EL SISTEMA DE CONTROL INTERNO
NORMATIVA LEGAL APLICABLE A LA
IMPLANTACION DEL SISTEMA DE CONTROL
INTERNO
Ley Nº 28716, Ley de Control Interno de las Entidades
del Estado, del 18 abril del 2006
Ley, cuyo objetivo es el de regular el establecimiento,
funcionamiento, mantenimiento, perfeccionamiento y
evaluación del SCI en las Entidades del Estado, con el
propósito de cautelar y fortalecer los sistemas
administrativos y operativos.
Resolución de Contraloría N° 320-2006-CG, del 3 de
noviembre del 2006
Las “NORMAS DE CONTROL INTERNO”, se aprobaron
con el objetivo de propiciar el fortalecimiento del SCI
y mejorar la Gestión Pública, protegiendo el
patrimonio público y al logro de los objetivos y metas
institucionales, de conformidad con lo establecido por
la Ley Nº 28716.
Resolución de Contraloría N° 458-2008-CG, del 30 de
octubre del 2008 (1)
Aprueba la “Guía para la Implementación del Sistema de Control
Interno de las Entidades del Estado”.
Documento orientador para la Gestión Pública y el Control
Gubernamental, sin perjuicio de la legislación que emitan los
distintos niveles de Gobierno.
En esta Norma se estableció un plazo máximo de 24 meses para la
implementación del SCI, plazo que venció en Octubre de 2010.
El objetivo de la Guía es el de proveer los lineamientos,
herramientas y métodos a las entidades del Estado para la
implementación de los componentes que conforman el SCI
establecido en las Normas de Control Interno mediante la RC Nº
320-2006-CG.
Decreto de Urgencia N° 067-2009 del 23 de junio del
2009
Suspendió el cumplimiento del Art.10°de la Ley N°
28716, disponiendo que su aplicación será progresiva,
teniendo en cuenta la naturaleza de las funciones de las
entidades así como la disponibilidad de recursos
presupuestales.
Ley N° 29743 del 09 de julio del 2011
Después de 25 meses, se deroga los Artículos N° 2 y 3
del Decreto de Urgencia N° 067-2009 y se sustituye el
4to. Párrafo del Art. 10° de la Ley N° 28716, Normas de
Control Interno. La CGR deberá precisar nuevos plazos
para su implementación.
COMPONENTE
EVALUACION DE RIESGOS
Proceso que identifica y analiza eventos
adversos a los que está expuesta la entidad.
Esta evaluación permite evitar, reducir,
compartir y gestionar la mitigación o
eliminación del impacto causado.
RIESGO
Posibilidad de que un evento desfavorable
pueda afectar negativamente la habilidad ,
de la organización para el logro de sus
objetivos
ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la
habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus
metas
CONTROL INTERNO
Es un proceso diseñado para proveer una seguridad razonable con
respecto al logro de los objetivos de la entidad
2. EVALUACIÓN DE RIESGOS
Es el proceso de identificación y análisis de eventos adversos a
los que está expuesta la entidad. Esta evaluación permite evitar,
reducir, compartir y aceptar cualquier riesgo.
Contenido:
2.1. Planeamiento de la administración
de riesgos. (Planes y métodos)
2.2. Identificación de los riesgos. (Externos
e internos)
2.3. Valoración de los riesgos. (Estimar
su probabilidad de ocurrencia)
2.4. Respuesta al riesgo. (Evitar, reducir, compartir
y aceptar)
10
Planeamiento de la
Administración de
Riesgos
Identificación
de los Riesgos
Valoración de
los Riesgos
Respuesta al
Riesgo
+
Positivo
Oportunidad
ACTO
ADMINISTRATIVO
-
Negativo
Riesgo o
Amenaza
2.1 Planeamiento de la Administración de
riesgos
Planeamiento de la
Administración de
Riesgos
MODELO DE GESTIÓN
DE RIESGOS
• Estrategias
• Organización
• Políticas
• Criterios
Es el proceso de desarrollar y
documentar una estrategia clara,
organizada
e
interactiva
para
identificar y valorar los riesgos que
puedan impactar en una entidad
impidiendo el logro de los objetivos.
Se deben desarrollar planes, métodos
de respuesta y monitoreo de cambios,
así como un programa para la
obtención de los recursos necesarios
para definir acciones en respuesta a
riesgos
2.2. Identificación de Riesgos
Proceso permanente, interactivo e integrado con
el proceso de planeamiento y deberá partir de la
definición clara de objetivos estratégicos de la
entidad.
La identificación de los riesgos podrá darse en el
nivel de entidad (riesgos de carácter general) y
en el nivel de procesos (afectación a los procesos).
Existen varias herramientas y técnicas para la
identificación de riesgos
2.2. Identificación de Riesgos
1. Técnica de recopilación de información
. Tormenta de ideas: lista de riesgos
. Técnica Delphi: Opinión de expertos
. Cuestionarios y Encuestas
. Entrevistas
. Análisis FODA
2. Técnicas de diagramación
. Diagrama causa – efecto
. Diagrama de flujo de procesos
. Inventario de riesgos
Fuente: R.C. 458.2008.CG
2.2. Identificación de Riesgos
Clasificación de Riesgos
1. Riesgo estratégico
2. Riesgo operativo
3. Riesgo financiero
4. Riesgo de cumplimiento
5. Riesgo tecnológico
Registro de riesgos considerando las causas o
factores de riesgo (internos y externos), una
descripción de cada riesgo y definición de los
Posibles efectos y los riesgos significativos.
Clasificación del riesgo
• Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
• Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte
operativa como técnica de la entidad, incluye riesgos provenientes de
deficiencias en los sistemas de información, en la definición de los procesos, en
la estructura de la entidad, la desarticulación entre dependencias, lo cual
conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los
compromisos institucionales.
• Riesgos Financieros: Se relacionan con el manejo de los recursos de la
entidad que incluye, la ejecución presupuestal, la elaboración de los estados
financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre
los bienes de cada entidad.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad.
• Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la
tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y
soporte el cumplimiento de la misión.
Identificación
de los Riesgos
•Externos:
–Cambio
-Desarrollo
tecnológico
de
las
necesidades y
expectativas
del cliente
En la identificación de los riesgos se tipifican
todos los riesgos que pueden afectar el logro
de los objetivos de la entidad debido a
factores externos o internos. Los factores
externos incluyen factores económicos,
medioambientales,
políticos,
sociales
y
tecnológicos. Los factores internos reflejan las
selecciones que realiza la administración e
incluyen la infraestructura, personal, procesos
y tecnología
- Competencia
–Nuevas
-Nuevas
legislaciones y
legislaciones
y
regulaciones.
regulaciones
–Catástrofes
naturales
• Internos:
- Una
interrupción en
el
procesamiento
de sistemas de
información
– La calidad
del personal
contratado y
los métodos
de
entrenamiento
y motivación
– Un cambio en
las
responsabilidades
de la
administración
– La
naturaleza de
las actividades
de la entidad y
el acceso de
los empleados
a los activos
– Un comité
directivo o de
auditoría
ineficaz
2.3. Valoración de los Riesgos
Permite clasificar y valorar los eventos potenciales que
Impactan en la consecución de los objetivos.
Se efectúa en base a la información obtenida en la etapa
Previa (Identificación de riesgos).
Clasificación de riesgos
POSIBLES RIESGOS
Entidad:
Entidad XY
Fecha:
12.Abr.2007
N°
Tipo de riesgos
Riesgos identificados
Estratégico
1
Recorte del presupuesto asignado
x
2
Cambio de gestión de la entidad
Cheque que se ingresa en la
cuenta bancaria incorrecta
x
3
4
5
6
7
8
9
10
11
Operativo
Financiero
x
x
Colusión
Variaciones en los tipos de
cambio
Fluctuaciones en la bolsa de
valores
x
x
x
Uso no autorizado de información
Sistema informático que no
soporta los procesos de la entidad
Infraestructura de tecnología de
información insuficiente
Responsables:
De tecnología
x
Falla del sistema informático
Se registra una cantidad
incorrecta en la cuenta del usuario
Total:
De cumplimiento
x
x
x
2
3
2
2
2
Registro de riesgos
Proceso:
Subproceso:
Objetivo del
proceso /
subproceso
Riesgo
Causas
(Factores Internos y
Externos)
Efectos /
Consecuencia
Estimar probabilidad e impacto
• Los acontecimientos potenciales se evalúan a partir de
dos perspectivas: probabilidad e impacto
• El horizonte del tiempo usado para determinar riesgos
debe ser constante con el horizonte del tiempo de la
estrategia y de los objetivos
CRITERIOS DE EVALUACIÓN
PROBABILIDAD
: Se deben establecer las categorías a utilizar y su
descripción, con el fin de que quien aplique la escala mida a
través de ella la posibilidad de ocurrencia de los riesgos:
PROBABLE
: Es muy frecuente la materialización del riesgo o se presume
que llegará a materializarse
: Es frecuente la materialización del riesgo o se presume
que posiblemente se podrá materializar
: Es poco frecuente la materialización del riesgo o se presume
que no llegará a materializarse
POSIBLE
IMPROBABLE
IMPACTO
: Se debe establecer las categorías y su descripción, de las
consecuencias de la materialización de los riesgos, por
ejemplo:
LEVE
: Si el hecho llegara a presentarse, tendría bajo impacto o
efecto sobre la entidad
: Si el hecho llegara a presentarse tendría medio impacto o
efecto en la entidad
: Si el hecho llegara a presentarse tendría alto impacto o
efecto en la entidad
MODERADO
CATASTRÓFICO
MATRIZ DE RIESGOS
Impacto
Probabilidad
NIVEL DE RIESGO
2.3 VALORACIÓN DE RIESGOS
EVALUACIÓN
Probable
Probabilidad
Posible
Improbable
Análisis
Cualitativo
Impacto
Leve
Moderado
Catastrófico
Análisis
Cuantitativo
Probabilidad de
ocurrencia
Nivel
Calificación
0 – 25
Improbable
1
26- 70
Posible
2
71- 100
Probable
3
Impacto
Nivel
Calificación
0 – 25
Leve
10
26- 70
Moderado
20
71- 100
Catastrófico
30
Valoración de
los Riesgos
El análisis o valoración de los riesgos le permite a
la entidad considerar cómo los riesgos potenciales
pueden afectar el logro de sus objetivos. Se inicia
con un estudio detallado de los temas puntuales
sobre riesgos que se hayan decidido evaluar. El
propósito es obtener la suficiente información
acerca de las situaciones de riesgo para estimar
su probabilidad de ocurrencia, tiempo, respuesta
y consecuencias
¿Qué es lo que puede ocurrir? EVENTO
Identificar
y
medir
¿Cuál es su frecuencia? PROBABILIDAD
¿En cuánto nos afectará? IMPACTO
Probabilidad
Matriz de
Probabilidad / Impacto
Probable
3
3
Riesgo
moderado
6
Riesgo
importante
9
Riesgo
inaceptable
Posible
2
2
Riesgo
tolerable
4
Riesgo
moderado
6
Riesgo
importante
Improbable
1
1
Riesgo
aceptable
2
Riesgo
tolerable
3
Riesgo
moderado
Impacto
1
Leve
2
Moderado
3
Desastroso
2.4 RESPUESTA AL RIESGO
Respuesta al
Riesgo
La administración identifica las opciones de respuesta
al riesgo considerando la probabilidad y el impacto en
relación con la tolerancia al riesgo y su relación costobeneficio. La consideración del manejo del riesgo y la
selección e implementación de una respuesta son parte
integral de la administración de los riesgos
Evitar el riesgo
Opciones
Reducir o mitigar el riesgo
Transferir o compartir el riesgo
Aceptar el riesgo
Acciones de mitigación para reducir el IMPACTO
Reducir el riesgo
y
manejar contingencia
Acciones de mitigación para reducir la PROBABILIDAD
Acciones y planes de contingencia
Evaluar posibles respuestas
Evitar el Riesgo
• Reducir la expansión de una
Compartir el Riesgo
• Compra
de
seguros contra
inesperadas
línea de productos a nuevos
mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto
o servicio altamente riesgoso
pérdidas
significativas
• Contratación de outsourcing
para procesos del negocio
• Compartir
el
riesgo
con
acuerdos
sindicales
o
contractuales
con
clientes,
proveedores u otros socios de
negocio
Aceptar el Riesgo
Mitigar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo
a los niveles de tolerancia de
riesgo
• Fortalecimiento
del
control
interno en los procesos del
negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Nivel de Riesgo
Riesgo Inaceptable
Evitar el riesgo
Reducir el riesgo
Compartir o transferir
Riesgo Importante
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Riesgo Moderado
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Riesgo Tolerable
Asumir el riesgo
Reducir el riesgo
Compartir o transferir
Riesgo Aceptable
Asumir el riesgo
Acciones
Matriz de
Riesgo
Riesgo
Respuesta
Evaluación
riesgo
Respuesta al Riesgo
Nivel Valor
Riesgo Actividades Controles
Inherente
necesarios
Riesgo
residual Responsable
Costo de la reducción del riesgo
Descargar

Expo_Evaluacion_Riesgos