EL_MECI_VS_COSO_Y_OTROS_SISTEMAS_DE_C_I[1]
Short Description
Download EL_MECI_VS_COSO_Y_OTROS_SISTEMAS_DE_C_I[1]...
Description
FEDERACIÓN DE CONTADORES PÚBLICOS DE COLOMBIA FEDECOP XXIV SIMPOSIO SOBRE REVISORÍA FISCAL 2007 RIOHACHA GUAJIRA - COLOMBIA
EL MECI Y OTROS SISTEMAS DE CONTROL INTERNO ÁREA 2 SECTOR SOLIDARIO Y GOBIERNOCONTROL INTERNO PÚBLICO Y PRIVADO (MECI-COSO) RODRIGO ESTUPIÑÁN GAITÁN, C.P.T. - COLOMBIA 10/12/2007
Aplicación en Colombia de los documentos de Control y Administración del Riesgo formulados por el COSO I y COSO II y otros modelos internacionales en el sector privado y público, análisis y consideraciones.
XXIV SIMPOSIO SOBRE REVISORÍA FISCAL ± 2007 RIOHACHA, GUAJIRA - COLOMBIA 10 al 12 de Octubre 2007
ÁREA 2 ±SECTOR SOLIDARIO Y GOBIERNO 2- CONTROL INTERNO PÚBLICO Y PRIVADO (MECI ± COSO)
EL MECI Y OTROS SISTEMAS DE CONTROL INTERNO INCLUYE APLICACIONES DE: -COSO I y COSO II -Marco Integrado de Control Interno para Latinoamérica MICIL -Modelo Estándar de Control Interno ± MECI ± Colombia -Guía de Administración del Riesgo ± Departamento Administrativo de la Función Pública - Colombia
Rodrigo Estupiñán Gaitán, C.P.T. - Colombia
XXIV SIMPOSIO SOBRE REVISORÍA FISCAL ± 2007 RIOHACHA, GUAJIRA - COLOMBIA 10 al 12 de Octubre 2007
ÁREA 2 ±SECTOR SOLIDARIO Y GOBIERNO 2- CONTROL INTERNO PÚBLICO Y PRIVADO (MECI ± COSO)
EL MECI Y OTROS SISTEMAS DE CONTROL INTERNO INCLUYE APLICACIONES DE: -COSO I y COSO II -Marco Integrado de Control Interno para Latinoamérica MICIL -Modelo Estándar de Control Interno ± MECI ± Colombia -Guía de Administración del Riesgo ± Departamento Administrativo de la Función Pública - Colombia
Rodrigo Estupiñán Gaitán, C.P.T. - Colombia
EL MECI Y OTROS SISTEMAS DE CONTROL INTERNO INTRODUCCIÓN
1948- ³El control interno comprende el plan de organización, todos los métodos coordinados y los métodos adoptados en el negocio para proteger proteger los activos, verificar la exactitud y confiabilidad de sus datos contables, promover la eficiencia en las operaciones y estimular la adhesión a las prácticas ordenadas por la gerencia.´ y y y y
Proteger los activos y salvaguardar los bienes de la Institución. Verificar la razonabilidad y confiabilidad de los informes contables y administrativos. Promover la adhesión a dhesión a las políticas políticas adminis a dministrativas trativas establecidas Lograr el cumplimiento de las metas y objetivos programados. Elementos del control interno
Organización
Personal
Dirección Asignación de responsabilidades de Segregación deberes Coordinación
Selección Capacitación Eficiencia Moralidad Retribución
Sistemas Procedimientos
y Supervisión
Manuales de procedimientos Sistemas Formas Informes
Interna Externa Autocontrol
La estructura anterior del Control Interno viene aplicándose en el sector privado y en el público con base en la Declaración sobre las Normas de Auditoría (SAS 1, por las siglas en inglés) del Instituto Americano de Contadores Públicos (AICPA), que contiene la compilación de las declaraciones emitidas hasta el año 1948 hasta el 1 de enero de 1990, fecha en la cual empezó a aplicarse el SAS 55, documento que introdujo algunos cambios a la estructura de control interno en cuanto al nacimiento de tres elementos básicos como fueron ³el ambiente de control´, ³el sistema contable´ y ³los procedimientos de control´ y su consideración obligatoria cuando un profesional está relacionado con la ejecución de la auditoría financiera. financiera. Debido a una serie de problemas identificados en el Gobierno de los EEUU y llegando a las dificultades financieras del Sistema de Ahorro y Crédito en la década de los 80, la Comisión del Senado de los EUA, Treadway Comission gestionó la formación del Commitee of Sponsoring Organizations (Comité de Organizaciones Patrocinadoras), conocido por sus siglas en inglés (COSO1). Este Comité realizó una investigación sobre el conocimiento, aplicación y mejora de los
1
COSO estuvo conformado por organismos profesionales profesionales de los EEUU, inició investigación en 1986, sus miembros son: American Accounting Association (AAA), American Institute of Certified Public Accountants
criterios de control interno en las grandes corporaciones, las medianas y pequeñas empresas, incluyendo temas relacionados con el mejoramiento técnico y el alcance de las funciones de diseño, implantación y evaluación de los controles internos integrados de las organizaciones. En septiembre de 1992 se publicó la versión en inglés denominado ³Informe COSO´ , el cual fue expedido bajo la asistencia técnica permanente de la firma ³Coopers & Librand´ para la investigación. investigac ión. La traducción en español fue realizada por el Instituto de Auditores Auditores Internos ± Capítulo de España, España, publicada publicada en 1997, del cual mostramos su principal estructura: Definición: ³...es un proceso, ejecutado por la Junta Directiva o Consejo de Administración de una Entidad por su grupo directivo (gerencia) y por el resto de personal, diseñado para proporcionarles proporcionarles seguridad razonable razonabl e de conseguir consegu ir en la Empresa las tres siguientes categorías categor ías de objetivos de (1) Efectividad y eficiencia en las operaciones; (2) Suficiencia y confiabilidad de la información financiera; y (3) Cumplimiento de las leyes y regulaciones aplicables«´ Convierte los antiguos elementos de Control Interno en 5 componentes interrelacionados, que se derivan de la forma como la administración maneja el ente económico, y están integrados a los procesos administrativos, como son : 1. 2. 3. 4. 5.
El ambiente de control Evaluación de riesgos Actividades de control Información y comunicación ; y Supervisión, seguimiento o monitoreo
Esta nueva metodología asegura al auditor una mayor seguridad razonable dentro del proceso de la auditoría porque antiguamente el control interno no tenía en cuenta los avances de la tecnología, especialmente de la década del 90, cuya revolución informática ha sido demasiado rápida, así como el marco no dedicado solamente a la eficiencia de las personas sino también a la eficiencia de las operaciones y si la empresa y el auditor no están atentos a los cambios, pueden aparecer hechos irregulares no detectados oportunamente o por el contrario se puede dedicar tiempo precioso a situaciones relativamente no importantes, mientras que aspectos relevantes no son detectados porque su enfoque era el de detectar fraudes solamente solamente sin medir la relación costo-beneficio, costo-beneficio, que en el diseño es fundamental. Otro de los cambios que se notan en las investigaciones sobre el control interno es el de apoyo administrativo dentro de los informes de deficiencias, inconsistencias y fallas administrativas que quedaban sin soluciones, las cuales en nuevas visitas eran detectadas las mismas sin dar la importancia, de parte de la administración, administración, siendo así el costo de la auditoría, auditoría, gasto sin reposición. Con el enfoque formulado por el COSO como herramientas fundamentales de establecimiento, control y seguimiento se han manejado manejado en mejor forma y más más económicamente las organizaciones organizaciones de control interno en las Empresas privadas y públicas, utilizando componentes más organizados y claves como son los de:
(AICPA), Financial Executive Institute (FEI), Institute of Internal Auditors (IIA) y el Institute of Management Accountants (IMA).
1) En el Ambiente de Control por :
Compromiso para la competencia competencia Comité de auditoría Filosofía de la administración y estilo de operación Estructura organizacional organizacional Asignación de autoridad y responsabilidad Políticas y prácticas de recursos humanos
2) En la Valoración de riesgos, enfocando los siguientes puntos :
Objetivos globales de la entidad Objetivos a nivel de actividad Identificación, Identificación, valoración y consecuencia de riesgos Manejo del cambio
3) Actividades de Control para asegurar la :
Existencia de las políticas apropiadas y los procedimientos necesarios con respecto a cada una de las actividades del ente económico. Identificación de las actividades de Control para que sean usadas apropiadamente.
4) Información Interna y Externa : Que debe ser obtenida, identificada, capturada, procesada y
reportada por el sistema de información basados en planes estratégicos en lazados a las estrategias generales de la empresa y logrando el apoyo de la dirección en el desarrollo de los sistemas de información. 5) Comunicación, en cuanto a su efectividad, canales confiables, receptividad en las sugerencias,
información precisa y suficiente, franqueza y efectividad en la forma de tratar a la administración, establecer planes adecuados para que se analicen y entiendan los estándares éticos de la entidad y seguimiento oportuno y apropiado de parte de los directivos y en corto plazo, en una nueva evaluación exclusiva a las fallas, inconsistencias o deficiencias informadas dentro del Concepto denominado Monitoreo. 6) Monitoreo o Seguimiento, ocurre en el curso normal de las operaciones, e incluye actividades
de supervisión y dirección o administración permanente y otras actividades que son tomadas para llevar a cabo obligaciones de cada empleado y obtener el mejor sistema de Control Interno, especialmente a : Evidencia de si el sistema de control interno continúa funcionando por parte del ente. Corroboración en comunicaciones externas, la información generada internamente. Comparación periódica de las cantidades registradas por el sistema de información contable La sensibilidad frente a las recomendaciones de auditores externos o internos para fortalecerlos. Asegurar retroalimentación a la administración de los seminarios de entrenamiento, las sesiones de planeación y otras reuniones para asegurar que los controles operen efectivamente. Si el personal es cuestionado periódicamente para establecer si ellos entienden y cumplen con el código de conducta de la Entidad y desempeñan regularmente actividades críticas de control. Efectividad en las actividades de la Auditoría Interna.
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
7
___________________________________
Marco Integrado de Control Interno para Latino América MICIL En el año 2000, el Proyecto Responsabilidad/Anticorrupción en las Américas (Proyecto AAA9, financiado por la Agencia de los EEUU para el Desarrollo Internacional (USAID) y administrado por Casals & Associates, Inc. (C&A), reconoció la necesidad de contar con un modelo que sirviera de marco de control interno para las empresas y los gobiernos de la región de América Latina. En septiembre 2004 se emite el Marco Integrado de Control Interno para Latinoamérica MICIL, el cual fue aprobado en octubre de 2003 en la reunión anual de la FLAI2 en la Paz ±Bolivia, las Comisiones Interamericanas de Auditoría Interna y de Auditoría de la AIC3, el MICIL es un modelo basado en estándares de control interno para las pequeñas, medianas y grandes empresas desarrolladas por el COSO. El MICIL incorpora los componentes y las actividades que vinculan a toda la organización. Las actividades de contexto constituyen las relaciones externas con otras entidades vinculadas por sus operaciones como los accionistas e inversionistas, las instituciones financieras, los organismos gubernamentales relacionados, la competencia y los potenciales usuarios importantes de bienes o servicios producidos, los cuales deben generar valor agregado integral, a su insfraestructura, a la gestión y sus procesos financieros.
Administración de Riesgo4 como apoyo al Control Interno.
2004 - El COSO II ha desarrollado una estructura conceptual para la administración del riesgo
empresarial denominada E.R.M.5 (sigla del inglés) para el entendimiento de la formulación y seguimiento de un proceso básico en la administración del riesgo como apoyo al buen gobierno corporativo y mejores medidas de control en una Organización. La gestión o administración de riesgo empresarial ERM es un proceso estructurado, consistente y continúo a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya definición formulada por el COSO II fue de:
³Es un proceso, efectuado por la Junta Directiva o el Consejo de Administración, la Alta Gerencia y otro personal de un ente económico, mediante la determinación de una estrategia diseñada para identificar los eventos potenciales que la pueden afectar y para administrar los riesgos que se encuentran dentro de la cantidad de riesgo que un ente económico esté dispuesto a aceptar en la búsqueda de valor, para así proveer seguridad razonable en relación con el logro de sus objetivos´ La definición captura los conceptos fundamentales que son claves sobre la manera como as l compañías y otras organizaciones administran el riesgo, proveyendo una base para la aplicación a través de diferentes tipos de organizaciones y sectoriales. Se centra directamente en el logro de los objetivos de la entidad y la entidad provee una base para definir la efectividad de la administración del riesgo empresarial
2
FLAI: Federación Latinoamericana de Auditoría Interna. AIC: Asociación Interamericana de Contabilidad, en la Conferencia Interamericana de Contabilidad de San Juan, Puerto Rico en 1999 se recomendó un marco latinoamericano de control similar al COSO en español (comisionados la FLAI y la AIC). 4 En capítulos separados se tratará el tema del ERM. 5 Enterprise Risk Managament 3
7
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
8
Las empresas con ánimo o sin ánimo de lucro deben propender a crear valor a sus protectores, dueños o accionistas, así como la de enfrentar y superar las incertidumbres6, desafiándolas con preparación suficiente, para poder proveer una estructura conceptual, así la gerencia trate de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y así enriquecer su capacidad para generar valor 7 El riesgo es la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando pérdidas. Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputación, el riesgo de mercado, el riesgo de crédito y el riesgo operacional en todas sus divisiones; como formalidad de prevención, detección y mitigación a dichos riesgos, el E.R.M. determinó 8 componentes interrelacionados, los cuales muestra cómo la Alta Gerencia opera un negocio, y cómo están integrados dentro del proceso administrativo en general, ellos son: 1. 2. 3. 4. 5. 6. 7. 8.
Entorno interno Definición de los objetivos (nuevo) Identificación de eventos (nuevo) Valoración del riesgo Respuesta al riesgo (nuevo) Actividades de control Información y comunicación Monitoreo
EL Modelo Estándar de Control Interno MECI El MECI fue desarrollado por la Agencia de los Estados Unidos para el desarrollo internacional y donado a Colombia. Es un modelo construido con base en estándares internacionales de calidad referenciado y revisado para aplicación en el sector público por la FLAI y AIC dentro del MICIL8 que se estudia en esta ponencia. El COSO (EEUU), COCO (Canadá), el CADBURY (Reino Unido) y luego revisado por el MICIL sirvió de base fundamental para establecerlo y sobretodo ajustado a entidades de gobierno de distinta índole bajo prueba piloto adelantada en 8 departamentos, los principales cambios específicos se refieren a la adicción en la definición como objetivos básicos ³la salvaguarda de los recursos´ y el haber agregado en el objetivo de ³confiabilidad de la información financiera´ la palabra ³y operativa´ como atributo especial de que una entidad emite diferentes clases de informaciones no solamente de estados financieros, situación que corrigió el COSO II del famoso E.R.M. Administración de Riesgo Empresarial. El MECI es concebido como un modelo de gestión que proporciona a los gerentes públicos las herramientas para llevar a cabo su trabajo de manera idónea, transparente y útil. El modelo comprende un resumen ejecutivo, un marco teórico y el manual de implementación.
6
Incertidumbres: Afectados por los factores del entorno como son la globalización, la tecnología, regulaciones, reestructuraciones, mercados cambiantes y competencia, los cuales generan incertidumbres. Emana incapacidad para determinar la probabilidad de que ocurrirán eventos potenciales y sus resultados asociados. 7 Generación de Valor.- Decisiones de la administración generan valor o se debilitan por la definición de las estrategias hasta la operación diaria. El reconocimiento del riesgo y de la oportunidad por la información interna y externa, despliega recursos preciosos, para enderezar las actividades de riesgo frente a las circunstancias cambiantes. Generación de valor para los stakeholders con o sin ánimo lucro, entidades gubernamentales, la gerencia. 8
8
Marco Integrado de Control Interno para la América Latina MECIL
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
9
En cuanto a los componentes, el MECI efectúo una organización a nivel macro ampliada a nivel micro con base en subsistema, componentes y elementos importantes en su clasificación adecuando algunos específicos para el sector gubernamental bien acogidos por los que han intervenido en la revisión de dicho documento, así: Subsistema de Control Estrátegico: Compuesto de los siguientes componentes: Ambiente de control (acuerdos, compromisos o protocolos éticos, desarrollo del talento humano, estilo de dirección) Direccionamiento estratégico (planes y programas, modelo de operación, estructura organizacional), y Administración de riesgos (contexto estratégico, identificación de riesgos, análisis de riesgos, valoración de riesgos, políticas de administración de riesgos). Subsistema de Control de Gestión: Compuesto de los siguientes componentes: Actividades de control (Políticas de operación, procedimientos, controles, indicadores y manual de operación) Información (Información primaria, secundaria y sistemas de infor mación) Comunicación pública (comunicación organizativa, informativa y medios de comunicación) Subsistema de Evaluación de Control Compuesto de los siguientes componentes: Autoevaluación (autoevaluación de control, autoevaluación de gestión) Evaluación Independiente (evaluación del sistema de control interno, evaluación de gestión) Planes de Mejoramiento (Institucional, funcional e individual) y
y
y
y
y y
y y
y
Guía de Administración del Riesgo Al formalizarse a partir de julio de 2004 el COSO II o E.R.M. Administración de Riesgo Empresarial a raíz de los grandes problemas de maquillaje de balance y fraudes empresariales a nivel mundial desde el año 2000 y por los diferentes cambios en el mundo de mayores e indecifrales peligros, nuevas tecnologías, fuerte competencia, globalización de mercados y acuerdos corporativos, los organismos mundiales encomendaron a la Pricewaterhouse Coopers la elaboración complementaria al COSO I y se formalizó en español bajo la orientación del Capítulo Instituto Internacional de Auditores Interno de España el Marco Integrado de Gestión de Riesgos Corporativos denominado el COSO II, el cual revoluciona al sector privado y públicoen el sentido de cambiar los enfoques estratégicos analizando en primer lugar los riesgos para efectuar planeación de sus actividades. Como la elaboración del MECI no incluía elementos fundamentales de administración de riesgos, sino solo como un componente más, muy ágilmente el Departamento Administrativo de la Función Pública de la República de Colombia con base en el componente del MECI 10002005 expidió la GUIA DE ADMINISTRACIÓN DEL RIESGO para ser aplicada en las entidades públicas a que les aplica del MECI como herramienta gerencial que fortalece la gestión del estado. El manual facilita la concreción de la administración del riesgo para que sea incorporada en la práctica gerencial pública como una política de gestión y de control por parte de la alta dirección y cuente con la participación y respaldo de todos los servidores públicos, su aplicación se hará a partir del 8 de diciembre del año 2008 igual que al MECI. Su marco estructural es el siguiente: INSUMOS 9
PRODUCTOS
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M. Diagnóstico estratégico para la gestión de la Entidad
Planes y programas que regulen y orienten el desarrollo de la función constitucional.
SISTEMA DE CONTROL ESTRATÉGICO
Componente: ADMINISTRACIÓN DE RIESGOS Elementos: -Contexto estratégico -Identificación de riesgos -Análisis de riesgos -Valoración de riesgos -Políticas de administración de riesgos
10 Análisis de los aspectos externos e internos que implican exposición del riesgo.
Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad.
Modelo de Operación que garantice una gestión efectiva.
Medidas de respuesta ante los riesgos identificados.
Estructura Organizacional flexible y efectiva
Políticas de Administración de riesgos identificados.
10
EL AUDITOR INTERNO EN EL CONTROL INTERNO
Con el discurrir del tiempo los problemas de control interno en las empresas públicas y privadas, ha centrado la preocupación del gobierno corporativo y la Alta Gerencia, así como de los profesionales responsables en implementar nuevas formas de mejorar y perfeccionar dichos controles, por cuanto el control interno es fundamental para que una empresa logre alcanzar a través de una evaluación de su misión y visión el logro de sus objetivos y metas trazadas, pues de lo contrario seria imposible que se puedan definir las medidas que se deben adoptar para alcanzarlos, así como para evaluar el grado de eficiencia, eficacia y cumplimiento.
El rol del auditor interno Cuando se habla del rol del Auditor Interno en los procesos de Autoevaluación de controles, se parte de la premisa que en las organizaciones ya existe determinada cultura administrativa, mediante la cual sus integrantes tienen claramente entendido lo que es el proceso de control, la importancia y beneficio de un buen sistema de control, así como de su propia responsabilidad sobre la eficiencia y eficacia del funcionamiento del proceso respectivo. Esto igualmente implica que la administración debió haber adoptado un Modelo de Control, adecuado a las características de la organización, cuya implantación fue apoyada por una amplia difusión y un programa de capacitación para todos los involucrados en el proceso de control, a fin de propiciar un cambio en la manera de pensar o actuar del personal, haciéndoles asumir el papel de "propietarios" del Control Interno, y proporcionándoles apoyo y orientación en el cumplimiento de sus metas y objetivos. Lo anterior adicionalmente requiere que la actividad de Auditoría Interna haya logrado el suficiente grado de reconocimiento en la organización, que le permita impulsar y liderar los procesos de Autoevaluación de riesgos y de Autoevaluación de Control (AEC). Dicho reconocimiento se puede alcanzar, cuando la participación de Auditoría Interna aporta de manera tangible un valor agregado, mediante su apoyo a la mejora de las operaciones y de los resultados, así como al fortalecimiento de los procesos de administración de riesgos, control y gobierno corporativo.
CONTROL INTERNO Se entiende como Control Interno, las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza en que los objetivos de los negocios y metas de servicios públicos y privados serán alcanzados y que los eventos indeseados serán prevenidos o detectados y corregidos. Ampliado su concepto inicial y con base en el COSO I definió el siguiente; ³el control interno es un proceso, efectuado por el Consejo de Administración, Juntas Directivas, la Alta Gerencia y el resto del personal de una Entidad, diseñado para proporcionar una razonable seguridad con miras a la realización de objetivos en las siguientes categorías:
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
y
y
6
Efectividad y eficiencia de las operaciones ( objetivos básicos de la empresa, incluyendo metas de desempeño rentabilidad y salvaguarda de recursos ). Confiabilidad de la información financiera ( la preparación y publicación de estados financieros dignos de confianza, incluyendo estados financieros intermedios y resumidos e información financiera derivada de dichos estados tales como ganancias por distribuir, reportadas públicamente).
y
Acatamiento de las leyes y regulaciones aplicables ( cumplimiento de las leyes y regulaciones a que la empresa está sujeta) .´
La Importancia del Control A partir de la publicación del informe COSO (Control Interno- Estructura Integrada) en septiembre de 1992 y en cuyo desarrollo participaron representantes de organizaciones profesionales de contadores, de ejecutivos de finanzas y de Auditores Internos, ha resurgido en forma impresionante la atención hacia el mejoramiento del control interno y un mejor gobierno corporativo, lo, cual fue derivado de la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de organización, esto ante los numerosos escándalos, crisis financieras, o fraudes, durante los últimos decenios. El Modelo COSO, tanto con la definición de Control que propone presentada atrás, como con la estructura de Control que describe, impulsa una nueva cultura administrativa en todo tipo de organizaciones, y ha servido de plataforma para diversas definiciones y modelos de Control a nivel internacional. En esencia, todos los modelos hasta ahora conocidos, persiguen los mismos propósitos y las diferentes definiciones, aunque no son idénticas, muestran mucha similitud.
Otros modelos de controles actuales Como se mencionó, a partir de la divulgación del informe COSO 9 se han publicado diversos modelos de Control, así como numerosos lineamientos para un mejor gobierno corporativo; los más conocidos, además del COSO (USA), son los siguientes: COCO (Canadá), Cadbury (Reino Unido), Vienot (Francia), Peters (Holanda) y King (Sudáfrica). Los modelos COSO y COCO en nuestro continente son los de mayor aplicación, cuyos atributos se muestran en el cuadro No.1. Los cambios fundamentales de todos los modelos establecidos después del COSO, se encuentra sobre las personas y, en consecuencia, en cualquier parte de los sistemas, procesos, funciones o actividades y no en forma separada como teóricamente se pudiera interpretar de los enunciados del proceso administrativo, que declara que la administración organiza, planea, dirige y controla. El señalamiento de propósito del Control en cuanto a asegurar razonablemente el cumplimiento de objetivos de tipo operacional, financiero y normativo, se comprende mejor cuando se analizan los cinco componentes del modelo COSO y sus 17 factores que en conjunto forman una estructura integrada de control, ya que existe una relación directa entre los objetivos que la organización persigue y los citados componentes, puesto que estos representan lo necesario para la consecución de tales objetivos. Los componentes y factores se presentan en mayor o menor grado en cualquier área, proceso o 9
6
The Committee of Sponsoring Organizations of the Treadway Commission COSO
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
7
división de toda organización y se reconoce que los componentes con mayor influencia e importancia son los dos primeros: el Ambiente de Control y la Evaluación de Riesgos.
Estructura del control interno propuesta por el modelo COSO Identifica cinco componentes interrelacionados: 1. 2. 3. 4. 5.
Ambiente de Control. Evaluación de riesgos. Actividades de control. Información y comunicación. Monitoreo.
Ambiente de Control. Establece el tono de una organización, influenciando en la gente la conciencia o conocimiento sentido del control. Esta es la fundamentación para todos los otros componentes del control interno, suministrando disciplina y estructura. El ambiente de control incluye factores de integridad, valores éticos y competencia del personal de la entidad. El ambiente de control se determina en función de la integridad y competencia del personal de una organización; los valores éticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofía de la administración, la atención y guía proporcionados por el consejo de administración, el estilo operativo, así como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla a su personal.
Evaluación de Riesgos. Cada entidad afronta una variedad de riesgos de origen interno y externo que deben ser valorados. La precondición para la evaluación del riesgo. Es el establecimiento de objetivos, articulados a diferentes niveles e internamente consistentes. La evaluación de riesgos es la identificación y análisis de riesgos relevantes a la ejecución de los objetivos, formando una base para determinar como deben ser manejados. Porque la economía, la industria, las regulaciones y las condiciones de operación continuaran cambiando, son necesarios mecanismos que identifiquen y se ocupen de los riesgos especiales asociados con el cambio, la administración debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias. En la dinámica actual de los negocios, se debe prestar especial atención a: y y y y y y y
Los avances tecnológicos. Los cambios en los ambientes operativos. Las nuevas líneas de negocios. La reestructuración corporativa. La expansión o adquisiciones extranjeras. El personal nuevo. El rápido crecimiento.
El enfoque no se determina en el uso de una metodología particular de evaluación de riesgos, sino en la realización de la evaluación de riesgos como una parte natural del proceso de planeación.
Actividades de Control. Son las políticas y procedimientos que ayudan a garantizar que se lleve a cabo la administración. Ello contribuye a garantizar que las acciones necesarias sean tomadas para 7
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
8
direccionar el riesgo y ejecución de los objetivos de la entidad. Las actividades de control ocurren por toda la organización, a todos los niveles y en todas las funciones. Ello incluye un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de desempeño de operaciones, seguridad de activos y segregación de funciones. Las actividades de control se clasifican en: y y y y y y
Controles preventivos. Controles detectivos. Controles correctivos. Controles manuales o de usuario. Controles de cómputo o de tecnología de información. Controles administrativos.
Las actividades de control deben ser apropiadas para minimizar los riesgos; el personal realiza cada día una gran variedad de actividades específicas para asegurarse que la organización se adhiera a los planes de acción y al seguimiento de la consecución de objetivos.
Información y Comunicación. La información pertinente debe ser identificada, capturada y comunicada en forma y estructuras de tiempo que faciliten a la gente cumplir sus responsabilidades. Los sistemas de información producen información operacional financiera y suplementaria que hacen posible controlar y manejar los negocios. Todo el personal debe recibir un claro, mensaje de la alta dirección en el sentido de que las responsabilidades del control deben ser tomadas muy seriamente. Ellos deben entender claramente el significativo comunicativo de la inmediatez de la información. También es necesario tener una comunicación útil con el exterior como clientes, proveedores, entidades gubernamentales y accionistas. Se debe generar información relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.
Monitoreo o Supervisión. Un sistema de control interno necesita ser supervisado, o sea, implementar un proceso de evaluación de la calidad del desempeño del sistema simultáneo a su actuación. Esto es, actividades de supervisión que se desarrollan adecuadamente con evaluación separada o una combinación de las dos. Los aspectos de supervisión ocurren en el transcurso de las operaciones. Los controles internos deben ser ³monitoreados´ constantemente para asegurarse que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. El alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio o a través de evaluaciones separadas de la operación, es decir, mediante auditoria interna o externa. Los controles internos se deben implementar en los procesos del negocio, sin inhibir el desarrollo del proceso operativo. Los controles que hacen que la ejecución sea lenta, son evitados, lo cual puede ser más dañino que no tener controles, debido al falso sentido de seguridad. Los controles son efectivos cuando en los procedimientos no se les recuerda constantemente de su existencia. 8
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
9
Participantes en el control y sus responsabilidades. Todo personal tiene alguna responsabilidad sobre el control. La gerencia es la responsable del sistema de control y debe asumirla, así como los directivos de la junta directiva o consejo de administración y el comité de auditoría juegan un papel importante mediante el monitoreo de que la gerencia ejercite el control, todo el personal es responsable de controlar sus propias áreas, así como el auditor interno debe contribuir a la marcha efectiva del sistema de control, sin tener responsabilidad directa sobre su establecimiento y mantenimiento. Otras partes externas, como son los auditores externos, revisores fiscales, comisarios, síndicos y distintas autoridades, contribuyen al logro de los objetivos de la organización y proporcionan información útil para el control interno sin ser responsables directos. Dentro de un ente económico, las responsabilidades sobre control corresponden a:
La Junta Directiva o Consejo de Administración, quienes establecen la misión y los objetivos de la organización, como también las expectativas relativas a la integridad y los valores éticos.
La Gerencia debe asegurar que exista un ambiente propicio para el control.
Los Directivos Financieros apoyan la prevención y detección de reportes financieros fraudulentos.
El Comité de Auditoría, organismo independiente, que no solo tiene el poder de cuestionar a la gerencia en relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las medidas correctivas necesarias.
El Comité de Finanzas, contribuyendo con la responsabilidad de evaluar la consistencia de los presupuestos con los planes operativos.
La Auditoría Interna, a través del examen de la efectividad y además del control interno y mediante recomendaciones sobre su mejoramiento.
El Área Jurídica, llevando a cabo la revisión de los contratos y otros instrumentos legales, con el fin de salvaguardar los bienes de la empresa.
Importancia del control interno COSO. Para este modelo, el control interno es: y y y
y
El corazón de una organización La cultura, las normas sociales y ambientales que la gobiernan. Los procesos del negocio (Los mecanismos por medio de los cuales una organización proporciona bienes y/o servicios de valor agregado). La infraestructura, la tecnología de la información, las actividades, las políticas y los procedimientos. o
EL MODELO COCO10
El Modelo COCO es producto de una profunda revisión del Comité de Criterios de Control de Canadá sobre el reporte COSO y cuyo propósito fue hacer el planteamiento de un Modelo más sencillo y comprensible, ante las dificultades que en la aplicación del COSO enfrentaron inicialmente algunas organizaciones. El resultado es un modelo conciso y dinámico encaminado a 10
COCO: The Criteria of Control Board, dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), documento que muestra criterios o lineamientos generales sobre control. 9
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
10
mejorar el Control, el cual describe y define al Control en forma casi idéntica a como lo hace el Modelo COSO. El cambio importante que plantea el Modelo Canadiense consiste que en lugar de conceptualizar el proceso de Control como una pirámide de componentes y elementos interrelacionados, proporciona un marco de referencia a través de 20 criterios generales, que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o evaluar el Control. El llamado ciclo de entendimiento básico del Control, como se representa en el Modelo, consta de cuatro etapas que contienen los 20 criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organización. Un Auditor acostumbrado a la tradicional evaluación del Control Interno, enfrenta un gran desafío al tener que realizar de acuerdo a dichos Modelos, un trabajo más complejo y de mayor alcance a través de la evaluación de los cinco componentes o los 20 criterios. Esto debido a que diversos factores o criterios según el caso, corresponden a aspectos intangibles o "informales" desde el punto de vista de su documentación, percepción o funcionamiento, tales como integridad y valores éticos, filosofía de la organización, estilo de mando, medición de los riesgos, etc.; así como el tener que evaluar las tres categorías de objetivos (y no solamente el financiero) para opinar sobre la suficiencia y efectividad del sistema de Control.
Propósitos del modelo COCO El modelo busca proporcionar un entendimiento del control y dar respuesta a las tendencias que se observan en los desarrollos siguientes: y
y
y
En el impacto de la tecnología y el recorte a las estructuras organizacionales, que han propiciado un mayor énfasis sobre el control a través de medios informales, como la visión empresarial compartida, comunión de valores y una comunicación más abierta. En la creciente demanda de informar públicamente acerca de la efectividad del control, respecto de ciertos objetivos. En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los accionistas. Algunas autoridades financieras han establecido procedimientos y protocolos de información, aplicables a las instituciones bajo su jurisdicción.
El modelo pretende proporcionar bases consistentes para dichos requerimientos reguladores, de tal manera que permitan a las autoridades cumplir sus objetivos, sin que con ello se establezcan requerimientos excesivos que pudieran atentar contra la eficiencia de la gestión. El propósito del modelo es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los sistemas de control dentro de las organizaciones, incluyendo asuntos gubernamentales en el sector público y privado.
Criterios del modelo COCO
10
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
11
En la estructura del modelo, los criterios son elementos básicos para entender y, en su caso, aplicar el sistema de control que se comenta. Se requieren adecuados análisis y comparaciones para interpretar los criterios en el contexto de una organización en particular, y para una evaluación efectiva de los controles implantados. El modelo COCO prevé 20 criterios agrupados en cuanto al: y y
Propósito. Compromiso.
y y
Aptitud. Evaluación
y
Aprendizaje.
Propósito a) Los objetivo deben ser comunicados, b) Se deben identificar los riesgos internos y externos que afecten el logro de objetivos, c) Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuación, d) Se deben establecer planes para guiar los esfuerzos, e) Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño.
Compromiso a) Se deben establecer y comunicar los valores éticos de la organización. b) Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización, c) Las políticas y prácticas sobre recursos materiales y financieros deben ser definidos con el logro de sus objetivos, d) La autoridad y responsabilidad, deben ser deben claramente definidos y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado; e) Se debe fomentar una atmósfera de confianza para apoyar el flujo de la información.
Aptitud a) El personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos. b) El proceso de comunicación debe apoyar los valores de la organización. c) Se debe identificar y comunicar información suficiente y relevante para el logro de objetivos. d) Las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas. e) Las actividades de control deben ser diseñadas como una parte integral de la organización.
Evaluación y aprendizaje a) Se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación de objetivos. b) El desempeño debe ser evaluado contra metas e indicadores. c) Las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente.
11
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
12
d) Los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la información. e) Debe comprobarse el cumplimiento de los procedimientos modificados. Se debe evaluar periódicamente el sistema de control e informar de los resultados.
Participación del personal Las guías sobre control establecen criterios para un efectivo control en una organización. Un control efectivo puede apoyar el éxito de una organización en diferentes formas: a) Al personal, al desarrollar sus funciones puede ejercitar su juicio y creatividad, b) Administra o controla los riesgos de que ocurran acciones indebidas. c) El personal tiene la flexibilidad de impulsar cambios en la organización o gestión, al tener un adecuado conocimiento de los riesgos. d) El personal posee información confiable y está en aptitud de usarla al momento oportuno y al más adecuado nivel en la organización. e) La organización puede lograr mejoras en la efectividad y eficiencia y obtener mayor confianza por parte de terceros interesados.
Lineamientos: Las organizaciones que pretendan aplicar los lineamientos de COCO, deberán tener un claro conocimiento y consideración de los cinco componentes que conforman el Marco Integrado de Control Interno publicado por COSO. Estos factores son iguales al modelo americano COSO, pero con una propuesta diferente en la manera de la aplicación práctica. Se parte de la idea de que la unidad más pequeña en una organización es la persona, tomada individualmente. Una persona ejecuta una tarea guiada por el entendimiento de: y y
y y
Su propósito (objetivo). El apoyo en su capacidad o aptitud para alcanzarlo (información, herramientas y habilidades). El sentido de compromiso e involucramiento para realizar debida y oportunamente su tarea. Que la misma persona deba vigilar y evaluar su desempeño.
Es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, así como para introducir los cambios necesarios. En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar puede ser toda la entidad, una agencia o dependencia de la misma, o sub unidades como pueden ser divisiones o departamentos.
Estructura del control interno propuesta por el modelo COCO
12
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
13
El control comprende los elementos de una organización que tomados en conjunto, apoyan al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las categorías generales siguientes:
Efectividad y eficiencia de las operaciones . Incluye objetivos relacionados con metas de la organización. Servicios al cliente. Salvaguarda y uso eficiente de recursos. Cumplimiento de obligaciones sociales. Protección de recursos contra pérdida o uso indebido.
Confiabilidad de los reportes internos y externos. Adecuado mantenimiento de registros contables. Información confiable para uso de la organización y la publicada para información de terceros. Protección de los registros contra accesos indebidos.
Cumplimiento de leyes, disposiciones y políticas internas . En esta definición del control se entiende que el mismo conlleva la responsabilidad de identificar y reducir los riesgos, con mayor énfasis en aquellos que pudieran afectar la viabilidad y éxito de la organización, tales como: y y y
Deficiente capacidad para identificar y explotar oportunidades. Deficiente capacidad para responder a riesgos inesperados. Ausencia de información definitiva e indicadores confiables para toma de decisiones.
La estructura del modelo canadiense requiere de creatividad para su interpretación y aplicación y es adaptable a cualquier organización una vez que se adecua a las necesidades de sus propios intereses, o usarla de referencia para desarrollar un modelo propio.
Modelo de evaluación de riesgos Todas las organizaciones enfrentan riesgos. Los riesgos afectan la posibilidad de la organización de competir para mantener su poder financiero y la calidad de sus productos o servicios. Los riesgos de negocio determinados por la alta dirección incluyen aspectos tales como: y
y
y
y y
Clima de ética y presión a la dirección para el logro de objetivos. Competencia, aptitud e integridad del personal. Tamaño del activo, liquidez o volumen de transacciones. Condiciones económicas del país. Complejidad y volatilidad de las transacciones.
y
y
y
y
Impacto en reglamentos gubernamentales. Procesos y sistemas de información automatizados. Dispersión geográfica de las operaciones. Cambios organizacionales, operacionales, tecnológicos y económicos.
Los riesgos identificados por la alta dirección están directamente relacionados con los procesos críticos en los que se involucran a diversas áreas de la organización. La función de la auditoría
13
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
14
interna es identificar los riesgos y asignar prioridades de revisión a las actividades con probabilidad de riesgo mayor.
Consideraciones Los aspectos a considerar en el establecimiento de prioridades en la planeación de auditoría, en adición a la identificación de riesgos, son los siguientes: Fecha y resultados de la última auditoría. Exposición financiera en términos de riesgo. Riesgos y pérdidas potenciales. Requerimientos de la gerencia. y y
y y
Cambios importantes en operaciones, programas, sistemas y controles. Oportunidades para lograr beneficios operativos. Cambios en el equipo y capacidad del departamento de auditoría. y
y
y
Para la aplicación de este modelo es necesario incursionar de manera detallada a los criterios seguidos en la ponderación de la importancia de las diversas operaciones de la Institución y a la eficacia de los controles relativos; para la consecución de este propósito es necesario guiarse por los elementos del control interno, para estos efectos se pueden adoptar los propuestos en el marco de control interno del Modelo COCO.
b. Aplicación en el marco integrado del control interno. El modelo de evaluación de riesgos está basado en el marco de control interno de COCO que considera cinco objetivos del control interno y cinco componentes:
Objetivos: y y
y
Eficiencia en el costo. Eficacia de las operaciones Confiabilidad de la infor mación.
Componentes: 1. Ambiente de control. 2. Evaluación del control
14
y y
Cumplimiento con la normatividad. Salvaguarda de activos.
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
15
3. Actividades de control 4. Información y comunicación 5. Monitoreo o Supervisión. Utilizando el modelo de evaluación de riesgos a nivel de subfunciones, es necesario determinar lo siguiente: 1. La importancia de cada subfunción de la organización, frente a los cinco objetivos del control. 2. Se asigna un valor matemático de 1 al menos importante y de 4 al más crítico. La asignación de estos valores es subjetiva. 3.
Se estima la eficacia de los controles internos dentro de cada uno de los cinco componentes.
Los valores asignados se ponderan por cada uno de los componentes y representan el riesgo residual posterior a la operación de los controles. En este sentido un valor menor refleja mas confianza en el funcionamiento efectivo del control.
15
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
16
En la estructura de los modelos COSO y COCO se definen los componentes que estructuran el marco integrado de control, en ellos se involucra al personal en todos los niveles jerárquicos de la organización y a todas las actividades del negocio, desde las políticas y metas de la alta dirección, hasta los sistemas, procedimientos y actividades a establecer para evaluar los controles que apoyan el logro de los objetivos que les han sido encomendados.
MARCO INTEGRADO DE CONTROL INTERNO PARA LATINOAMÉRICA ³MICIL´
MODELOS DE ONTROL ATR I
TO
COBIT Direcció , Auditores i
¡
AUDIENCIA PR IMAR IA
SAC
s arios, ter os
COCO
COSO
¡
Auditores
Direcció
Co junto de rocesos Incluyendo rácticas Procedimientos, olíticas estructuras organizacionales
i ter os
Direcció
¢
CONTROL VISTO COMO
¢
¢
£
OBJETIVOS ORGANIZACIONALES DEL CONTROL INTERNO
Componentes o dominios
FOCO EFECTIVIDAD DEL CONTROL RESPONSABILIDAD POR LOS SISTEMAS DECONTROL INTERNO
Con junto de
Con junto De
rocesos Subsistemas y gente ¢
¢
Con junto De
rocesos
¢
rocesos
Operaciones efectivas Operacione efectivas Operacione efectivas Operacione efectivas eficientes eficientes eficientes eficientes Informes financieros Informes financieros Informes financieros Confiabilidad e integridad Disponibilidad de información Confiables Confiables Confiables Cumplimiento de las Informes financieros confiables Cumplimiento de las Cumplimiento de las Cumplimiento de leyes y regulacionesLeyes y regulaciones Leyes y regulaciones Leyes y regulaciones Dominios: Componentes: Componentes: Criterios: Planeamiento, Organización, Ambiente de control Ambiente de control Propósito Adquisición,e implantación Manual y AutomatizadoGestión de R iesgos Compromiso Entrega, soporte y monitoreo Procedimientos de control Actividades de control Capacidad de sistemas Vigilancia Información Monitoreo Aprendizaje £
£
£
Tecnología Informatica Por un período de tiempo Dirección
Tecnología Informatica
£
Toda la Organización
Toda la Organización
Por un período de tiempoUn momento dado Un momento dado Dirección
Dirección
Dirección
El MICIL acepta la definición 11 del COSO I mostrada arriba agregando dentro de los objetivos el correspondiente a ³salvaguarda de los recursos de la entidad´ y agregarse en cuanto a la de ³fiabilidad de la información financiera´ la palabra ³y operativa´. 11
³E l control interno se define c omo un proceso, efectuado por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: E ficacia y eficiencia de las operaciones Fiabilidad de la información financiera Salvaguarda de los recursos de la entidad, y, Cumplimiento de las leyes y normas aplicables.´
16
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
17
Incluye como el COSO I, cinco componentes, como requisitos básicos para el diseño y funcionamiento del MICIL de una organización o de una actividad importante y son: 1. 2. 3. 4. 5.
Ambiente de control y trabajo institucional. Evaluación de riesgos Actividades de control Información y comunicación, y, Supervisión.
El primer componente incluye la palabra ³trabajo´ como complemento a la importancia de la influencia del recurso humano y resaltado como elemento fundamental inicial la de ³Integridad y Valores y la Ética´ para el funcionamiento de la organización debido a la fortaleza que tienen para la organización y del personal que la conforma. Sobre el se soportan los otros cuatro componentes que se asientan sobre él, llegando hasta el final y asegurando su funcionamiento en todos los niveles de la organización. El componente información y comunicación es el más dinámico y permite su interrelación desde el primer componente hasta el de la ³supervisión´, mediante los reportes procesados para los diferentes niveles y en varias instancias. Factores del Entorno o ambiente de control y trabajo institucional: Integridad y valores éticos Estructura Organizativa Autoridad asignada y Responsabilidad asumida Administración de los Recursos Humanos. Competencia Profesional y Evaluación del Desempeño Individual. Filosofía y Estilo de la Dirección. Consejo de Administración y Comités. Rendición de cuentas y Transparencia y y y y y y y y
Comparados con el COSO tienen algunas variaciones dirigida a enfoques de las entidades de gobierno como la evaluación del desempeño individual, la adición de los Comités y la rendición de cuentas y transparencia. Factores fundamentales del componente ³evaluación de riesgos´: 1. Objetivos de las organizaciones Objetivos generales (los que incluye la definición de Control Interno) I nformación financiera y operativa incluye las siguientes aseveraciones: Existencia o efectividad Totalidad o integridad Derechos y obligaciones Valoración o asignación Presentación y desglose. Salvaguarda de los recursos de la organización ( adquisición, contratación, integración, registro, custodia, utilización, manejo, evaluación y control de los recursos humanos, materiales, financieros y tecnológicos) Objetivos de cumplimiento legal (cumplimiento de normas legales en todos los niveles, reglamentarias y contractuales referidas a las operaciones (seguridad, higiene y otros), financieros y salvaguarda de recursos (identificación de vehículos, codificación de bienes). Objetivos estratégicos(con las operaciones y su objeto social) y
y
17
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
y
18
Objetivos específicos (apoyan la consecución del objetivo primario)
2. Riesgos potenciales para la organización. Identificación de riesgos externos e internos Análisis de los riesgos Estimar la importancia del riesgo (alto, medio, bajo), Evaluar la probabilidad (frecuencia) de que el riesgo se materaliece, se produzca o se presente. Análisis de la situación y establecer la manera como se gestionará el riesgo y determinar las medidas que se podrían adoptar. Gestiones dirigidas al cambio (a corto plazo e indicios de ³alerta temprana´) Cambios en el entorno operacional Nuevo personal Sistemas de información nuevos o modernizados Rápido crecimiento de la organización. Tecnologías modernas. Nuevos servicios y actividades. Reestructuraciones internas. Actividades en el extranjero. y y
y
Actividades de control para minimizar los riesgos(políticas y procedimientos que tienden a asegurar que se cumplen las directrices de la dirección) y
y y
y
En las áreas de operación que generan valor agregado a las organizaciones como la preparación de informes operativos sobre la prestación de servicios o la producción de bienes. Varias actividades, aplicación de indicadores de rendimiento Los controles en las operaciones pueden contribuir a la confiabilidad de la información financiera, a la salvaguarda de los recursos institucionales y al cumplimiento de las disposiciones aplicables. Actividades de control que son aplicadas por el personal en todos los niveles; Repetición de las acciones aplicadas durante el procesamiento de las o operaciones para validar los datos y los controles aplicados. Validación mediante la autorización, comparación y verificación de la o operación y la legalidad de la transacción. Aseguramiento mediante la aplicación de los controles establecidos para o reducir los riesgos y los errores en la ejecución de las actividades. Especialización funcional insertada en la estructura de la organización o como la separación de funciones, la supervisión de procesos, las evaluaciones ejecutadas por la Auditoría Interna y otras.
Factores aplicables a las actividades de control aplicables al marco integrado de control interno institucional: 1) 2) 3) 4) 5) 6) 18
Análisis de la dirección Proceso de la información Indicadores de rendimiento Disposiciones legales puntuales Criterios técnicos de control interno Estándares específicos
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
19
7) Información generada 8) Rendimientos esperados 9) Otros criterios de control.
Información y comunicación para fomenter la transparencia: Es necesario identificar, recoger y comunicar la información relevante en la forma y en el plazo que permita a cada funcionario y empleado asumir sus responsabilidades. Los sistemas de información generan informes, recogen información operacional (actividades que generan valor agregado), financiera (E.F. básicos o intermedios) y de cumplimiento (impuestos y otros). La comunicación debe ser eficaz y la circulación de la información formal o informal en varias direcciones (circulares informativas y reglamentarias) Factores que conforman el componente de información y comunicación: 1) 2) 3) 4) 5)
Información en todos los niveles Datos fundamentales en los estados financieros. Herramienta para la supervisión. Información adicional y detallada. Comunicación de los objetivos de la organización (interna o externa)
Supervisión interna continua y externa periódica: Permite evaluar si se continua funcionando de manera adecuada o es necesario introducir cambios. El proceso de supervisión comprende la evaluación, por los niveles adecuados, sobre el diseño, funcionamiento y manera como se adoptan las medidas para actualizarlo o corregirlo; se aplica a todas las actividades importantes de la entidad (clasificadas en las que generan valor agregado, de infraestructura, de gestión y los procesos financieros) incluso en el caso de servicios externos contratados. Factores que se concretan en el componente de la supervisión: 1) Monitoreo continuo por la administración. 2) Seguimiento interno. 3) Evaluaciones externas.
Limitaciones, responsabilidades y los controles suaves A. Limitaciones para el diseño y aplicación del MICIL a. Juicio individual del personal b. Funcionamiento errado de los controles c. Omisión de los controles por la dirección. d. Colusión del personal e. Relación del costo del control comparada con los beneficios. B. Responsabilidad por el diseño y aplicación del MICIL C. ¿Qué son los controles suaves? (no están por escrito, puede salir de una reunión) D. ¿Cómo aplicar y evaluar los controles suaves? (formalizarlos en manuales de procedimientos y formularios) E. ¿Qué normar y evaluar? (la integridad y los valores éticos, estructura organizativa, la autoridad asignada y las responsabilidades asumidas, la administración del principal recurso de las organizaciones, su personal, la competencia profesional del personal, la filosofía de la dirección y el estilo de gestión, la junta directiva, la rendición de cuentas) 19
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
20
Modelo genérico empresa y clasificación de las Actividades de una Organización: A. Clasificación de las actividades realizadas por las organizaciones, su objeto social principal (públicas o privadas). B. Las actividades del contexto( propietarios, accionistas, inversionistas e instituciones financieras, organismos públicos relacionados, terceros en general, colaboradores, fuentes de consumo relevantes (clientes actuales o futuros), competidores) C. Actividades que generan valor agregado (recepción de mercancías, operaciones, expedición de facturas, mercadeo y ventas, servicio al cliente o usuario) D. Actividades de infraestructura (recursos humanos, desarrollo de tecnología, aprovisionamientos) E. Actividades de gestión (gestión de la empresa y administración de riesgos, relaciones externas, suministros de servicios administrativos, gestión de asuntos legales, tecnología de la información, planificación). F. Actividades sobre los procesos financieros (cuentas por pagar, cuentas por cobrar, tesorería, activos fijos y materiales, análisis y conciliaciones, nóminas, obligaciones fiscales, valoración de costos de los productos o los servicios, informes financieros y de gestión). G. El marco genérico de la organización como herramienta para diseñar el MICIL.
Nº 1
DESCRIPCION - COSO I
DESCRIPCIÓN DEL "MICIL"
AMBIENTE DE CONTROL
AMBIENTE DE CONTROL Y TR ABAJO INSTITUCION AL
2 3 Las actividades del C.Admón o J.D. y el Comité de Auditoría 4 5 6 7 8
La mentalidad y estilo de oper ación de la ger encia La integr idad y los valor es éticos El compromiso a ser competente La estructur a de la organización
9 La asignación de autor idad y r esponsabilidades 10 Las políticas y prácticas de r ecur sos humanos 11 12 13 14 15 16 17 18 19
20
Consejo de Administr ación y Comités Filosofía y estilo de oper ación Integr idad y valor es éticos Competencia prof esional y evaluación del desempeño individual Estructur a organizativa Autor idad asignada y r esponsabilidad asumida Administr ación de r ecur sos humanos Rendición de cuentas y tr anspar encia
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
21
20 21 22 23 24 25 26 27 28 29 30 31
EVALUACIÓN DE RIESGOS
Análisis de r iesgos y su proceso Manejo de cambios Objetivos de cumplimiento Objetivos de Oper ación Objetivos de Infor mación
32 33 34
EV ALUACIÓN DE RIESGOS Objetivos estr atégicos Objetivos específ icos Análisis de los r iesgos Gestiones dir igidas al cambio Objetivos de cumplimiento legal Objetivos de Oper ación Objetivos de infor mación y oper ativas Identif icación de r iesgos inter nos y exter nos Salvaguar da de los r ecur sos
35 36 37 38 39
ACTIVIDADES DE CONTROL
ACTIVIDADES DE CONTROL Análisis de la dir ección
Detectivos, pr eventivos y corr ectivos Polìticas, sistemas y procedimientos
Proceso de la infor mación. Indicador es de r endimiento, disposiciones legales puntuales, cr iter ios técnicos de control inter no, estándar es específ icos, infor mación gener ada y r endimientos 40 esper ados) Repetición de las acciones par a validar datos y los controles aplicados, Aprobación, autor ización, ver if icación, conciliación, validación mediante autor ización, inspección, indicador es de r endimiento, salvaguar da compar ación, ver if icación y legalidad, de r ecur sos, segr egación de funciones, super visión y asegur amiento par a r educir r iesgos, entr enamiento adecuado separ ación de funciones, super visión de procesos, evaluaciones de auditoría 41 inter na. INFORM ACIÓN Y COMUNICACIÓN INFORMACIÓN Y COMUNICACIÓN 42 43 44
45 46 47 48 49
21
Controles gener ales en los sistemas de infor mación Controles de aplicación hacia el inter ior de la organización
Comunicación de los objetivos de la organización (inter na y exter na)
Sistemas de infor mación (gener al, iniciativas estr atégicas, en línea inter na y exter na, de infor mación comer cial, sistemas de manuf actur a, contables, nómina y otros.
Herr amienta par a la super visión, datos fundamentales en los estados f inancieros.
Comunicación for mal Comunicación infor mal Canales de comunicación abier tos
Infor mación en todos los niveles Infor mación adicional y detallada
SUPERVISIÓN O MONITOREO
SUPERVISIÓN O MONITOREO
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
Super visión sistemàtica de los componentes Ongoing (autocontrol, auditoría inter na, exter na, comités de J.D. o de ger encia, sistema de infor mación ger encial por análisis y seguimiento.
50
51 Evaluaciones independientes Infor mes de las def iciencias, excepciones o 52 inconsistencias.
22
Monitor eo continuo por la administr ación Evaluaciones exter nas Infor mes de control inter no
MODELO MECI (Módelo Estándar de Control Interno12) El modelo Estándar de Control Interno para Entidades del Estado, nace bajo los principios constitucionales y del artículo 1 de la Ley 87 de 1993 13, identificados por el mismo Gobierno en la siguiente forma:
Autocontrol: Es la capacidad que ostenta cada servidor público para controlar su trabajo, detectar desviaciones y efectuar correctivos para el adecuado cumplimiento de los resultados que se esperan en el ejercicio de su función, de tal manera que la ejecución de los procesos, actividades y/o tareas bajo su responsabilidad, se desarrollen con fundamento en los principios establecidos en la Constitución Política.
Autorregulación: Es la capacidad institucional para aplicar de manera participativa al interior de las entidades, los métodos y procedimientos establecidos en la normatividad que permitan el desarrollo e implementación del Sistema de Control Interno bajo un entorno de integridad, eficiencia y transparencia en la actuación pública.
Autogestión: Es la capacidad institucional de toda entidad pública para interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Constitución, la Ley y sus Reglamentos.
Compatibilidad con otros sistemas de gestión: El sistema de control interno debe entenderse como una herramienta que comparte algunos elementos con otros sistemas y en especial con el Sistema de Gestión de la Calidad y Desarrollo Administrativo14, por lo que debe tenerse cuidado al momento de su implantación del MECI en la identificación de elementos comunes 15 para evitar la duplicación de esfuerzos. 12
Decreto 1599 del 20 de mayo de 2005, formalizó el MECI 1000-2005 Definición del control interno: ³Se entiende por control interno el sistema integrado por el Esquema de Organización y el Conjunto de los Planes, Métodos, Principios, Normas, Procedimientos y Mecanismos de Verificación y Evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos. (..)´ 14 Según la Ley 872 de 2003 se crea el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y otras entidades prestadoras de servicios, como una herramienta de gestión sistemática y transparente que permita evaluar el desempeño institucional en términos de calidad y satisfacción social en la prestación de servicios a cargo de entidades y agentes obligados, la cual empieza a regir el 8 de diciembre del año 2008. 15 En el anexo A del MECI 1000-2005 se incluye una tabla que compara los elementos del MECI y la NTCGP 1000-2004 o Sistema de Gestión de la Calidad. 13
22
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
23
Objetivos Específicos: Para establecer las acciones, las políticas, los métodos, procedimientos y mecanismos de prevención, control y evaluación y de mejoramiento continuo de la Entidad Pública, se han identificado los objetivos específicos de ³control de cumplimiento´, ³control estratégico´, ³control de ejecución´, ³control de evaluación´ y ³control de información´. Control de Cumplimiento: a. Establecer las acciones que permitan a la Entidad garantizar el cumplimiento de las funciones a su cargo, con base en el marco legal que le es aplicable. b. Determinar el marco legal que le es aplicable a la Entidad, con base en el principio de autorregulación. c. Diseñar los procedimientos de verificación y evaluación que garanticen el cumplimiento del marco legal aplicable. Control Estratégico: a. Crear conciencia en todos los Servidores Públicos sobre la importancia del control, mediante la generación y mantenimiento de un entorno favorable que permita la aplicación de los principios del Modelo Estandar de Control Interno. b. Establecer los procedimientos que permitan el diseño y desarrollo organizacional de la Entidad de acuerdo con su naturaleza, características y propósitos que le son inherentes. c. Diseñar los procedimientos necesarios, que permitan a la Entidad Pública cumplir la misión para la cual fue creada y proteger los recursos que se encuentran bajo su custodia, buscando administrar en forma diligente los posibles riesgos que se puedan generar. Control de Ejecución: a. Determinar los procedimientos de prevención, detección y corrección que permitan mantener las funciones, operaciones y actividades institucionales en armonía con los principios de eficacia, eficiencia y economía. b. Velar porque todas las actividades y recursos de la Entidad estén dirigidos hacia el cumplimiento de su misión. c. Establecer los procedimientos, que garanticen la generación y registro de información oportuna y confiable necesaria para la toma de decisiones, el cumplimiento de la Misión y la Rendición de Cuentas a la comunidad. d. Diseñar los procedimientos que permitan llevar a cabo una efectiva comunicación interna y externa a fin de dar a conocer la información que genera la Entidad Pública de manera transparente, oportuna y veraz, garantizando que su operación se ejecute adecuada y convenientemente. Control de Evaluación: a. Garantizar la existencia de mecanismos y procedimientos que permitan en tiempo real, realizar seguimiento a la gestión de la Entidad por parte de los diferentes niveles de autoridad, permitiendo acciones oportunas de corrección y de mejoramiento. b. Establecer los procedimientos de verificación y evaluación permanentes del Control Interno.
23
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
24
c. Garantizar la existencia de la función de Evaluación Independiente de las Oficinas de Control Interno, Auditoría Internas o quien haga sus veces sobre la Entidad Pública, como mecanismo de verificación a la efectividad del Control Interno. d. Propiciar el mejoramiento continuo del Control y de la Gestión de la Entidad, así como de su capacidad para responder efectivamente a los diferentes grupos de interés. e. Establecer los procedimientos que permiten integrar las observaciones de los Órganos de Control Fiscal, a los planes de mejoramiento establecidos por la Entidad. Control de Información: a. Establecer los procedimientos necesarios para garantizar la generación de información veraz y oportuna. b. Establecer los procedimientos que permitan la generación de la información que por mandato legal, le corresponde suministrar a la Entidad a los Órganos de Control Externo. c. Garantizar la publicidad de la información que se genere al interior de la Entidad. d. Garantizar el suministro de información veraz y oportuna para el proceso de Rendición de Cuentas Públicas.
Estructura de Control: Con base en los art. 3 y 4 de la Ley 87 de 1003, el Modelo Estandar de Control Interno se encuentra compuesto por una serie de Subsistemas, Componentes y Elementos de Control, según se muestra en el cuadro No.3: MODELO DE CONTROL INTERNO PARA ENTIDADES DEL ESTADO SUBSISTEM A
COMPONENTES Ambiente de Control (conciencia de control, planif icación, gestión de oper aciones)
Control Estr atégico
Dir eccionamiento Estr atégico (hacia el
(Per miten el cumplimiento de la or ientación estr atégica y organizacional de la Entidad Pública)
cumplimiento de su Misión, el alcance de la Visión par a el cumplimiento de sus objetivos globales)
Administr ación de r iesgos (Evalúa eventos negativos inter nos y exter nos y los eventos positivos par a identif icar opor tunidades)
Actividades de control (E jecución de la función, planes y progr amas, haciendo ef ectivas las acciones necesar ias al manejo de los r iesgos y or ientando la oper ación hacia la consecución de sus r esultados, metas y objetivos)
24
ELEMENTOS -Acuer dos, compromisos o protocolos éticos. -Desarrollo del talento humano. -Estilo de dir ección -Planes y Progr amas -Modelo de Oper ación -Estructur a Organizacional
-Contexto Estr atégico -Identif icación de r iesgos -Análisis de r iesgos. -Valor ación de r iesgos. -Políticas de administr ación de r iesgos. -Políticas de Oper ación -Procedimientos -Controles -Indicador es -Manual de oper ación
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M. Control de gestión (Asegur an el control a la ejecución de los procesos, or ientando la consecución de r esultados, metas y objetivos)
Infor mación
(datos or denados y procesados. Gar antiza la base de la tr anspar encia de la actuación pública, la r endición de cuentas a la comunidad y el cumplimiento de obligaciones de infor mación)
-Infor mación pr imar ia -Infor mación secundar ia -Sistemas de Infor mación.
Comunicación pública (construcción
-Comunicación organizativa -Comunicación Infor mativa -Medios de comunicación.
de visión compar tida, y el perf eccionamiento de las r elaciones humanas con grupos de inter és inter nos y exter nos)
Autoevaluación (Medición de la ef ectividad de los controles en los procesos y los r esultados en tiempo r eal, ver if icando su capacidad par a cumplir las metas y r esultados a su cargo y tomar medidas corr ectivas)
Evaluación de control
Evaluación Independiente
(Valor ación de la ef iciencia, ef icacia y ef ectividad de los procesos; el nivel de ejecución de los planes y progr amas, los r esultados de la gestión, detectar desviaciones, establecer tendencias y gener ar r ecomendaciones)
(car acterísticas de independencia, neutr alidad y la objetividad, bajo planes y progr amas)
Planes de Mejor amiento (Acciones par a corr egir desviaciones en el control y en la gestión r esultantes de otros componentes)
25
-Autoevaluación de control. -Autoevaluación de gestión.
-Evaluación del sistema de control inter no. -Evaluación a la gestión.
-Institucional -Funcional -Individual
El Modelo Estándar de Control Interno (MECI) que se establece para las entidades del Estado proporciona una estructura para el control a la estrategia, la gestión y la evaluación en las entidades del estado, cuyo propósito es orientarlos hacia el cumplimiento de sus objetivos institucionales y la contribución de estos a los fines esenciales del Estado, bajo ese modelo las Entidades del Estado obligadas puedan mejorar su desempeño institucional mediante el fortalecimiento del control y de los procesos de evaluación que deben llevar a cabo las Oficinas de Control Interno, Unidades de Auditoría Interna o quien haga sus veces. La importancia que se le ha dado al MECI es en cuanto 1) que es un modelo de control dinámico y moderno16; 2) que es un modelo de gestión que proporciona a los gerentes públicos las herramientas para llevar a cabo su trabajo de manera idónea, transparente y ágil.
16
El MECI es basado en estándares internacionales de calidad aplicados y aprobados en entidades gubernamentales de EEUU y Europa en el sistema COSO, COCO (controles de criterio), GAO (oficina de contabilidad gubernamental) entre otros, desarrollado por la firma Casals y Asociados) 25
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
26
El modelo MECI busca estandarizar, a nivel de todas las entidades del Estado, los procesos y procedimientos, que sirva de parámetro común y que permitan el fortalecimiento del Sistema de Control Interno en las organizaciones gubernamentales, Los objetivos institucionales del MECI se definieron con el propósito de: Establecer las acciones Las Políticas, los métodos y los procedimientos, Los mecanismos de prevención, control, evaluación y de mejoramiento continuo de la Entidad Pública. y y y
El MECI incluye un resumen ejecutivo, un marco teórico y el manual de implementación, además integra los trabajos realizados por la firma Casals y Asociados en temas como el de la Ética para las entidades públicas (Construyendo confianza) y el Modelo de Comunicación Pública (MCPOI). El término definitivo para adoptar el Modelo Estándar de Control Interno para el Estado Colombiano ± MECI ± por parte de las entidades obligadas a implementarlo vence el 8 de diciembre de 2008, fecha en la cual vence la implementación del Sistema de Gestión de Calidad en el sector público, de acuerdo al decreto 2913 del 31 de Julio de 2007.
Roles y responsabilidades Se debe asegurar de que los diferentes niveles de responsabilidad y autoridad en materia de Control Interno, están definidas y comunicadas dentro de la Entidad, para ello se distribuirá esa responsabilidad a los siguientes entes:
Alta Dirección Representante de la Dirección Comité de Coordinación de Control Interno Servidores Públicos y/o particulares que ejercen funciones públicas. Oficina de Control Interno, Unidad de Auditoría Interna o quien haga sus veces.
Implementación del Modelo Estándar de Control Interno: La Entidad Pública debe establecer, documentar, implementar y mantener el Sistema de Control Interno mejorando continuamente su eficacia, eficiencia y efectividad de acuerdo con los requisitos el Modelo Estándar bajo las siguientes etapas y actividades: ETAPA 1: Planeación al Diseño e Implementación del Sistema de Control Interno. -Establecer el Compromiso de la Alta Dirección -Definir la Organización del Equipo de Trabajo -Definir los diferentes niveles de implementación o Ajuste del Sistema de Control Interno actual en términos del MECI. -Elaborar el plan de trabajo para el diseño e implementación. ETAPA 2: Diseño e Implementación del Sistema de Control Interno. Para el diseño e implementación del MECI se deberá llevar a cabo una evaluación sobre la existencia o estado de desarrollo e implementación de cada elemento de Control en la Entidad Pública y definir la actividad y responsables del diseño, ajuste o implementación utilizando para
26
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
27
ello la metodología, procedimientos e instrumentos que para tal efecto defina el Departamento Administrativo de la Función Pública ± DAFT 17. ETAPA 3: Evaluación a la implementación del MECI. Se llevará a cabo una evaluación permanente a los procesos de diseño, desarrollo e implementación del Modelo de Control Interno para garantizar su efectividad. ETAPA 4: Normograma Sistema de Control Interno. Se deberá elaborar un Normograma con las normas de carácter constitucional, legal, reglamentario y de autorregulación que le sean aplicables, verificando a través del desarrollo del MECI, el cumplimiento de todas y cada una de las normas.
COSO II o E.R.M. Administración de Riesgo Empresarial Administración de Riesgo18 como apoyo al Contr ol Interno
El COSO II ha desarrollado una estructura conceptual para la administración del riesgo empresarial denominada E.R.M.19 (sigla del inglés) para el entendimiento de la formulación y seguimiento de un proceso básico en la administración del riesgo como apoyo al buen gobierno corporativo y mejores medidas de control en una Organización. La gestión o administración de riesgo empresarial ERM es un proceso estructurado, consistente y continúo a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos, cuya definición formulada por el COSO II fue de: ³Es un proceso, efectuado por la Junta Directiva o el C onsejo de Administración, la Alta Gerencia y otro personal de un ente económico, mediante la determinación de una estrategia diseñada para identificar los eventos potenciales que la pueden afectar y para administrar los riesgos que se encuentran dentro de la cantidad de riesgo que un ente económico esté dispuesto a aceptar en la búsqueda de valor, para así proveer seguridad razonable en relación con el logro de sus objetivos´ La definición captura los conceptos fundamentales que son claves sobre la manera como las compañías y otras organizaciones administran el riesgo, proveyendo una base para la aplicación a través de diferentes tipos de organizaciones y sectoriales. Se centra directamente en el logro de los objetivos de la entidad y la entidad provee una base para definir la efectividad de la administración del riesgo empresarial Las empresas con ánimo o sin ánimo de lucro deben propender a crear valor a sus protectores, dueños o accionistas, así como la de enfrentar y superar las incertidumbres 20, desafiándolas con
17
La Administración del Riesgo como componente del subsistema de control estratégico, el DAFP estableció un documento fundamental denominado GUIA DE ADMINISTRACIÓN DE RIESGO para facilitarles a las entidades el ejercicio de la Administración del Riesgo. 18 En capítulos separados se tratará el tema del ERM. 19 Enterprise Risk Managament 20 Incertidumbres: Afectados por los factores del entorno como son la globalización, la tecnología, regulaciones, reestructuraciones, mercados cambiantes y competencia, los cuales generan incertidumbres. 27
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
28
preparación suficiente, para poder proveer una estructura conceptual, así la gerencia trate de manera efectiva la incertidumbre que representan los riesgos y oportunidades, y así enriquecer su capacidad para generar valor 21 El riesgo es la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando pérdidas. Los riesgos se clasifican en cuatro grandes tipos, el riesgo de reputación, el riesgo de mercado, el riesgo de crédito y el riesgo operacional en todas sus divisiones; como formalidad de prevención, detección y mitigación a dichos riesgos, el E.R.M. determinó 8 componentes interrelacionados, los cuales muestra cómo la Alta Gerencia opera un negocio, y cómo están integrados dentro del proceso administrativo en general, ellos son:
Entorno Interno: Filosofía de administración de riesgo ± Cultura de riesgo ± Responsabilidad de la Junta Directiva o Consejo de Administración ± Integridad y valores éticos ± Compromiso para con la competencia. Definición de los objetivos: Objetivos estratégicos ± Objetivos relacionados ± Objetivos seleccionados ± Apetitos del riesgo ± Tolerancia al riesgo. Identificación de eventos: Eventos o factores que influyen en la estrategia y en los objetivosMetodologías y técnicas ± Interdependencia entre los eventos ± Categoría de eventos ± Riesgos y oportunidades ± Valoración del riesgo: Riesgo inherente y residual- Probabilidad e impacto ± Metodologías y técnicas de correlación. Respuesta al Riesgo: Identificación de las respuestas al riesgo ± Evaluación de las posibles respuestas al riesgo ± Selección de respuestas ± Punto de vista de mapeo o portafolio ± Actividades de control: Integración con la respuesta al riesgo ± Tipos de actividades de Control ± Controles generales ± Controles de aplicación ± Controles específicos de la actividad ± Información y comunicación: Información ± Sistemas estratégicos e integrados ± Comunicación ± Monitoreo: Evaluaciones separadas ± Evaluaciones Ongoing ±
Emana incapacidad para determinar la probabilidad de que ocurrirán eventos potenciales y sus resultados asociados. 21 Generación de Valor.- Decisiones de la administración generan valor o se debilitan por la definición de las estrategias hasta la operación diaria. El reconocimiento del riesgo y de la oportunidad por la información interna y externa, despliega recursos preciosos, para enderezar las actividades de riesgo frente a las circunstancias cambiantes. Generación de valor para los stakeholders con o sin ánimo lucro, entidades gubernamentales, la gerencia. 28
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
29
COMPARATIVO COMPONENTES DE CONTROL Y RIESGOS COSO I y COSO II DESCRIPCION - COSO II AMBIENTE INTERNO Filosofía de la gestión de riesgos Cultura del riesgo Consejo de administración o J.D. Alta Gerencia Integridad y valores éticos Compromiso de competencia Estructura Organizativa Asignación de Autoridad y responsabilidad P ol ít ica s y pr ácti cas en mat er ia de recu rsos hu ma nos
ESTABLECIMIENTO DE OBJETIVOS Objetivos estratégicos Objetivos relacionados Objetivos seleccionados Riesgo Aceptado Tolerancia al riesgo
IDENTIFICACIÓN DE EVENTOS O ACONTECIMIENTOS Acontecimientos o eventos Factores de influencia estratégica y de objetivos Metodologías y técnicas A contecimientos interdependientes Categoría de acontecimientos Riesgos y Oportunidades
INVESTIGACIÓN DEL RIESGO Riesgo Inherente Riesgo Residual Probabilidad Impacto Fuentes de datos Técnicas de evaluación Correlación entre acontecimientos
RESPUESTA A LOS RIESGOS Evaluación de posibles respuestas Selección de respuestas Perspectivas a las respuestas al riesgo
Nº
DESCRIPCION - COSO I
1 AMBIENTE DE CONTROL 2 3 4 Las actividades del C.Admón o J.D. y el Comité de Auditoría 5 La mentalidad y estilo de operación de la gerencia 6 La integridad y los valores éticos 7 El compromiso a ser competente 8 La estructura de la organización 9 La asignación de autoridad y responsabilidades 1 0 L as po lí ti cas y p ráct ica s d e r ecur so s h um an os 11 12 13 14 15 16 17 18 19 20 21 22 23 24 EVALUACIÓN DE RIESGOS 25 26 27 Análisis de riesgos y su proceso 28 Manejo de cambios 29 Objetivos de cumplimiento 30 Objetivos de Operación 31 Objetivos de Información 32 33 34 35
COMPARATIVO COMPONENTES DE CONTROL Y RIESGOS COSO I y COSO II Nº
DESCRIPCION - COSO II
36 ACTIVIDADES DE CONTROL 37 Integración de la respuesta al riesgo (evitar, reducir, compartir o aceptar) 38 Tipos de actividades de control 39 Políticas y procedimientos 40 Controles de los sistemas de información
41 42 43 44
Controles específicos de la entidad
INFORMACIÓN Y COMUNICACIÓN Datos internos Datos externos
45 Salidas informativas 46 Fl ui dez ef ic az en todas l as di rec ci ones de l a or gani zac ión 47 M ensajes claros de la Dirección a todos 48 Medios efectivos de información 49 SUPERVISIÓN O MONITOREO
50 Actividades permanentes de supervisión 51 Evaluaciones independientes 52 Comunicación de deficiencias
Nº
DESCRIPCION - COSO I
36 ACTIVIDADES DE CONTROL 37 38 Detectivos, preventivos y correctivos 39 Polìticas, sistemas y procedimientos 40 Aprobación, autorización, verifi cación, conciliación, inspección, indicadores de rendimiento, salvaguarda de recursos, segregación de funciones, 41 supervisión y entrenamiento adecuado 42 INFORMACIÓN Y COMUNICACIÓN 43 Controles generales en los sistemas de información 44 Controles de aplicación hacia el interior de la organización Sistemas de información (general, iniciativas estratégicas, en línea interna y externa, de información comercial, sistemas de manufactura, contables, 45 nómina y otros. 46 Com uni cac ión f or mal 47 Comunicación informal 48 Canales de comunicación abiertos 49 Supervisión sistemàtica de los componentes - Ongoing (autocontrol, auditoría interna, externa, comités de J.D. o de gerencia, sistema de 50 información gerencial por análisis y seguimiento. 51 Evaluaciones independientes 52 Informes de las deficiencias, excepciones o inconsistencias.
Beneficios del E.R.M. o Administración de Riesgos Empresarial Ningún proceso de la administración de riesgos puede crear un ambiente libre de riesgos y por ello el E.R.M. permite a la gerencia operar más efectivamente en un ambiente de negocios lleno de riesgos fuctuantes. El E.R.M. proporciona valor agregado permanente al administrarlo adecuadamente, para: y y
29
Alinear el riesgo aceptado y la estrategia. Reducir las sorpresas y pérdidas operativas.
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
y y y y y y
30
Mejorar las decisiones de respuesta a los riesgos. Eficiencia de los recursos. Identificar y manejar los riesgos cruzados de la empresa. Ligar el crecimiento, el riesgo y el rendimiento. Racionalizar el capital. Aprovechar las oportunidades.
Los principales beneficios para una empresa utilizar la administración de riesgos cuando es a plicada de manera sistemática y metódica, son: a) mejora el funcionamiento del negocio; b)incrementa la actividad organizacional; y c) logra mejores reportes del riesgo.
MARCO DE ADMINISTRACIÓN DE RIESGOS EMPRESARIAL I. II. III. IV.
Gobierno Corporativo ( Vigilancia de la Junta Directiva) Control Interno (Sólido sistema de control interno) Implementación (nombramiento de apoyo interno o externo) Proceso de Administración de Riesgos Fases incrementables de un proceso interactivo:
V.
i. Análisis ii. Identificar los riesgos iii. Clasificar los riesgos iv. Evaluar los riesgos v. Planeación de riesgos vi. Administrar riesgos Orígenes del Riesgo (internas de la empresa de sus procesos internos y externas emanadas del entorno, como competencia, proveedores, clientes, gobierno, empleados, impuestos, económicos, ambientales, nuevas tecnologías, etc.)
GOBIERNO CORPORATIVO Para la administración del riesgo se requiere un apoyo irrestricto de su Junta Directiva o Consejo de Administración y de la Alta Gerencia, de quienes se requiere hayan establecido los procesos organizacionales apropiados y los controles corporativos para medir y para manejar los riesgos a través de la empresa. Las recientes investigaciones han demostrado que en las empresas y gobiernos donde se han establecido los modelos de Administración del Riesgo existe un mejoramiento en sus controles internos y eficiencia y eficacia operativas. Actualmente el Gobierno Corporativo se ha convertido en un componente esencial de la administración de riesgo empresarial porque proporciona monitoreo integral de la empresa y aplica la administración del riesgo. Además establece la responsabilidad en la Junta Directiva de asegurar el adecuado funcionamiento de los sistemas y las políticas para la administración de riesgos. La utilización de prácticas transparentes de la junta directiva y un sólido gobierno corporativo son cruciales para una efectiva administración de riesgos empresarial. Cualquier estrategia que las Juntas Directivas o Consejos de Administración adopten deben decidir qué oportunidades, presentes y futuras, desean aprovechar y qué riesgos están dispuestas a tomar para desarrollar oportunidades seleccionadas. Los miembros de la Junta Directiva no pueden distanciarse de la administración de riesgos o creer que ellos no son responsables, recordemos que por la serie de problemas inesperados del gobierno corporativo han conducido al colapso de varias 30
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
31
compañías y a otros escándalos corporativos en todo el mundo, las juntas directivas y la Alta Gerencia están bajo situaciones de desconfianza de sus accionistas, dueños, acreedores y gobierno y así las expectativas del Gobierno Corporativo han aumentado perceptiblemente.
El control interno, el gobierno corporativo y la administración del riesgo La evaluación de los controles internos proporciona un entendimiento de qué y cómo debe ser controlado en una organización. Los controles internos son un subconjunto de gobierno corporativo y la administración de riesgos está dirigida a facilitar la efectiva y eficiente operación de un negocio, mejorando los informes internos y externos, favoreciendo el cumplimiento de las leyes y regulaciones. Su objetivo es lograr estos a través de la identificación y la evaluación de los riesgos a los que hace frente al negocio, para removerlos, o reducirlos, o cuando sea necesario transferirlos a terceros, cuando sea económicamente factible hacerlo.
GUIA DE ADMINISTRACIÓN DEL RIESGO PARA EL SECTOR PÚBLICO Con base en el COSO II y en desarrollo de las actividades de control de la Gestión Pública, el Departamento Administrativo de la Función Pública desarrolló la Guía de la Administración del Riesgo22, cuyo objetivo fundamental es facilitar el cumplimiento de la misión y objetivos institucionales de las entidades de la administración pública a través de la prevención y administración de los riesgos. El componente de la Administración del Riesgo en el Subsistema de Control Estratégico del MECI, habilita a la entidad para emprender acciones necesarias que le permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales, integrando cinco elementos de Control: 1) el contexto estratégico , que permite establecer los factores internos y externos que generan posibles situaciones de riesgo; 2) la identificación de riesgos que define las causas (factores internos o externos) y efectos de las situaciones de riesgo; 3) el Análisis de Riesgos que aporta probabilidad de ocurrencia; 4) la Valoración de Riesgos para medir la exposición de la entidad a los impactos del riesgo. Todos estos elementos conducen a la definición de criterios base de la formulación del estándar de control que se consolida en las 5) Políticas de Administración de Riesgos. Para la implementación de este componente se toman como base los Planes y Programas, el Modelo de Operación y sus diferentes niveles de despliegue, a fin de establecer los posibles riesgos de los procesos y las actividades. Este componente toma como base la identificación de los factores internos o externos y de operación que puedan afectar el desarrollo de la función administrativa de la entidad; una vez identificados se asocian procesos, analizándolos, valorándolos y calificándolos en términos de su impacto en la gestión, con el propósito de definir las directrices para la Administración del Riesgo. Al terminar la implementación del Componente de Administración del Riesgo se espera obtener los siguientes productos: a. Análisis de los factores externos e internos que implican exposición al riesgo. b. Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad. 22
La Administración de riesgos es un componente del Subsistema de Control Estratégico del MECI.
31
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
32
c. Medidas de respuesta ante los riesgos identificados. d. Políticas de Administración de Riesgos Identificados.
INSUMOS Y PRODUCTOS DEL COMPONENTE DE ADMINISTRACIÓN DEL RIESGO INSUMOS Diagnóstico estratégico para la gestión de la Entidad Planes y programas que regulen y orienten el desarrollo de la función constitucional.
PRODUCTOS SISTEMA DE CONTROL ESTRATÉGICO Componente: ADMINISTRACIÓN DE RIESGOS Elementos: -Contexto estratégico -Identificación de riesgos -Análisis de riesgos -Valoración de riesgos -Políticas de administración de riesgos
Análisis de los aspectos externos e internos que implican exposición del riesgo. Reconocimiento de situaciones de riesgo o los riesgos que afectan el cumplimiento de los objetivos de la entidad.
Modelo de Operación que garantice una gestión efectiva.
Medidas de respuesta ante los riesgos identificados.
Estructura Organizacional flexible y efectiva
Políticas de Administración de riesgos identificados.
Dentro de las directrices generales para una adecuada Administración del Riesgo, se sugieren las siguientes etapas:
Compromiso de la alta y media dirección Asignación de un directivo de primer nivel que asesore y apoye todo el proceso de diseño e implementación. Conformación de un equipo MECI (conformado por personas que conozcan los diferentes procesos para que facilite la Administración del riesgo y la construcción de los mapas de riesgos institucionales) Capacitación en la metodología a sus integrantes y su relación con los demás Subsistemas y Elementos del Control MECI 1000-2005.
En cada Elemento se tratará de lograr resultados efectivos, tales como:
En el Contexto Estratégico: -Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad. -Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. -Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.
En la Identificación de Riesgos: 32
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
33
-Proceso: Nombre del proceso -Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se le están identificando los riesgos. -Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. -Causas (factores internos o externos), clasificados en cinco categorías: personas, materiales, Comités, instalaciones y entorno. -Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. -Efectos: Son las consecuencias de la ocurrencia del riesgo 23 sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Formato de Identificación de riesgos PROCESO: OBJETIVO DEL PROCESO
CAUSAS (Factores internos y externos, agente generador)
RIESGO
DESCRIPCIÓN
EFECTOS
En el análisis del riesgo: Se deben considerar los siguientes aspectos: -
La calificación del Riesgo : Se logra a través de la estimación de la probabilidad de su ocurrencia (número de veces) y el impacto que puede causar la materialización del riesgo (magnitud de sus efectos).
-
La Evaluación del Riesgo: Permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; de esta manera es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, que hace referencia a la utilización de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad), bajo las siguientes categorías: ³leve´, ³moderada´ y ³catastrófica´. Se complementa con un análisis cuantitativo, que contempla valores numéricos que contribuyen a la calidad en la exactitud de la calificación y evaluación de los riesgos. Tanto para el impacto como para la probabilidad se determinó bajo valores múltiplos de 5.
23
Clasificación del riesgo bajo los siguientes riesgos macros: estratégico, operativos, financieros, de cumplimiento y de tecnología. 33
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
34
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS PROBABILIDAD VALOR Alta 3 15 30 60 Z ona
r iesgo moder ado (evitar r iesgo)
Media
2
r iesgo toler able (asumir lo r educir lo)
1
de
o
5 Z ona
r iesgo aceptable (asumir lo)
IMPACTO Valor
el
10 Z ona
Baja
de
Leve 5
de
Z ona
de r iesgo impor tante. (Reducir el r iesgo, compar tir o tr ansf er ir)
Zona
20
40
Z ona
de r iesgo moder ado (r educir lo, evitar lo, compar tir l o o tr ansf er ir lo)
Zona
10
20
Z ona
Zona
Moderado 10
Catastrófica 20
de r iesgo toler able (r educir lo, compar tir l o o tr ansf er ir lo)
de r iesgo inaceptable (evitar l o, r educir lo, compar tir lo o tr ansf er ir l o) de r iesgo impor tante (r educir lo, evitar lo, compar tir lo o tr ansf er ir l o) de r iesgo moder ado (r educir lo, compar tir lo o tr ansf er ir l o)
Calificación del riesgo: Probabilidad alta con 3, Probabilidad media con 2 y Probabilidad baja con 1. El Impacto si es leve con 5, si es moderado con 10 y si es catastrófico con 20.
En la Valoración del Riesgo: Controles preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Controles correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. Para adelantar un procedimiento para la valoración del riesgo se debe establecer si son preventivos o correctivos, respondiendo las siguientes preguntas: 1. ¿Los controles están documentados? 2. ¿Se están aplicando en la actualidad? 3. ¿Es efectivo minimizar el riesgo? Habiéndose respondido esas preguntas se procede a realizar la valoración de la siguiente forma: -
-
Calificados y evaluados los riesgos analícelos frente a los controles existentes en cada riesgo. Pondérelos según la tabla establecida, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos) Ubique la matriz de Calificación, Evaluación y Respuesta a los Riesgos, el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoración del mismo.
CRITERIOS 34
VALORACIÓN DEL RIESGO
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
35
No existen controles
Se mantiene el resultado de la evaluación antes de controles. Los controles existentes no son Se mantiene el resultado de la efectivos evaluación antes de controles. Los controles existentes son efectivos Cambia el resultado a una casilla pero no están documentados. inferior de la matriz de evaluación antes de controles (el desplazamiento depende de si el control afecta el impacto o la probabilidad) Los controles son efectivos y están Pasa a escala inferior (el documentados. desplazamiento depende de si el control afecta el impacto o la probabilidad)
En cuanto a Políticas de Administración de Riesgos Las políticas identifican las opciones para tratar y manejar los riesgos basados en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo, a su vez informan la posición de la dirección y establecen las guías de acción necesarias a todos los servidores públicos de la entidad. Se deben tener en cuenta algunas opciones para considerarse independientemente, interrelacionadas o en conjunto como son las ³evitar el riesgo´, ³reducir el riesgo´, ³compartir o transferir el riesgo´ y ³asumir el riesgo´.
Decisión al RIESGO RESIDUAL Tomar medidas encaminadas a:
EVITAR EL RIESGO REDUCIR EL RIESGO COMPARTIRTRANSFERIR EL RIESGO ASUMIR EL RIESGO
A pr evenir su mater ialización en los procesos por cambios sustanciales por mejor amiento, r ediseño o eliminación. E jemplos: control de calidad, manejo de los insumos, mantenimiento pr eventivo de los equipos, desarrollo tecnológico, etc. A disminuir tanto la probabilidad (medidas de pr evención) como el impacto (medidas de protección). Método más sencillo y menos oneroso, se consigue mediante la optimización de los procedimientos y la implementación de controles. A r educir su ef ecto tr asladando las posibles pér didas a otr as organizaciones, ejemplo: seguros, compensando inver siones, contr atos compar tidos, duplicación de infor mación y almacenamiento en otr a par te, cajillas de segur idad, etc. Después de haber r educido o tr ansf er ido el r iesgo, se mantiene el r iesgo r esidual bajo parámetros de pér dida, elabor ando planes de contingencia par a su manejo.
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos o cambios físicos. Las selección de acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica. Criterios en el manejo de los riesgos: a. La valoración del riesgo b. El balance entre el costo de la implementación de cada acción contra el beneficio de la misma. 35
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
36
c. En la ejecución se deben identificar las áreas o dependencias responsables, d. Definir un cronograma y unos indicadores que permitan verificar el cumplimiento e. Tomar las medidas correctivas cuando sea necesario. En conclusión con la realización de la Guía de Administración de Riesgo, se busca encausar el accionar de la Entidad Pública hacia el uso eficiente de los recursos, la continuidad en la prestación de servicios, la protección de los bienes utilizados para servir a la comunidad, y además, que la Entidad tenga claridad sobre las políticas de Administración de Riesgo, las acciones de manejo de riesgo y el compromiso de la Dirección y de los servidores de la entidad.
MAPA DE RIESGOS Para facilitar la Administración de Riesgos, la Guía recomienda elaborar un mapa de riesgos por cada proceso después de la etapa de Valoración del Riesgo. El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad, permitiendo conocer las políticas inmediatas de respuesta ante ellos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual y la aplicación de acciones, así como los responsables, el cronograma y los indicadores.
Formato: Mapa de Riesgos Riesgo
Impacto
Pr obabilidad
Evaluación Riesgo
Contr oles Existentes
Valoración Riesgo
Opciones Manejo
Acciones
Responsables
Descripción del Mapa de Riesgos: Paso
Definición
Riesgo
Posibilidad de ocurr encia de un evento que pueda entorpecer el nor mal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Consecuencias que puede ocasionar a la organización la mater ialización del r iesgo. Entendida como la posibilidad de ocurr encia del r iesgo; ésta puede ser medida con cr iter ios de Frecuencia, si se ha mater ializado. (# de veces en un tiempo deter minado), o de Factibilidad teniendo en cuenta la pr esencia de f actor es inter nos y exter nos que pueden propiciar el r iesgo, aunque éste no se haya mater ializado. Resultado obtenido en la matr iz de calif icación, evaluación y r espuesta a los r iesgos.
Impacto Probabilidad
Evaluación Del Riesgo Controles Existentes Valor ación del Riesgo Opciones de Manejo Acciones Responsables Cronogr ama Indicador es
36
Especif icar cuál es el control que la entidad tiene implementado par a combatir , minimizar o pr evenir el r iesgo. Es el r esultado de deter minar la vulner abilidad de la Entidad Pública al r iesgo, luego de confrontar la evaluación del r iesgo con los controles existentes. Opciones de r espuesta ante los r iesgos tendientes a ³evitar´, ³r educir´, ³disper sar o tr ansf er ir´, o ³asumir´ el r iesgo r esidual. Es la aplicación concr eta de las opciones de manejo del r iesgo que entr arán a pr evenir o a r educir el r iesgo y harán par te del plan de manejo de r iesgo. Son las dependencias o ár eas encargadas de adelantar las acciones por par te del grupo de tr abajo. Son las f echas establecidas par a implementar las acciones por par te del grupo de tr abajo.. Se consignan los indicador es diseñados par a evaluar el desarrollo de las acciones implementadas.
Crionograma
Indicador
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
37
Formulación de Políticas Está a cargo del representante legal de la entidad y el Comité de Coordinación de Control Interno y se basa en el mapa de riesgos resultado del proceso de la Administración del Riesgo; la política señala que debe hacerse para efectuar el control y la implementación de la misma, basándose en los planes estratégicos y los objetivos institucionales o por procesos, el cual debe contener los siguientes aspectos: y y
y y
y
Los objetivos que se esperan lograr. Las estrategias para establecer como se va a desarrollar las políticas, a largo, mediano y corto plazo. Los riesgos que se van a controlar. Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido. El seguimiento y evaluación a la implementación y efectividad de las políticas.
El ánimo de la Administración del Riesgo es propender por el cumplimiento de la misión y objetivos institucionales, los cuales están consignados en la planeación anual de la Entidad, las políticas de la Administración del Riesgo deben ir articuladas con la planeación de manera que no sean políticas aisladas sino complementarias.
MONITOREO Tan pronto esté diseñado y validado el plan para administrar riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo (ongoing 24) asegura que las acciones se están llevando a cabo y se está evaluando la eficiencia en su implementación, mediante revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que puedan estar influyendo en la aplicación de las acciones preventivas. El monitoreo debe estar a cargo de los responsables de los procesos y de la Oficina de Control Interno, su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego el seguimiento y evaluación, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas. COMPARATIVO DE LOS COMPONENTES DEL COSO I y II, MICIL y MECI
24
Ongoing: término técnico que significa estar actualmente en proceso, en continuo movimiento, hacia adelante. 37
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
39
Conclusiones 1. La evolución del control interno empresarial en el mundo y en Colombia se ha visto afectado por los aumentos de fraudes, corrupción, maquillaje de balances, colusión no solamente en las entidades públicas sino en las privadas en donde han aparecido situaciones irregulares marcadas con intervención de sus directivas, lo cual ha sido causa en manejo de nuevos riesgos y establecimiento de nuevos controles internos de toda índole, por lo anterior las Asociaciones de Contadores de EEUU y del mundo en general como la AIC, FLAI, IFAC han formalizado documentos como el COSO, el E.R.M. y el MICIL diseñados al cambio de procedimientos, formas y sistemas hacia todos los procesos y sobretodo a la dirección, autoridad, responsabilidad y posicionamiento ante los controles y riesgos del recurso humano. 2. En Colombia, sobretodo en el sector público, han venido estudiando los fenómenos de escándalos mundiales y nacionales, siendo conscientes de la necesidad del cambio hacia los controles y el manejo del riesgo, por ello a partir del 8 de diciembre de 2008 empieza a ponerse en práctica los documentos de Modelo Estándar de Control Interno MECI (decreto 1599/05), Sistema de Gestión de Calidad en el Sector Público (Ley 872/03 y Administración del Riesgo mediante la Guía de Administración de Riesgo del Departamento Administrativo de la Función Pública, bases de lograr en Colombia, al interactuar su aplicación para autocontrolar aquellos eventos que puedan afectar el cumplimiento de los objetivos de cada Entidad Pública municipal, departamental o nacional. 3. El Modelo MECI y la Guía de Administración de Riesgo son aplicaciones técnicas fundamentales para desarrollar controles novedosos en el sector público basados en las experiencias mundiales de todos los sectores de la economía de los países, en su organización fueron fundamentales trabajos como el COSO, COCO, MICIL y otros apoyados por la Agencia de los Estados Unidos para el Desarrollo Internacional con la Asesoría Técnica de la firma consultora Casals & Asociados mediante la difusión de los conceptos de control interno y la ejecución práctica de varios talleres de autoevaluación de Control en varias entidades públicas utilizando la tecnología informática por PDK Control Consulting International Ltd. Del Canadá bajo software especializados que acumula la calificación de opiniones y las sugerencias del personal participante. 4. Comparado los modelos COSO I y COSO II con el MICIL, fue acondicionado hacia entidades públicas con cambios específicos en la definición de objetivos adicionando ³la fiabilidad de la información operativa´ y ³la salvaguarda de los recursos´ y en el manejo de Componentes abriendo subsistema de Control Estratégico, Control de Gestión y Evaluación de Control formalizando componentes nuevos como el acuerdos, compromisos, contexto estratégico, autoevaluación de gestión separada de la de control y otros acondicionados hacia el sector público. 5. El documento de Guía de Administración de Riesgo realmente es una gran ayuda para las Instituciones de Gobierno, la cual facilita la concreción de la administración del riesgo como herramienta fundamental de la Gerencia Pública como una política de gestión y de control por parte de la alta dirección y cuente con la participación y respaldo de todos los servidores públicos para que sea básica para identificar, analizar, valorar y administrar los riesgos que constantemente están expuestos a ellos y poder fortalecer el Sistema de Control Interno para lograr el más alto grado de eficacia y eficiencia institucional.
39
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
40
6. El sector privado en Colombia, excepto las entidades financieras que tienen la vigilancia de la Superintendencia Financiera bajo los principios de la Comisión de Basilea II de control de riesgos establecidos obligatoriamente, no han efectuado cambios en el manejo de controles y de riesgos, por tanto invito a esas entidades a que entiendan que no solamente las entidades financieras tienen riesgos, sino que son todas las entidades enfrentan incertidumbre y que no solamente ellos representan pérdidas y sorpresas operativas y financieras, sino también oportunidades, cuya administración del riesgo y el establecimiento de controles puede mejorar la capacidad de las empresas para generar valor agregado. Por ello invito a todas esas entidades con ánimo o sin ánimo de lucro a que conozcan no solamente el COSO I y COSO II sino los otros documentos que se presentan en esta ponencia como son el MICIL, MECI y la GUIA de Administración de Riesgos, que son documentos que podrían apoyar la creación de controles necesarios y formalizar una adecuada administración al riesgo mediante formalizar controles para evitar, reducir, compartir o aceptar el riesgo.
BIBLIOGRAFIA -Marco Estructurado de Control Interno COSO I ± Ecoe Ediciones S.Mantilla -Gestión de Riesgos Corporativos ± Marco Integrado COSO II ±Pricewaterhouse CoopersEspaña -Administración y Gestión de Riesgos Empresariales E.R.M. y la Auditoría Interna ± Ecoe Ediciones R. Estupiñán G. -Control Interno y Fraudes por Ciclos Transaccionales ± Ecoe Ediciones ± R.Estupiñán G. -Marco Integrado de Control Interno para Latinoamérica MICIL Sept. 2004± FLAI ± AIC -Ley 87 de 1993 -Decreto 1537 de 2001 art. 4. -Ley 489 Art. 3. -Ley 872 de 2003 -Guía del Administración del Riesgo ±Departamento Administrativo de la Función Pública -Modelo Estándar de Control Interno MECI ± 1000-2005- Colombia
40
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
41
41
EVOLUCIÓN DEL CONTROL INTERNO Y EL E.R.M.
42
42
View more...
Comments
