Ilustre Colegio de Abogados
de Lima
SISTEMA DE CONTROL INTERNO
Agenda Sesión Control Gubernamental
1. Control Gubernamental
• Control Gubernamental
• Control Interno
• Control Externo
• Control de Legalidad
2. Contraloría General de la República
• Organigrama de la Contraloría General
• Atribuciones de la Contraloría General
3. Sistema de Control Interno
• Definición del Sistema de Control Interno
• Definición de Normas de Control Interno
• Norma General para el Ambiente de Control
• Norma General para la Evaluación del Riesgo
• Norma General para las Actividades de Control Gerencial
• Norma General para la Información y Comunicación
• Norma General para la Supervisión
2
1. Control Gubernamental
• El Control Gubernamental, consiste en la supervisión, vigilancia y
verificación de:
 los actos y resultados de la gestión pública, en atención al
grado de eficiencia, eficacia, transparencia y economía en el uso
y destino de los recursos y bienes del Estado
 del cumplimiento de las normas legales
 y de los lineamientos de política y planes de acción
• El control gubernamental evalúa los sistemas de administración,
gerencia y control, con fines de su mejora a través de la adopción de
acciones preventivas y correctivas pertinentes
• El control gubernamental tiene un doble rol: control interno y
control externo
EN CHILE LOS AUDITORE SON CONTROLADOS POR EL
RESIDENTE DE LA REPUBLICA, EN CLOMBIA POR LOS
SUPERINTEENDENTES
3
• Control en el Proceso Administrativo
Dentro de la acción organizada del Estado, el ejercicio del
control gubernamental tiene un doble rol: interno (control
como actividad) y externo (control como función)
El control interno, es inherente a todos los niveles de
dirección, gerencia y funcionales de las entidades
gubernamentales; es una forma de medir, el esfuerzo con
relación a las metas y/o actividades a ser cumplidas por una
entidad y comprobar si estas se están logrando o no
El control externo, es ejercido por un órgano independiente
que evalúa el desempeño de las entidades gubernamentales en
relación con la responsabilidad institucional
4
Control en el Proceso Administrativo
Control Interno
Control
Gubernamental
Control Externo
5
• Control Interno
• El Control Interno, comprende las acciones de cautela previa, simultánea y de verificación posterior que realiza la entidad pública sujeta a
control, con la finalidad que la gestión de sus recursos, bienes y operaciones se efectúe correcta y eficientemente
• Es responsabilidad del Titular, fomentar y supervisar el funcionamiento y confiabilidad del Control Interno, para evaluar la gestión y el
efectivo ejercicio de la rendición de cuentas, propendiendo a que éste contribuya al logro de la misión y objetivos
GERENTE O DIRECTOR
SUPERVISA
C.I POSTERIOR
TESORERO
CAAJERO
C.I. SIMULTANEO
VIGILA
C.I PREVIO
VERIFICA
Ley 27785 - Artículo 7°.- Control Interno
6
Control Interno
Control Interno
Posterior
Control
Interno
Control Interno
Simultaneo
Control Interno
Previo
7
Control Interno
• El Control Interno previo y simultáneo, compete
exclusivamente a las autoridades, funcionarios y servidores
públicos de las entidades como responsabilidad propia de las
funciones, sobre la base de las normas de la organización,
planes, reglamentos y manuales que contienen las políticas,
métodos de autorización y registro
• El Control Interno posterior, es ejercido por los
responsables superiores del servidor o funcionario ejecutor,
en cumplimiento de las disposiciones establecidas, así como
por el Órgano de Control Institucional – OCI; evaluando y
verificando los aspectos administrativos sobre el uso de los
recursos y bienes del Estado, así como su gestión
8
• Control Externo
• El ejercicio del control externo, compete a la CGR u otro
órgano del SNC por encargo o designación de ésta, con el
fin de supervisar, vigilar y verificar la gestión y la captación y
uso de recursos y bienes del Estado
• En concordancia con sus roles de supervisión y vigilancia, el
control externo podrá ser preventivo o simultáneo, cuando
se determine taxativamente por Ley o por normativa expresa
• Para su ejercicio, se aplicarán sistemas de control de
legalidad, de gestión, financiero, resultados, evaluación de
control interno u otros, en función a las características de la
entidad y la materia de control
Ley 27785 – Art. 8°.- Control Externo
9
Control Externo
Art. 22º
inc. j, k, l
Ley 27785
Control
Externo
Emitir opinión previa sobre
Adquisiciones y contrataciones
de bienes, servicios u obras,
que tengan el carácter
de secreto militar
Control
Externo
Previo
Otorgar autorización previa a la
ejecución y al pago de los
presupuestos adicionales de obra
pública, y de las mayores
Prestaciones de supervisión
Control
Externo
Simultaneo
Control
Externo
Posterior
Informar previamente sobre
las operaciones, fianzas, avales
y otras garantías que otorgue el
Estado, que en cualquier forma
comprometa su crédito o
capacidad financiera
10
• Control de Legalidad
• Art. 38º de la Constitución Política: “Todos los peruanos tienen
el deber de honrar al Perú y de proteger los intereses nacionales, así
como de respetar, cumplir y defender la Constitución y el
ordenamiento jurídico de la Nación”
• Art. 45º de la Constitución Política: “El poder del Estado emana
del pueblo. Quienes lo ejercen lo hacen con las limitaciones y
responsabilidades que la Constitución y las leyes establecen”
• Art. SEXTO, Principios General de la Ley Nº 28112 Ley Marco
de Administración Financiera del Sector Público: “Las entidades
del Sector Público sólo pueden ejecutar ingresos y realizar gastos
conforme a Ley…”
• Art. 31º Control de Legalidad, literal 1 de la Ley Nº 28411 Ley
General del Sistema Nacional de Presupuesto: “La Contraloría
General de la República y los Órganos de Control Interno, de las
Entidades supervisan la legalidad de la ejecución del presupuesto
público comprendiendo la correcta gestión y utilización de los
recursos y bienes del Estado…”
11
Control de Legalidad
• Art. IV Principios del Procedimiento Administrativo, literal 1.
Ley Nº 27444 - Ley del Procedimiento Administrativo General,
de 10.Abr.2001: “1.1 Principio de legalidad.- Las autoridades
administrativas deben actuar con respeto a la Constitución, la ley y
al derecho, dentro de las facultades que le estén atribuidas y de
acuerdo con los fines para los que les fueron conferidas”
• Art. I.- Principio de legalidad, de la Ley Nº 29158 - LOPE, pub.
el 20.Dic.2007: “Las autoridades, funcionarios y servidores del
Poder Ejecutivo están sometidos a la Constitución Política del Perú
y a las demás normas del ordenamiento jurídico. Desarrollan sus
funciones dentro de las facultades que les estén sometidas”
• Art. VIII.- Aplicación de Leyes Generales y Políticas y Planes
Nacionales, Ley Nº 27972 LOM, de 26.May.2003: “Los
gobiernos locales están sujetos a las leyes y disposiciones que, de
manera general y conformidad con la Constitución Política del Perú,
regulan las actividades y funcionamiento del Sector Público…”
12
2. La Contraloría General de la República
•La
Contraloría General de la
República, es el ente técnico rector
del Sistema Nacional de Control,
dotado de autonomía administrativa,
funcional, económica y financiera, que
tiene por misión dirigir y supervisar con
eficiencia y eficacia el control
gubernamental, orientando su accionar al
fortalecimiento y transparencia de la
gestión de las entidades. La promoción
de valores y la responsabilidad de los
funcionarios y servidores públicos
• No puede ejercer atribuciones o funciones distintas a las
establecidas en la Constitución Política, en la Ley 27785, las
disposiciones reglamentarias y las normas técnicas que emita en uso
de sus atribuciones
Ley 27785 - Art. 16°.- Contraloría General
13
Página Web de la Contraloría General de la República
Web: www.contraloria.gob.pe
14
3. Definición del Sistema de Control Interno
• El Sistema de Control Interno, es un conjunto de acciones,
actividades,
planes,
políticas,
normas,
registros,
organización, procedimientos y métodos, incluyendo la
actitud de las autoridades y al personal organizados e
instituidos en cada entidad del Estado
• Las Entidades del Estado deben implantar obligatoriamente
sistemas de control interno en sus procesos, operaciones y actos
institucionales, para el cumplimiento de los objetivos siguientes:
 Promover la eficiencia, eficacia, transparencia y economía
Cuidar y resguardar los recursos
Cumplir la normatividad aplicable
Garantizar la confiabilidad y oportunidad de la información
Fomentar e impulsar la práctica de valores institucionales
Promover la rendición de cuentas
Ley 28716, artículos 3º y 4º
15
Definición de Normas de Control Interno
• Las Normas de Control Interno (en adelante NCI), son
lineamientos, criterios, métodos y disposiciones para la
aplicación y/o regulación del Control Interno en las principales
áreas de su actividad administrativa u operativa de las entidades,
incluidas las relativas a la gestión financiera, logística, de
personal, de obras, de sistemas computarizados y de valores
éticos, entre otras
• A partir de estas normas los titulares de las entidades están
obligados a emitir normas específicas aplicables a su entidad, de
acuerdo a su naturaleza, estructura y funciones, las que deben ser
concordantes con la normativa técnica de control que dicte la
CGR
• En tal sentido la CGR emitió las Normas de Control Interno,
aprobadas mediante R.C. 320-2006-CG, del 30.OCT.2006
Ley 28716, artículo 10º
16
Esquema de las Normas de Control Interno
Marco
Conceptual de la
Estructura de
Control Interno
1. Norma General para el Ambiente de Control
2. Norma General para la Evaluación del Riesgo
Normas
Generales de
Control Interno
3. Norma General para Actividades de Control Gerencial
4. Norma General para la Información y Comunicación
5. Norma General para la Supervisión
17
•
Norma General para el Ambiente de Control
• Estas normas son la base de los demás componentes del
control interno, aportan disciplina y la formalización de la
estructura de la entidad
• También incluyen normas sobre la integridad, los valores
éticos, la filosofía de la dirección y el estilo de gestión, la
asignación de la autoridad y las responsabilidades, la
organización y el desarrollo de los empleados y la
orientación de la dirección
18
Norma General para el Ambiente de Control
1.. Filosofía de la Dirección
2.. Integridad y valores éticos
3. Administración estratégica
Norma General
para el
Ambiente de
Control
4.. Estructura organizativa
5.. Administración de los recursos humanos
6. Competencia profesional
7.. Asignación de autoridad y responsabilidad
8. Órgano de Control Institucional
19
Implementación: Filosofía de la Dirección
Entre otros, para fortalecer y exteriorizar una adecuada Filosofía
de Dirección se podrían considerar lo siguiente:
 Diseño de la estructura organizativa de acuerdo con la misión y
los objetivos de la entidad
 Responsabilidad en el cumplimiento de los objetivos dentro de los
parámetros y lineamientos preestablecidos por el Estado
 Formalización o actualización de los reglamentos y manuales
 Respeto por la transparencia en el desarrollo de las operaciones de
la entidad
 Respeto por la aplicación de los controles establecidos
 Proceso continuo de identificación y seguimiento a los riesgos
 Motivación del potencial humano para el logro de los objetivos
 Respeto e igualdad de oportunidad para todos los trabajadores; y
 Respeto por la independencia de la función del OCI y apoyo a las
recomendaciones que de ésta se originen
20
Implementación: Integridad y Valores Éticos
Entre otros, para fortalecer y exteriorizar una adecuada Integridad
y Valores Éticos, se podrían considerar lo siguiente:
 El titular y los directivos serán los encargados de difundir,
internalizar y observar que todos en la entidad actúen de acuerdo
con valores éticos que representan un sólido fundamento moral
 Dichos valores deberán orientar la conducta de los funcionarios y
servidores
 Estos valores van más allá del cumplimiento de disposiciones
normativas y tienen que ver con la actuación íntegra
 Dicha integridad radica en hacer lo correcto, es decir lo que está
de acuerdo con los principios y que no necesariamente es lo más
conveniente para los intereses personales. Es el cumplimiento del
deber como misión
 Implica obrar de acuerdo con la normatividad legal, así como
con respeto a los compromisos contraídos y honestidad consigo
mismo y los demás. En el Cuadro 1 se presenta un ejemplo de
valores institucionales que se establece en una organización
21
Implementación: Estructura Organizativa
Entre otros, para fortalecer y exteriorizar una adecuada Estructura
Organizacional, se podrían considerar lo siguiente:
Requisitos en la estructura organizacional: Para que la estructura
funcione es necesario que cumpla: a) Especificación de las tareas a
realizar en cada puesto de trabajo y agrupamiento de las tareas
similares y relacionadas en unidades orgánicas de nivel inferior
(departamentos); y, b) Fijación de mecanismos de coordinación de
las personas entre sí, y entre las unidades o departamentos
Dimensiones de la estructura organizacional: Existen 3
dimensiones a ser consideradas dentro de la estructura
organizacional: a) Cantidad de niveles jerárquicos (complejidad), b)
Normas o reglas para acatar las tareas (formalización), y c)
Centralización (o descentralización) de la toma de decisiones
Complejidad de la estructura de la organización: La complejidad
se refiere a la cantidad de diferenciación en una organización.
Mientras mayores divisiones existan se tendrá como consecuencia,
mayores niveles verticales de jerarquía, mayores unidades
geográficamente dispersas, siendo más compleja la coordinación
entre las personas y sus actividades
22
Implementación: Asignación de autoridad y responsabilidad
El titular de la entidad definirá las tareas de las unidades
orgánicas, funcionarios y servidores, de manera que exista
independencia y separación de funciones entre aquellas que
resulten incompatibles, se podrá considerar, entre otros, los
siguientes puntos de interés para la implementación:
 Redacción clara y concisa, que evita dudas en la atribución de
funciones y responsabilidades
 Las asignaciones de responsabilidad y autoridad deben estar
en directa relación con las decisiones que correspondan a cada
puesto, el que deberá contar con un adecuado nivel de
información
 Indefectiblemente cada funcionario debe conocer y aplicar
integralmente el mandato que le asigna el Manual de Funciones
 Cada persona es responsable por los recursos puestos bajo su
custodia, y por los resultados que alcanza con ellos, de forma que
la rendición periódica de cuentas debe estar claramente definida
23
Implementación: Asignación de autoridad y responsabilidad
 Toda delegación debe comprender tanto la capacidad de quienes
asumen las tareas delegadas como el examen y la aprobación de
los mismos por parte de quienes los delegan
 La asignación de responsabilidades a cada persona no debe ser
excesiva, de forma tal que imposibilite su cumplimiento
 Si las responsabilidades se encuentran claramente definidas, no
existirá el riesgo de que pueda ser evadida o excedida por algún
funcionario o empleado. Su definición evita culpar a otros por
fallas en la acción o por acciones inapropiadas
 Al delegar autoridad a los empleados, el funcionario tendrá un
medio efectivo de control para establecer el cumplimiento de las
tareas asignadas. Por su parte, todo empleado debe estar
obligado a informar a su superior sobre las tareas ejecutadas y
los resultados obtenidos en función a lo que espera lograr
24
•
Norma General para la Evaluación de Riesgos
• Todas las entidades gubernamentales, independientemente de su
tamaño, estructura, naturaleza o industria, se encuentran sujetas
a riesgos de origen internos o externos en todos los niveles; y,
que quizás afecte el cumplimiento de sus objetivos
• Riesgos son todas aquellos eventos internos o externos que se
interponen en el cumplimiento de los objetivos propuestos
• Las NCI precisan en 1er lugar que debe identificarse los
objetivos organizacionales, vinculados y coherentes. Luego debe
identificarse y evaluarse los riesgos relevantes que pueden
afectar el logro de esos objetivos
• Los riesgos deben ser administrados, atendiendo a la existencia
del medio interno y el externo cambiante
• De esta evaluación deben surgir los mecanismos de control para
minimizar su incidencia
25
Norma General para la Evaluación de Riesgos
1. Planeamiento de la administración de
riesgos
Norma General
para la
evaluación
de riesgos
2. Identificación de los riesgos
3. La valoración de los riesgos
4. Respuesta al riesgo
26
Guía para Implementación del SCI – Evaluación del Riesgo
Para desarrollar el plan de gestión de riesgos, se requiere designar
un equipo de trabajo conformado por personal multidisciplinario, con
conocimientos de administración de riesgos. El plan, estará
documentado considerando la metodología definida por la entidad;
para el establecimiento de su estructura se considerará lo siguiente:
 Metodología
 Roles y responsabilidades
 Preparación del presupuesto. Asigna recursos y estima los costos
necesarios para la gestión de riesgos
 Periodicidad. Define cuándo y con qué frecuencia se realizará el
proceso de gestión de riesgos durante el ciclo de vida
 Matriz de probabilidad e impacto. Los riesgos se priorizan según
sus posibles implicaciones para lograr los objetivos de la entidad.
 Criterios de evaluación de riesgos. Decidir los criterios con los
cuales se va a evaluar el riesgo
27
Implementación: Evaluación del riesgo
28
Implementación: Identificación de los riesgos
Identificación de riesgos: Índice de cuadros
•Cuadro 1: Tormenta de ideas
•Cuadro 2: Técnica Delphi
65
66
•Cuadro 3: Ejemplo de Agenda de entrevista
•Cuadro 4: Ejemplo de formato para análisis externo
67
67
•Cuadro 5: Ejemplo de formato para análisis interno
•Cuadro 6: Ejemplo de diagrama de causa – efecto
68
68
•Cuadro 7: Ejemplo de análisis de flujo de procesos
•Cuadro 8: Ejemplo de formato para inventario de riesgos
69
70
•Cuadro 9: Ejemplo de formato de identificación de riesgos
•Cuadro 10: Ejemplo de escala cualitativa de probabilidad
71
72
29
Implementación: Identificación de los Riesgos
•Cuadro 11: Ejemplo de escala cualitativa de impacto
73
•Cuadro 12 : Ejemplos de escalas cuantitativas de probabilidad e impacto
•Cuadro 13: Ejemplo de matriz de probabilidad e impacto
74
•Cuadro 14: Ejemplo de niveles de riesgo
•Cuadro 15: Criterios de valoración para el riesgo residual
74
76
•Cuadro 16: Ejemplo de matriz de riesgos
•Cuadro 17: Registro de riesgos
77
79
•Cuadro 18: Matriz de riesgos
80
•Cuadro 19: Mapa de situación de riesgo residual
81
30
Implementación: Identificación de los Riesgos
El proceso de identificación de los riesgos tendrá que ser
permanente, interactivo e integrado con el proceso de
planeamiento y deberá partir de la claridad de los objetivos
estratégicos de la entidad para la obtención de resultados
 Herramientas y técnicas de identificación de riesgos,
comprende las técnicas de recopilación de información:
Tormenta de Ideas, Técnica Delphi, Cuestionarios y encuestas,
Entrevistas, Análisis FODA; y, las Técnicas de Diagramación:
diagramas de causa y efecto, diagramas de flujo de procesos,
inventarios de riesgos
 Clasificación del Riesgo: riesgo estratégico, riesgo operativo,
riesgo financiero, riesgos de cumplimiento, riesgos de tecnología,
 Registro de Riesgos: definición de riesgos internos y externos y
descripción de cada uno de estos y definir los posibles efectos
31
Implementación: Identificación de los Riesgos
32
Implementación: Identificación de los Riesgos
33
Implementación: Identificación de los Riesgos
34
Implementación: Identificación de los Riesgos
Clasificación del Riesgo
En la clasificación del riesgo, se debe tener en cuenta lo siguiente:
1. Riesgo estratégico: Forma en que se administra la entidad. Se
enfoca en asuntos globales: misión y objetivos estratégicos
2. Riesgo operativo: Riesgos operativos y técnicos. Incluye riesgos
de deficiencias en los SI, definición de los procesos, estructura
organizacional, desarticulación entre dependencias
3. Riesgo Financiero: Riesgos en el manejo de los recursos de la
entidad. Incluye, ejecución presupuestal, elaboración de los estados
financieros, pagos, manejos de excedentes de tesorería
4. Riesgos de cumplimiento: Asociados con la capacidad para
cumplir con los requisitos legales, contractuales, de ética pública y en
general con su compromiso ante la comunidad
5. Riesgos de tecnología: Se asocian con la capacidad de la entidad
para que la tecnología disponible satisfaga sus necesidades actuales
35
Implementación: Identificación de los Riesgos
Registro de identificación de riesgos
Para el análisis de los riesgos, se deberá establecer:
• Un registro de identificación de riesgos, que permite contar con un
inventario
• Definir las causas o factores de riesgo (internos y externos) y
describir cada uno de estos
• Definir los posibles efectos
• Centrarse en los riesgos más significativos relacionados con el
desarrollo de los procesos y los objetivos institucionales
• Conocer en detalle los conceptos siguientes: proceso, subproceso,
objetivo del subproceso, causas (factores internos o externos), y
efectos ( consecuencias)
36
Implementación: Identificación de los Riesgos
Valoración de los riesgos
• La valoración de los riesgos, se efectuará con base en la
información obtenida en el registro de riesgos, elaborado en la
etapa de identificación, con el fin de obtener información para
determinar el nivel de riesgo y las acciones que se van a
implementar. Es importante conocer en detalle los conceptos de:
proceso, subproceso, objetivo del subproceso, causas (factores
internos o externos), y efectos ( consecuencias)
• Análisis cualitativo: para cada riesgo identificado se evalúa los
niveles de probabilidad e impacto
• Análisis cuantitativo: Representa los valores numéricos para la
elaboración de tablas de registro de riesgos; la calidad del análisis
depende de lo precisas y completas que estén las cifras utilizadas
37
Implementación: Identificación de los Riesgos
38
Implementación: Identificación de los Riesgos
39
Implementación: Identificación de los riesgos
Matriz de probabilidad e impacto
• Los riesgos pueden ser priorizados para un análisis cuantitativo
posterior y para las respuestas posteriores, basándose en su
calificación
• La calificaciones son asignadas a los riesgos basándose en la
probabilidad y el impacto evaluados
• La evaluación de la importancia de cada riesgo y de su prioridad
generalmente se realiza usando una matriz de probabilidad e
impacto
• La Matriz de probabilidad e impacto: la matriz especifica
combinaciones de probabilidad e impacto que llevan a la
calificación de los riesgos como aceptable, tolerable, moderado,
importante e inaceptable. Pueden usarse términos descriptivos o
valores numéricos, dependiendo de la preferencia de la entidad
40
Implementación: Identificación de los riesgos
41
Implementación: Identificación de los riesgos
• Es necesario que por cada riesgo se identifique las medidas
ejecutadas para reducirlos o mantenerlos bajo control
• Medidas de control, son métodos o medios que se utilizarán con el
propósito de obtener y analizar información, hechos, circunstancias
o de una situación y evaluar su efectividad en cualquier área o
proceso (ejem. Observación, inspección, revisión analítica, etc.)
42
Implementación: Identificación de los riesgos
Respuesta al riesgo
• Evaluados los riesgos, la dirección determinará como responder a
ellos
 Evitar
el riesgo (prevenir el riesgo adverso)
 Reducir el riesgo (reducir la probabilidad y el impacto)
 Compartir
o transferir el riesgo (trasladar a un tercero)
 Asumir el riesgo (luego de reducido o transferido puede quedar
un riesgo residual)
• Seleccionados las respuesta a los riesgos, la dirección debe
identificar las actividades de control que permita asegurar que
se cumplan las respuestas a los riesgos
• Al seleccionar las actividades de control, la dirección considerará
como se relacionan entre sí. Si la entidad lo considera, podrá medir la
eficacia de las actividades de control
43
Implementación: Identificación de los riesgos
Respuesta al riesgo
• El riesgo residual, es aquel que permanece después de que la
dirección tome las acciones de control necesarias para reducir la
probabilidad y consecuencia del riesgo
• Puede ser valorado tomando en consideración, los riesgos
inicialmente evaluados, contra aquellas respuestas y acciones de
control, que minimizaron dicho riesgo
44
Implementación: Identificación de los riesgos
Matriz de riesgos
Herramienta metodológica, que permite hacer un inventario
sistemático agrupados por clase o tipo de riesgo ordenado
prioritariamente, de acuerdo al nivel de riesgo
45
Caso práctico: Proceso de adquisiciones y contrataciones
1o: Del proceso “Adquisiciones y Contrataciones de Bienes y
Servicios” se identifica varios subprocesos, seleccionándose 2:
• Requerimiento de bienes y servicios incluidos en el PAAC
• Requerimiento de bienes y servicios no programados en el PAAC
2º: Se identifica las gerencias o unidades orgánicas, involucradas:
• Áreas usuarias
• Gerencia de Administración y Finanzas
• Departamento de Logística
• Oficina de Planeamiento y Desarrollo
• Comité Especial
• Oficina de Asesoría Jurídica
• Gerencia General
3º: Se efectúan reuniones y a través de la tormenta de ideas, se plantea
los riesgos que estarían involucrados en los subprocesos. Se
determina qué objetivos debe cumplir cada subproceso y qué causas
podría originar riesgos; y, se elabora el Registro de Riesgos
46
Caso práctico: Proceso de adquisiciones y contrataciones
4º: Identificados los riesgos de los subprocesos, se procedió a realizar
conjuntamente con las gerencias involucradas la valorización
respectiva de los riesgos tomando en cuenta las escalas de
probabilidad e impacto establecidas en el presente documento
5º: Habiendo valorado los riesgos, se procedió a establecer las
posibles respuestas y actividades de control que se deberán tomar
para la minimización del riesgo, obteniendo finalmente el riesgo
residual que la entidad deberá asumir
Finalmente se elabora la Matriz de Riesgos, que incluía la
valoración, respuesta y actividad de control a implementar
47
Caso práctico: Registro de riesgos
48
Caso práctico: Matriz de riesgos
49
• Norma General para las Actividades de Control Gerencia
1.Procedimientos de autorización y aprobación
2.Segregación de funciones
3.Evaluación costo-beneficio
4.Controles sobre el acceso a recursos o archivos
Norma General
para las Actividades
de
Control Gerencial
5.Verificaciones y conciliaciones
6.Evaluación del desempeño
7.Rendición de cuentas
8.Documentación de procesos, activid y tareas
9.Revisión de procesos, actividades y tareas
10. Controles para las Tecnologías de la
Información y Comunicaciones
50
Implementación: Procedimientos de autorización y registro
Para implantar los procedimientos de autorización y registro, se
podría considerar lo siguiente:
 La
Gerencia determinará qué actividades requiere
aprobación sobre la base del nivel de riesgo que asumiría la
organización. Así, cada vez que se presente una de estas
actividades, deberá aplicarse el procedimiento establecido
 El titular fijará con claridad las líneas de autoridad, los
niveles de mando y responsabilidad funcional, los que estarán
contenidos en el MAPRO. Los funcionarios ejecutivos delegarán
la autoridad necesaria a los niveles inferiores para que éstos
puedan tomar decisiones en los procesos y operaciones,
cumpliendo con las responsabilidades asignadas
 La Gerencia asegurará que las condiciones y los términos de
las autorizaciones estén documentados y sean comunicados en
tiempo y forma oportuna. Asimismo, las actividades significativas
se aprobarán y ejecutarán por las personas que actúan dentro del
alcance de su autoridad
51
Implementación: Segregación de Funciones
Ningún individuo deberá tener control sobre 2 ó más fases de un
proceso, actividad o tarea. Permite asegurar que los errores o las
irregularidades en las operaciones sean prevenidos o detectados
oportunamente en el desarrollo del trabajo. Se podrá considerar:
Asignación de responsabilidades a las personas que integran un
proceso y que cumplen una función específica: (i) autorización,
(ii) procesamiento, (iii) revisión, (iv) control, (v) custodia, (vi)
registro de operaciones y (vii) archivo. Estas categorías deben
estar separadas, de forma que ningún individuo o sector ejerza más
de una de ellas a la vez, y que exista “oposición de intereses”, es
decir, un control mutuo
Una entidad pequeña que no cuente con suficiente personal para
aplicar plenamente la segregación de funciones, deberá evitar el
riesgo que ello implica por medio de la implementación de otros.
Una alternativa, sería la rotación del personal, que contribuiría a
que no se concentre por tiempo prolongado una misma actividad
en 1sola persona
52
Implementación: Verificaciones y Conciliaciones
Constituyen pruebas cruzadas entre los datos de fuentes internas
diferentes o con otra externa, proporcionando confiabilidad
53
Implementación: Documentación de procesos, actividades y tareas
Se deberá establecer documentalmente la manera de llevar a cabo
una actividad o un conjunto de actividades, centrándose en la
forma en la que se debe trabajar o se deben de hacer las cosas para
llevar a cabo una determinada tarea. Con la documentación
adecuada de los procesos se logra:
 Precisión de responsabilidades para la ejecución, control y
evaluación de actividades, con un esquema integral del proceso
 Como documento, orienta e inducción al personal que ingresa
 Facilidad de implementación del SCI y de medición de gestión
 Un primer paso para implementar un SGC
 Identifica la interrelación con otros procesos
 Analiza y mide los resultados de la eficacia del proceso
 Centra los recursos y métodos en la mejora del proceso
54
• Norma General para la Información y Comunicación
• Este conjunto de normas, prevé que se debe identificar,
ordenar y comunicar en forma oportuna la información
necesaria para que los empleados puedan cumplir con sus
obligaciones
• La información puede ser operativa o financiera, de origen
interno o externo
• Además se prevé que deben existir adecuados canales de
comunicación
• Deben existir normas para que el personal debe ser
informado de la importancia de que participe en el
esfuerzo de aplicar el control interno
55
Norma General para la Información y Comunicación
1.Funciones y características de la información
2. Información y responsabilidad
3. Calidad y suficiencia de la información
4. Los sistemas de información
Norma General
para la Información
y Comunicación
5. Flexibilidad al cambio
6. Archivo institucional
7. Comunicación interna
8. Comunicación externa
9. Canales de comunicación
56
Implementación: Sistemas de Información
• Los sistemas de información incluyen la captura y el procesamiento
de datos, así como el intercambio oportuno de la información
resultante de las operaciones realizadas por la entidad permitiendo
la conducción y el control de su gestión. Para ello se sugiere
considerarse la implementación de políticas de control en la gestión
de los sistemas de información
 Plan de sistemas de información (puede reflejarse en el Plan
Estratégico de la Tecnología de la Información – PETI)
 Controles de datos fuentes, de operaciones y de salida (ver
cuadro Nº 7 – ejemplos de controles de datos)
 Propiedad y autorización de uso de los sistemas de
información (para fines estrictamente oficiales y legales)
 Controles de acceso, la entidad debe establecer normas para
la asignación de cuentas de acceso, incluyendo las medidas de
seguridad: claves secretas (contraseñas), controles de acceso a
los servidores y sistemas para auditar su uso, la integridad y la
seguridad de los datos y comunicaciones que se envían
57
•
Norma General para la Supervisión
• Estas normas prevén que debe existir un proceso que
compruebe que el sistema de control interno se mantiene en
funcionamiento a trabes del tiempo
• Este proceso debe tener tareas permanentes y revisiones
periódicas
• Estas ultimas dependerán en cuanto a su frecuencia de la
evaluación de la importancia de los riesgos que se evalúan
58
Norma General para la Supervisión
1. Normas básicas para las actividades de
Prevención y Monitoreo
- Prevención y monitoreo
- Monitoreo oportuno del control interno
Norma General
para la Supervisión
2. Normas básicas para el seguimiento de
resultados
- Reporte de deficiencias
-Seguimiento e implantación de
medidas correctivas
3. Normas básicas para los compromisos
de mejoramiento
- Autoevaluación
- Evaluaciones independientes.
59
Descargar

Sistema Nacional de Control