamiento actual sobre gestión de riesgos
Cinco líneas de defensa:
1. Jugadores
2. Capitán
3. Entrenador
4. Arbitro
5. FIFA
Page 16 | Confidential and Proprietary Information
El pensamiento actual sobre gestión de riesgos
Cinco líneas de defensa:
1. Jugadores (Equipo de operaciones)
2. Capitán (Supervisor)
Línea
3. Entrenador (Gerente de Riesgos)
4. Arbitro (Auditoría Interna)
Soporte
5. FIFA (Controlaría)
Page 17 | Confidential and Proprietary Information
El pensamiento actual sobre el gestor de riesgos
El mayor riesgo que enfrenta
una entidad:
La desconexión entre los
responsables de la consecución
de los objetivos estratégicos
frente a los responsables de la
gestión del riesgo
Solución:
Hacer a los responsables de la
consecución de los objetivos
estratégicos también
responsables de la gestión de los
riesgos relacionados!
No sé nada sobre el tema, pero estoy feliz
de darte mi opinión de experto.
El objetivo clave del gestor de riesgos es garantizar que la gestión
de riesgos esté totalmente integrada a la línea de gerencia!
Page 18 | Confidential and Proprietary Information
El pensamiento actual sobre control interno
Desde
Hacia
Frenar la entidad
Activar la entidad
Buen control interno = La mano invisible
Page 19 | Confidential and Proprietary Information
Marcos COSO
(también adoptado por INTOSAI)
Page 20 | Confidential and Proprietary Information
Cubo de control interno COSO 2013
Evaluación de Riesgos
Page 21 | Confidential and Proprietary Information
Cubo COSO GRI 2004
¡Será revisado
pronto!
Page 22 | Confidential and Proprietary Information
CI COSO vs. GRI COSO
Evaluación de Riesgos
Ampliado en 3
componentes
Control Interno - Marco Integrado
Gestión de Riesgos Empresarial - Marco Integrado
Page 23 | Confidential and Proprietary Information
Estándar Gestión de Riesgos ISO 31000
Page 24 | Confidential and Proprietary Information
Principios, marco y proceso ISO 31000
Page 25 | Confidential and Proprietary Information
Principios de Gestión de riesgos ISO 31000
• Crea Valor
• Parte integral de los procesos de organización
• Parte de la Toma de Decisiones
• Aborda explícitamente la incertidumbre
• Sistemático, estructurado y oportuno
• Sobre la base de "la mejor información disponible"
• Con capacidad de adaptación
• Considera factores humanos y culturales
• Transparente e inclusivo
• Dinámico, iterativo y da respuesta a los cambios
• Facilita la mejora continua
Page 26 | Confidential and Proprietary Information
Marco de gestión de riesgos ISO 31000
Mandato y Compromiso
Diseño del Marco
Mejora Continua del
Marco
Implementación de la
Gestión de Riesgos
Supervisión y Revisión del
Marco
Page 27 | Confidential and Proprietary Information
Proceso de gestión de riesgos ISO 31000
Calificación de riesgo
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
Supervisión y Revisión
Comunicación y Consulta
Establecer el Contexto
Para ser
aplicado en todos
los procesos de
toma de decisiones
y posterior
ejecución!
Page 28 | Confidential and Proprietary Information
GRI COSO vs. ISO 31000
Muchas entidades utilizan tanto COSO como ISO 31000...
Muy corto para ser
realmente
entendido
COSO
Largo
Centrado en el GRI
Un cubo
Sesgado a lo negativo
El riesgo ya existe
Riesgos y oportunidades
Más proceso secuencial
ISO 31000
vs.
vs.
vs.
vs.
vs.
vs.
vs.
Corto
Enfoque general a la gestión de riesgos
Principios, marco y proceso
El riesgo puede ser positivo o negativo
Riesgo ligado a la consecución de objetivos
Oportunidades también fuente de riesgo
Proceso más iterativo
… El mayor desafío es que los conceptos no están alineados
Page 29 | Confidential and Proprietary Information
Madurez de gestión de riesgos y control
interno
Page 30 | Confidential and Proprietary Information
Niveles de madurez de GR/CI
Nivel 2:
Solo control
Interno
Nivel 3:
GR / CI como
un silo
Nivel 4:
GR / CI
Integrados
Gestión de
riesgos,
Control interno
complementado incluyendo el
control interno,
Control interno con la gestión
de riesgos, pero integrados en el
formal,
sistema de
aun
Centrado
Gestión de
gestión de la
considerados
principalmente
Crisis
como elementos organización
en la
separados
información
financiera
externa
Nivel 1:
No – existe
o no es
ad hoc
Page 31 | Confidential and Proprietary Information
El objetivo principal de una entidad del sector
público
Tiempo
• No es tener controles
efectivos ...
• No es gestionar eficazmente
el riesgo ...
Es más bien
• Establecer correctamente y
lograr sus objetivos
• Evitar demasiadas sorpresas
en el camino
• Y crear valor sostenible
Objetivo
Page 32 | Confidential and Proprietary Information
Argumento para la integración de gestión de
riesgos y CI
• Por lo tanto, la gestión de riesgos y control interno no son
objetivos en sí mismos, sino medios para un fin ...
… Tomar decisiones sólidas (FODA) y ejecutar acciones
posteriores para lograr los objetivos de la entidad, sin
sorpresas!
... La gestión de riesgos y control interno, por lo tanto
deben estar plenamente integrados en el sistema general
de gestión de una entidad del sector público, incluido el
gobierno, desarrollo de estrategias y planificación,
operaciones, elaboración de informes y la rendición de
cuentas
Page 33 | Confidential and Proprietary Information
El riesgo es inherente al establecer los objetivos
Nivel de Incertidumbre
Riesgo
Tiempo
Controles
Objetivo
Page 34 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y
control 1
V
H
Ciclo de Planificación y
Control
Page 35 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y control 2
A
V
C
P
D
H
H
H
V
V
Ciclos estratégicos, tácticos y
operacionales de planificación y
control
Page 36 | Confidential and Proprietary Information
Alcanzar los objetivos mediante la planificación y
control 3
Tiempo
Ciclo de Planificación y Control en Espiral
Page 37 | Confidential and Proprietary Information
GR/CI constituye una parte integral para lograr los
objetivos
Nivel de Incertidumbre
Tiempo
Nivel
Estratégico
Nivel
Táctico
Riesgo
Controles
Nivel
Operacional
Objetivo
Page 38 | Confidential and Proprietary Information
Pensamientos sobre la evaluación de la madurez
de GR/CI
• Utilizar los marcos
• Considerar el desarrollo de buenas prácticas
• Realizar un análisis de diferencias
• Determinar el rendimiento
• Revisar los resultados de auditoría
• Analizar serias fallas
• ...
• Moverse continuamente para mejorar!
Page 39 | Confidential and Proprietary Information
"Llamado a la Acción“
Page 40 | Confidential and Proprietary Information
"Llamado a la Acción“
Ustedes juegan un papel importante en la aplicación de
una buena gestión de riesgos y control interno en las
entidades del sector público:
• Desarrollan las competencias pertinentes sobre GR / CI (incl. Las
normas y directrices de INTOSAI, marcos COSO, ISO 31000)
• Educan a los órganos rectores, los comités de auditoría, equipos
directivos y personal de las entidades del sector público pertinentes
• Abogan por la importancia de una buena GR / CI: totalmente
integrado en el sistema general de la gestión de la entidad
• Apoyan a las entidades del sector público a través la provisión de
garantías alta calidad, consejos y visión
Page 41 | Confidential and Proprietary Information
Su Rol - #1
Abogan por la importancia de una buena gestión
de riesgos:
•
Ustedes se comunican con el liderazgo del sector público
de la entidad
•
La actitud y las acciones de ustedes establecen el tono
para una buena gestión de riesgos en las entidades del
sector público
•
¡Promueven la integración de la gestión de riesgos en la
línea de gerencia de una entidad del sector público!
•
El elemento más importante: hacen GR/CI parte de
todos los procesos de toma de decisiones y la posterior
ejecución en la entidad!
Page 42 | Confidential and Proprietary Information
Su Rol - #2
Apoyan a la línea de gerencia, proporcionando la
garantía de alta calidad, asesoramiento y visión:
• Las decisiones se deben tomar solamente con la
comprensión explícita de los riesgos asociados y sus posibles
consecuencias para el logro de los objetivos de la entidad
• Por lo tanto, los tomadores de decisiones necesitan
información relevante y confiable para sus procesos de toma
de decisión y de control
Page 43 | Confidential and Proprietary Information
Las principales conclusiones
• Hay muchas fallas en la gestión de riesgos y las prácticas
actuales de control interno
• El logro de los objetivos de la entidad es el objetivo general; el
riesgo es parte inherente de este proceso
• La gestión de riesgos debe, por lo tanto, estar plenamente
integrada en el sistema de gestión de la entidad
• Ustedes apoyan a GR/CI de diversas maneras en las entidades
del sector público que supervisan
• IFAC apoya a contadores profesionales / CGR
• Sin embargo, sin importar la orientación proporcionada ...
Page 44 | Confidential and Proprietary Information
Siempre habrá algunos ...
…que lo harán a su manera!
Page 45 | Confidential and Proprietary Information