Evaluación del control interno aplicable a las municipalidades distritales del Perú
Enviado por DOMINGO HERNANDEZ CELIS
- Teoría general del control interno gubernamental
- Norma general para componente el ambiente de control
- Filosofía de la Dirección
- Integridad y valores éticos
- Estructura organizacional
- Administración de los recursos humanos
- Competencia profesional
- Órgano de Control Institucional
- Norma general para el componente evaluación de riesgos
- Norma general para el componente actividades de control gerencial
- Norma general para el componente de información y comunicación
- Norma general para la supervisión
- Bases teóricas especializadas sobre el tema
Teoría general del control interno gubernamental
El control interno puede ser definido como el plan de organización, y el conjunto de planes, métodos, procedimientos y otras medidas de una institución, tendientes a ofrecer una garantía razonable de que se cumplan los siguientes objetivos principales: Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y servicios de la calidad esperada; Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades; Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma; Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos. Para la alta dirección es primordial lograr los mejores resultados con economía de esfuerzos y recursos, es decir al menor costo posible. Para ello debe controlarse que sus decisiones se cumplan adecuadamente, en el sentido que las acciones ejecutadas se correspondan con aquéllas, dentro de un esquema básico que permita la iniciativa y contemple las circunstancias vigentes en cada momento. Por consiguiente, siguiendo los lineamientos de INTOSAI, incumbe a la autoridad superior la responsabilidad en cuanto al establecimiento de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica (INTOSAI[1]2014, Pássim).
El sistema de control interno, es el sistema integrado por la estructura organizacional y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes, dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos. El ejercicio del Control Interno debe consultar los principios de igualdad, eficiencia, economía, celeridad, moralidad, publicidad y valoración de costos ambientales. En consecuencia, deberá concebirse y organizarse de tal manera que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos existentes en la entidad, y en particular de las asignadas a aquellos que tengan responsabilidad del mando. El Control Interno se expresará a través de las políticas aprobadas por los niveles de dirección y administración de las respectivas entidades y se cumplirá en toda la escala de la estructura administrativa, mediante la elaboración y aplicación de técnicas de dirección, verificación y evaluación de regulaciones administrativas, de manuales de funciones y procedimientos, de sistemas de información y de programas de selección, inducción y capacitación de personal. Toda entidad bajo la responsabilidad de sus directivos, debe por lo menos implementar los siguientes aspectos que deben orientar la aplicación del Control interno: Establecimiento de objetivos y metas tanto generales como especificas, así como la formulación de planes operativos que sean necesarios; Definición de políticas como guías de acción y procedimientos para la ejecución de los procesos; Adopción de un sistema de organización adecuado para ejecutar los planes; Delimitación precisa de la autoridad y los niveles de responsabilidad; Adopción de normas para la protección y utilización racional de los recursos; Dirección y administración del personal conforme a un sistema de méritos y sanciones; Aplicación de las recomendaciones resultantes de las evaluaciones de Control Interno; Establecimiento de mecanismos que faciliten el control ciudadano a la gestión de las entidades; Establecimiento de sistemas modernos de información que faciliten la gestión y el control; Organización de métodos confiables para la evaluación de la gestión; Establecimiento de programas de inducción, capacitación y actualización de directivos y demás personal de la entidad; Simplificación y actualización de normas y procedimientos (Aldave & Meniz, 2013, 39-42)
El sistema de control interno es el conjunto de órganos de control, normas, métodos y procedimientos, estructurados e integrados funcionalmente, destinados a conducir y desarrollar el ejercicio del control gubernamental en forma descentralizada. Su actuación comprende todas las actividades y acciones en los campos administrativos, presupuestal, operativo y financiero de las entidades y alcanza al personal que presta servicios en ellas, independientemente del régimen que las regula. El Sistema está conformado por el ente técnico rector; todas las unidades orgánicas responsables de la función de control gubernamental; las sociedades de auditoría externa independientes, cuando son designadas y contratadas, durante un período determinado, para realizar servicios de auditoría en las entidades.
El sistema de control interno consiste en la supervisión, vigilancia y verificación de los actos y resultados de la gestión pública, en atención al grado de eficiencia, eficacia, transparencia y economía en el uso y destino de los recursos y bienes del Estado, así como del cumplimiento de las normas legales y de los lineamientos de política y planes de acción, evaluando los sistemas de administración, gerencia y control, con fines de su mejoramiento a través de la adopción de acciones preventivas y correctivas pertinentes. El control gubernamental es interno y externo y su desarrollo constituye un proceso integral y permanente (Cepeda, 2013, 59-63).
El sistema de control interno comprende las acciones de cautela previa, simultánea y de verificación posterior que realiza la entidad sujeta a control, con la finalidad que la gestión de sus recursos, bienes y operaciones se efectúe correcta y eficientemente. Su ejercicio es previo, simultáneo y posterior. El control interno previo y simultáneo compete exclusivamente a las autoridades, funcionarios y servidores públicos de las entidades como responsabilidad propia de las funciones que le son inherentes, sobre la base de las normas que rigen las actividades de la organización y los procedimientos establecidos en sus planes, reglamentos, manuales y disposiciones institucionales, los que contienen las políticas y métodos de autorización, registro, verificación, evaluación, seguridad y protección. El control posterior es ejercido por los responsables superiores del servidor o funcionario ejecutor, en función del cumplimiento de las disposiciones establecidas, así como por el órgano de control institucional según sus planes y programas anuales, evaluando y verificando los aspectos administrativos del uso de los recursos y bienes del Estado, así como la gestión y ejecución llevadas a cabo, en relación con las metas trazadas y resultados obtenidos. Es responsabilidad del Titular de la entidad fomentar y supervisar el funcionamiento y confiabilidad del control interno para la evaluación de la gestión y el efectivo ejercicio de la rendición de cuentas, propendiendo a que éste contribuya con el logro de la misión y objetivos de la entidad a su cargo. El Titular de la entidad está obligado a definir las políticas institucionales en los planes y/o programas anuales que se formulen, los que serán objeto de las verificaciones.
Se entiende por control externo razonable el conjunto de políticas, normas, métodos y procedimientos técnicos, que compete aplicar a la Contraloría General u otro órgano del Sistema por encargo o designación de ésta, con el objeto de supervisar, vigilar y verificar la gestión, la captación y el uso de los recursos y bienes del Estado. Se realiza fundamentalmente mediante acciones de control con carácter selectivo y posterior. En concordancia con sus roles de supervisión y vigilancia, el control externo podrá ser preventivo o simultáneo, cuando se determine taxativamente por la Ley del Sistema Nacional de Control o por normativa expresa, sin que en ningún caso conlleve injerencia en los procesos de dirección y gerencia a cargo de la administración de la entidad, o interferencia en el control posterior que corresponda. Para su ejercicio, se aplicarán sistemas de control de legalidad, de gestión, financiero, de resultados, de evaluación de control interno u otros que sean útiles en función a las características de la entidad y la materia de control, pudiendo realizarse en forma individual o combinada. Asimismo, podrá llevarse a cabo inspecciones y verificaciones, así como las diligencias, estudios e investigaciones necesarias para fines de control (Retamozo, 2013, 86-88).
La Resolución de Contraloría General Nº 320-2006-CG, establece las normas de control interno para las Municipalidades del país. Las cuales se detallan a continuación.
Norma general para componente el ambiente de control
El componente ambiente de control define el establecimiento de un entorno organizacional favorable al ejercicio de buenas prácticas, valores, conductas y reglas apropiadas, para sensibilizar a los miembros de la entidad y generar una cultura de control interno. Estas prácticas, valores, conductas y reglas apropiadas contribuyen al establecimiento y fortalecimiento de políticas y procedimientos de control interno que conducen al logro de los objetivos institucionales y la cultura institucional de control. El titular, funcionarios y demás miembros de la entidad deben considerar como fundamental la actitud asumida respecto al control interno. La naturaleza de esa actitud fija el clima organizacional y, sobre todo, provee disciplina a través de la influencia que ejerce sobre el comportamiento del personal en su conjunto. Esta norma comprende: Filosofía de la Dirección; Integridad y los valores éticos; Administración estratégica; Estructura organizacional; Administración de recursos humanos; Competencia profesional; Asignación de autoridad y responsabilidades; Órgano de Control Institucional. La calidad del ambiente de control es el resultado de la combinación de los factores que lo determinan. El mayor o menor grado de desarrollo de éstos fortalecerá o debilitará el ambiente y la cultura de control, influyendo también en la calidad del desempeño de la entidad.
La filosofía y estilo de la Dirección comprende la conducta y actitudes que deben caracterizar a la gestión de la entidad con respecto del control interno. Debe tender a establecer un ambiente de confianza positivo y de apoyo hacia el control interno, por medio de una actitud abierta hacia el aprendizaje y las innovaciones, la transparencia en la toma de decisiones, una conducta orientada hacia los valores y la ética, así como una clara determinación hacia la medición objetiva del desempeño, entre otros.
Comentarios:
01 La filosofía de la Dirección refleja una actitud de apoyo permanente hacia el control interno y el logro de sus objetivos, actuando con independencia, competencia y liderazgo, y estableciendo un código de ética y criterios de evaluación del desempeño.
02 El titular o funcionario designado debe evaluar y supervisar continuamente el funcionamiento adecuado del control interno en la entidad y transmitir a todos los niveles de la entidad, de manera explícita y permanente, su compromiso con el mismo.
03 El titular o funcionario designado debe hacer entender al personal la importancia de la responsabilidad de ejercer y ejecutar los controles internos, ya que cada miembro cumple un rol importante dentro de la entidad. También debe lograr que éstas sean asumidas con seriedad e incentivar una actitud positiva hacia el control interno.
04 El titular o funcionario designado debe propiciar un ambiente que motive la propuesta de medidas que contribuyan al perfeccionamiento del control interno y al desarrollo de la cultura de control institucional.
05 El titular o funcionario designado debe facilitar, promover, reconocer y valorar los aportes del personal estimulando la mejora continua en los procesos de la entidad.
06 El titular o funcionario designado debe integrar el control interno a todos los procesos, actividades y tareas de la entidad. A este propósito contribuye el ambiente de confianza entre el personal, derivado de la difusión de la información necesaria, la adecuada comunicación y las técnicas de trabajo participativo y en equipo.
07 El ambiente de confianza incluye la existencia de mecanismos que favorezcan la retroalimentación permanente para la mejora continua. Esto implica que todo asunto que interfiera con el desempeño organizacional, de los procesos, actividades y tareas pueda ser detectado y transmitido oportunamente para su corrección oportuna.
08 El titular y funcionarios de la entidad, a través de sus actitudes y acciones, deben promover las condiciones necesarias para el establecimiento de un ambiente de confianza.
La integridad y valores éticos del titular, funcionarios y servidores determinan sus preferencias y juicios de valor, los que se traducen en normas de conducta y estilos de gestión. El titular o funcionario designado y demás empleados deben mantener una actitud de apoyo permanente hacia el control interno con base en la integridad y valores éticos establecidos en la entidad.
Comentarios:
01 Los principios y valores éticos son fundamentales para el ambiente de control de las entidades. Debido a que éstos rigen la conducta de los individuos, sus acciones deben ir más allá del solo cumplimiento de las leyes, decretos, reglamentos y otras disposiciones normativas.
02 El titular o funcionario designado debe incorporar estos principios y valores como parte de la cultura organizacional, de manera que subsistan a los cambios de las personas que ocupan temporalmente los cargos en una entidad. También debe contribuir a su fortalecimiento en el marco de la vida institucional y su entorno.
03 El titular o funcionario designado juega un rol determinante en el establecimiento de una cultura basada en valores, que con su ejemplo, contribuirá a fortalecer el ambiente de control.
04 La demostración y la persistencia en un comportamiento ético por parte del titular y los funcionarios es de vital importancia para los objetivos del control interno.
Administración estratégica
Las entidades del Estado requieren la formulación sistemática y positivamente correlacionada con los planes estratégicos y objetivos para su administración y control efectivo, de los cuales se derivan la programación de operaciones y sus metas asociadas, así como su expresión en unidades monetarias del presupuesto anual.
Comentarios:
01 Se entiende por administración estratégica al proceso de planificar, con componentes de visión, misión, metas y objetivos estratégicos. En tal sentido, toda entidad debe buscar tender a la elaboración de sus planes estratégicos y operativos gestionándolos. En una entidad sin administración estratégica, el control interno carecería de sus fundamentos más importantes y sólo se limitaría a la verificación del cumplimiento de ciertos aspectos formales.
02 El análisis de la situación y del entorno debe considerar, entre otros elementos de análisis, los resultados alcanzados, las causas que explican los desvíos con respecto de lo programado, la identificación de las demandas actuales y futuras de la ciudadanía.
03 Los productos de las actividades de formulación, cumplimiento, seguimiento y evaluación deben estar formalizadas en documentos debidamente aprobados y autorizados, con arreglo a la normativa vigente respectiva. El titular o funcionario designado debe difundir estos documentos tanto dentro de la entidad como a la ciudadanía en general.
El titular o funcionario designado debe desarrollar, aprobar y actualizar la estructura organizativa en el marco de eficiencia y eficacia que mejor contribuya al cumplimiento de sus objetivos y a la consecución de su misión.
Comentarios:
01 La determinación la estructura organizativa debe estar precedida de un análisis que permita elegir la que mejor contribuya al logro de los objetivos estratégicos y los objetivos de los planes operativos anuales. Para ello debe analizarse, entre otros: (i) la eficacia de los procesos operativos, (ii) la velocidad de respuesta de la entidad frente a cambios internos y externos, (iii) la calidad y naturaleza de los productos o servicios brindados, (iv) la satisfacción de los clientes, usuarios o ciudadanía, (v) la identificación de necesidades y recursos para las operaciones futuras, (vi) las unidades orgánicas o áreas existentes, y; (vii) los canales de comunicación y coordinación, informales, formales y multidireccionales que contribuyen a los ajustes necesarios de la estructura organizativa.
02 La determinación de la estructura organizativa debe traducirse en definiciones acerca de normas, procesos de programación de puestos y contratación del personal necesario para cubrir dichos puestos Con respecto de los recursos materiales debe programarse la adquisición de bienes y contratación de servicios requeridos, así como la estructura de soporte para su administración, incluyendo la programación y administración de los recursos financieros.
03 Las entidades públicas, de acuerdo con la normativa vigente emitida por los organismos competentes, deben diseñar su estructura orgánica, la misma que no solo debe contener unidades sino también considerar los procesos, operaciones, tipo y grado de autoridad en relación con los niveles jerárquicos, canales y medios de comunicación, así como las instancias de coordinación interna e interinstitucional que resulten apropiadas. El resultado de toda esta labor debe formalizarse en manuales de procesos, de organización y funciones y organigramas.
04 La dimensión de la estructura organizativa estará en función de la naturaleza, complejidad y extensión de los procesos, actividades y tareas, en concordancia con la misión establecida en su ley de creación.
Administración de los recursos humanos
Es necesario que el titular o funcionario designado establezca políticas y procedimientos necesarios para asegurar una apropiada planificación y administración de los recursos humanos de la entidad, de manera que se garantice el desarrollo profesional y asegure la transparencia, eficacia y vocación de servicio a la comunidad.
Comentarios:
01 La eficacia del funcionamiento de los sistemas de control interno radica en el elemento humano. De allí la importancia del desempeño de cada uno de los miembros de la entidad y de cuán claro comprendan su rol en el cumplimiento de los objetivos. En efecto, la aplicación exitosa de las medidas, mecanismos y procedimientos de control implantados por la administración está sujeta, en gran parte, a la calidad del potencial del recurso humano con que se cuente.
02 El titular o funcionario designado debe definir políticas y procedimientos adecuados que garanticen la correcta selección, inducción y desarrollo del personal. Las actividades de reclutamiento y contratación, que forman parte de la selección, deben llevarse a cabo de manera ética. En la inducción deben considerarse actividades de integración del recurso humano en relación con el nuevo puesto tanto en términos generales como específicos.
En el desarrollo de personal se debe considerar la creación de condiciones laborales adecuadas, la promoción de actividades de capacitación y formación que permitan al personal aumentar y perfeccionar sus capacidades y habilidades, la existencia de un sistema de evaluación del desempeño objetivo, rendición de cuentas e incentivos que motiven la adhesión a los valores y controles institucionales.
El titular o funcionario designado debe reconocer como elemento esencial la competencia profesional del personal, acorde con las funciones y responsabilidades asignadas en las entidades del Estado.
Comentarios:
01 La competencia incluye el conocimiento, capacidades y habilidades necesarias para ayudar a asegurar una actuación ética, ordenada, económica, eficaz y eficiente, al igual que un buen entendimiento de las responsabilidades individuales relacionadas con el control interno.
02 El titular o funcionario designado debe especificar, en los requerimientos de personal, el nivel de competencia requerido para los distintos niveles y puestos de la entidad, así como para las distintas tareas requeridas por los procesos que desarrolla la entidad.
03 El titular, funcionarios y demás servidores de la entidad deben mantener el nivel de competencia que les permita entender la importancia del desarrollo, implantación y mantenimiento de un buen control interno, y practicar sus deberes para poder alcanzar los objetivos de éste y la misión de la entidad.
1.7. Asignación de autoridad y responsabilidad
Es necesario asignar claramente al personal sus deberes y responsabilidades, así como establecer relaciones de información, niveles y reglas de autorización, así como los límites de su autoridad.
Comentarios:
01 El titular o funcionario designado debe tomar las acciones necesarias para garantizar que el personal que labora en la entidad tome conocimiento de las funciones y autoridad asignadas al cargo que ocupan. Los funcionarios y servidores públicos tienen la responsabilidad de mantenerse actualizados en sus deberes y responsabilidades demostrando preocupación e interés en el desempeño de su labor.
02 La asignación de autoridad y responsabilidad debe estar definida y contenida en los documentos normativos de la entidad, los cuales deben ser de conocimiento del personal en general.
03 Todo el personal que labora en las entidades del Estado debe asumir sus responsabilidades en relación con las funciones y autoridad asignadas al cargo que ocupa. En este sentido, cada funcionario o servidor público es responsable de sus actos y debe rendir cuenta de los mismos.
04 El titular o funcionario designado debe establecer los límites para la delegación de autoridad hacia niveles operativos de los procesos y actividades propias de la entidad, en la medida en que ésta favorezca el cumplimiento de sus objetivos.
05 Toda delegación incluye la necesidad de autorizar y aprobar, cuando sea necesario, los resultados obtenidos como producto de la autoridad asignada.
06 Es necesario considerar que la delegación de autoridad no exime a los funcionarios y servidores públicos de la responsabilidad conferida como consecuencia de dicha delegación. Es decir, la autoridad se delega, en tanto que la responsabilidad se comparte.
Órgano de Control Institucional
La existencia de actividades de control interno a cargo de la correspondiente unidad orgánica especializada denominada Órgano de Control Institucional, que debe estar debidamente implementada, contribuye de manera significativa al buen ambiente de control.
Comentarios:
01 Los Órganos de Control Institucional realizan sus funciones de control gubernamental con arreglo a la normativa del SNC y sujetos a la supervisión de la CGR.
02 Los productos generados por el Órgano de Control Institucional no deben limitarse a evaluar los procesos de control vigentes, sino que deben extenderse a la identificación de necesidades u oportunidades de mejora en los demás procesos de la entidad, tales como aquellos relacionados con la confiabilidad de los registros y estados financieros, la calidad de los productos y servicios y la eficiencia de las operaciones, entre otros.
03 Cualquiera sea la conformación de los equipos de trabajo responsables de la evaluación del control interno, deben integrarse con miembros de comprobada competencia e idoneidad profesional.
Norma general para el componente evaluación de riesgos
El componente evaluación de riesgos abarca el proceso de identificación y análisis de los riesgos a los que está expuesta la entidad para el logro de sus objetivos y la elaboración de una respuesta apropiada a los mismos. La evaluación de riesgos es parte del proceso de administración de riesgos, e incluye: planeamiento, identificación, valoración o análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad. La administración de riesgos es un proceso que debe ser ejecutado en todas las entidades. El titular o funcionario designado debe asignar la responsabilidad de su ejecución a un área o unidad orgánica de la entidad. Asimismo, el titular o funcionario designado y el área o unidad orgánica designada deben definir la metodología, estrategias, tácticas y procedimientos para el proceso de administración de riesgos. Adicionalmente, ello no exime a que las demás áreas o unidades orgánicas, de acuerdo con la metodología, estrategias, tácticas y procedimientos definidos, deban identificar los eventos potenciales que pudieran afectar la adecuada ejecución de sus procesos, así como el logro de sus objetivos y los de la entidad, con el propósito de mantenerlos dentro de margen de tolerancia que permita proporcionar seguridad razonable sobre su cumplimiento. A través de la identificación y la valoración de los riesgos se puede evaluar la vulnerabilidad del sistema, identificando el grado en que el control vigente maneja los riesgos. Para lograr esto, se debe adquirir un conocimiento de la entidad, de manera que se logre identificar los procesos y puntos críticos, así como los eventos que pueden afectar las actividades de la entidad. Dado que las condiciones gubernamentales, económicas, tecnológicas, regulatorias y operacionales están en constante cambio, la administración de los riesgos debe ser un proceso continuo. Establecer los objetivos institucionales es una condición previa para la evaluación de riesgos.
Los objetivos deben estar definidos antes que el titular o funcionario designado comience a identificar los riesgos que pueden afectar el logro de las metas y antes de ejecutar las acciones para administrarlos. Estos se fijan en el nivel estratégico, táctico y operativo de la entidad, que se asocian a decisiones de largo, mediano y corto plazo respectivamente. Se debe poner en marcha un proceso de evaluación de riesgos donde previamente se encuentren definidos de forma adecuada las metas de la entidad, así como los métodos, técnicas y herramientas que se usarán para el proceso de administración de riesgos y el tipo de informes, documentos y comunicaciones que se deben generar e intercambiar. También deben establecerse los roles, responsabilidades y el ambiente laboral para una efectiva administración de riesgos. Esto significa que se debe contar con personal competente para identificar y valorar los riesgos potenciales.
El control interno solo puede dar una seguridad razonable de que los objetivos de una entidad sean cumplidos. La evaluación del riesgo es un componente del control interno y juega un rol esencial en la selección de las actividades apropiadas de control que se deben llevar a cabo.
La administración de riesgos debe formar parte de la cultura de una entidad. Debe estar incorporada en la filosofía, prácticas y procesos de negocio de la entidad, más que ser vista o practicada como una actividad separada. Cuando esto se logra, todos en la entidad pasan a estar involucrados en la administración de riesgos. Esta norma comprende: Planeamiento de la gestión de riesgos; Identificación de los riesgos; Valoración de los riesgos; Respuesta al riesgo.
2.1. Planeamiento de la administración de riesgos
Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactiva para identificar y valorar los riesgos que puedan impactar en una entidad impidiendo el logro de los objetivos. Se deben desarrollar planes, métodos de respuesta y monitoreo de cambios, así como un programa para la obtención de los recursos necesarios para definir acciones en respuesta a riesgos.
Comentarios:
01 Un evento es un incidente o acontecimiento derivado de fuentes internas o externas que afecta a la implementación de la estrategia o la consecución de objetivos. Los eventos pueden tener un impacto positivo, negativo o de ambos tipos a la vez. Cuando el impacto es positivo se le conoce como oportunidad, en tanto que si es negativo se le conoce como riesgo.
02 El riesgo se define como la posibilidad de que un evento ocurra y afecte de manera adversa el logro de los objetivos de la entidad, impidiendo la creación de valor o erosionando el valor existente. El riesgo combina la probabilidad de que ocurra un evento negativo con cuánto daño causaría (impacto).
03 El planeamiento de la administración de riesgos es un proceso continuo. Incluye actividades de identificación, análisis o valoración, manejo o respuesta y monitoreo y documentación de los riesgos.
04 En el planeamiento de los riesgos se desarrolla una estrategia de gestión, que incluye su proceso e implementación. Se establecen objetivos y metas, asignando responsabilidades para áreas específicas, identificando conocimientos técnicos adicionales necesarios, describiendo el proceso de evaluación de riesgos y las áreas a considerar, detallando indicadores de riesgos, delineando procedimientos para las estrategias del manejo, estableciendo métricas para el monitoreo y definiendo los reportes, documentos y las comunicaciones necesarios.
05 El planeamiento de la administración de riesgos puede ser específico en algunas áreas, como en la asignación de responsabilidades y en la definición del entrenamiento necesario que el personal debe tener para un mejor manejo y monitoreo de los riesgos, entre otros.
06 La administración apropiada de los riesgos tiende a reducir la probabilidad de la ocurrencia y del impacto negativo de éstos y muestra a la entidad cómo debe ir adaptándose a los cambios.
2.2. Identificación de los riesgos
En la identificación de los riesgos se tipifican todos los riesgos que pueden afectar el logro de los objetivos de la entidad debido a factores externos o internos. Los factores externos incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las selecciones que realiza la administración e incluyen la infraestructura, personal, procesos y tecnología.
Comentarios:
01 La metodología de identificación de riesgos de una entidad puede comprender una combinación de técnicas vinculadas con herramientas de apoyo. Las técnicas de identificación de riesgos, deben tomar como base eventos y tendencias pasados así como técnicas de prospectiva en general.
02 Es útil agrupar en categorías los riesgos potenciales mediante la acumulación de los eventos que ocurren en una entidad en los procesos claves (estratégicos y operativos), en las actividades críticas, en las fuentes de información, en los ciclos de vida de diferentes procesos, en juicios de expertos, por contexto, entre otros. El titular y funcionarios deben desarrollar un entendimiento de las interrelaciones que existen entre los riesgos, no solo consiguiendo información detallada como base para su valoración, sino también realizando ejercicios de prospectiva, de manera que se vea plasmado en su gestión.
03 El proceso de identificación de riesgos debe tener como entradas tanto la experiencia de la entidad en materia de impactos derivados de hechos ocurridos como futuros.
04 La técnica denominada Juicio de Expertos no solo es aplicable a la identificación de riesgos, sino también a la ejecución de pronósticos y a la toma de decisiones. Las más usadas son el método Delphi y la técnica del Grupo Nominal.
05 Se debe identificar los eventos externos e internos que afectan o puedan afectar a la entidad. Dichos eventos, si ocurren, tienen un impacto positivo, negativo o una combinación de ambos. Por lo tanto, los eventos con signo negativo representan riesgos y requieren de evaluación y respuesta por parte del órgano competente de la entidad. De otro lado, los eventos con signo positivo representan oportunidades y compensan los impactos negativos de los riesgos. En términos generales, una fuente de identificación son los análisis de fortalezas-oportunidades-debilidades-amenazas que realizan las entidades como parte del proceso de planeamiento estratégico, en tanto éstos hayan sido correctamente elaborados.
2.3. Valoración de los riesgos
El análisis o valoración del riesgo le permite a la entidad considerar cómo los riesgos potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias.
Comentarios:
01 La administración debe valorar los riesgos a partir de dos perspectivas: probabilidad e impacto. Probabilidad representa la posibilidad de ocurrencia, mientras que el impacto representa el efecto debido a su ocurrencia. Estos estimados se determinan usando tanto datos de eventos pasados observados, los cuales pueden proveer una base objetiva en comparación con los estimados subjetivos, como técnicas prospectivas.
02 La metodología de análisis o valoración del riesgo de una entidad debe normalmente comprender una combinación de técnicas cualitativas y cuantitativas. Las técnicas cualitativas consisten en la evaluación de la prioridad de los riesgos identificados usando como criterios la probabilidad de ocurrencia, el impacto de la materialización de los riesgos sobre los objetivos, además de otros factores tales como la tolerancia al riesgo y costos, entre otros. La administración a menudo usa técnicas cualitativas de valoración cuando los riesgos no son cuantificables o cuando el uso de datos no son verificables. Las técnicas cuantitativas son usadas para analizar numéricamente el efecto de los riesgos identificados en los objetivos. La selección de las técnicas debe reflejar el nivel de precisión requerido y la cultura de la unidad de negocios.
03 La administración debe usar métricas de desempeño para determinar en qué medida se están logrando los objetivos. Puede ser útil usar la misma unidad de medida cuando se considera el impacto potencial de un riesgo para el logro de un objetivo específico. La entidad puede valorar la manera cómo los riesgos se correlacionan positivamente, combinan e interactúan para crear probabilidades o impactos significativamente diferentes. Si bien el impacto individual puede ser bajo, una correlación positiva de éstos puede tener impacto mayor. Cuando los riesgos no están positivamente correlacionados, la administración los valora individualmente; cuando es probable que éstos ocurran en múltiples unidades de negocio, la gestión puede valorarlos y agruparlos en categorías comunes. Usualmente existe un rango de resultados posibles que se asocian con un riesgo, y la gestión los considera como base para desarrollar una respuesta.
04 Se debe estimar la frecuencia con que se presentarán los riesgos identificados, cuantificar la probable pérdida que pueden ocasionar y calcular el impacto que pueden tener en la satisfacción de los usuarios del servicio. De este análisis, se derivarán los objetivos específicos de control y las actividades asociadas para minimizar los efectos de los riesgos identificados como relevantes.
05 Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos, debiendo considerar al menos una estimación de su frecuencia, probabilidad de ocurrencia y una cuantificación de los efectos resultantes o impacto.
2.4. Respuesta al riesgo
La administración identifica las opciones de respuesta al riesgo considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo beneficio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos.
Comentarios:
01 Una parte crítica de esta etapa es la estrategia de respuesta a los riesgos. Este proceso consiste en la selección de la opción más apropiada en su manejo (evitarlos, reducirlos, compartirlos y aceptarlos) y su debida implementación (a menudo aquellos con niveles de medio y alto riesgo).
02 Las respuestas al riesgo son evitar, reducir, compartir y aceptar. Evitar el riesgo implica el prevenir las actividades que los originan. La reducción incluye los métodos y técnicas específicas para lidiar con ellos, identificándolos y proveyendo una acción para la reducción de su probabilidad e impacto. El compartirlo reduce la probabilidad o el impacto mediante la transferencia u otra manera de compartir una parte del riesgo. La aceptación no realiza acción alguna para afectar la probabilidad o el impacto. Como parte de la administración de riesgos, la entidad considera para cada riesgo significativo las respuestas potenciales a partir del rango de respuestas. Esto da profundidad suficiente para seleccionar la respuesta y modificar su "status quo".
03 La administración de la entidad considera el riesgo como un todo y puede asumir un enfoque mediante el cual el responsable de cada unidad desarrolla una valoración compuesta de los riesgos y de las respuestas para esa unidad. Este punto de vista refleja el perfil de la unidad en relación con sus objetivos y sus tolerancias al riesgo.
04 La administración, luego de seleccionar una respuesta, vuelve a medir el riesgo sobre una base residual. Asimismo, debe reconocer que siempre existirá algún nivel de riesgo residual no solo porque los recursos son limitados, sino también por causa de la incertidumbre futura inherente y las limitaciones propias de todas las actividades.
Norma general para el componente actividades de control gerencial
El componente actividades de control gerencial comprende políticas y procedimientos establecidos para asegurar que se están llevando a cabo las acciones necesarias en la administración de los riesgos que pueden afectar los objetivos de la entidad, contribuyendo a asegurar el cumplimiento de estos. El titular o funcionario designado debe establecer una política de control que se traduzca en un conjunto de procedimientos documentados que permitan ejercer las actividades de control. Los procedimientos son el conjunto de especificaciones, relaciones y ordenamiento sistémico de las tareas requeridas para cumplir con las actividades y procesos de la entidad. Los procedimientos establecen los métodos para realizar las tareas y la asignación de responsabilidad y autoridad en la ejecución de las actividades. Las actividades de control gerencial tienen como propósito posibilitar una adecuada respuesta a los riesgos de acuerdo con los planes establecidos para evitar, reducir, compartir y aceptar los riesgos identificados que puedan afectar el logro de los objetivos de la entidad. Con este propósito, las actividades de control deben enfocarse hacia la administración de aquellos riesgos que puedan causar perjuicios a la entidad. Las actividades de control gerencial se dan en todos los procesos, operaciones, niveles y funciones de la entidad. Incluyen un rango de actividades de control de detección y prevención tan diversas como: procedimientos de aprobación y autorización, verificaciones, controles sobre el acceso a recursos y archivos, conciliaciones, revisión del desempeño de operaciones, segregación de responsabilidades, revisión de procesos y supervisión. Para ser eficaces, las actividades de control gerencial deben ser adecuadas, funcionar consistentemente de acuerdo con un plan y contar con un análisis de costo-beneficio. Asimismo, deben ser razonables, entendibles y estar relacionadas directamente con los objetivos de la entidad. Esta norma comprende: Procedimientos de autorización y aprobación; Segregación de funciones; Evaluación costo-beneficio; Controles sobre el acceso a los recursos o archivos; Verificaciones y conciliaciones; Evaluación de desempeño; Rendición de cuentas; Revisión de procesos, actividades y tareas; y, Controles para las Tecnologías de la Información y Comunicaciones (TIC).
3.1. Procedimientos de autorización y aprobación
La responsabilidad por cada proceso, actividad o tarea organizacional debe ser claramente definida, específicamente asignada y formalmente comunicada al funcionario respectivo. La ejecución de los procesos, actividades, o tareas debe contar con la autorización y aprobación de los funcionarios con el rango de autoridad respectivo.
Comentarios:
01 La autorización para la ejecución de procesos, actividades o tareas debe ser realizada sólo por personas que tengan el rango de autoridad competente. Las instrucciones que se imparten a todos los funcionarios de la institución deben darse principalmente por escrito u otro medio susceptible de ser verificado y formalmente establecido. La autorización es el principal medio para asegurar que las actividades válidas sean ejecutadas según las intenciones del titular o funcionario designado. Los procedimientos de autorización deben estar documentados y ser claramente comunicados a los funcionarios y servidores públicos. Asimismo, deben incluir condiciones y términos, de tal manera que los empleados actúen en concordancia con dichos términos y dentro de las limitaciones establecidas por el titular o funcionario designado o normativa respectiva.
02 La aprobación consiste en el acto de dar conformidad o calificar positivamente, por escrito u otro medio susceptible de ser verificado y formalmente establecido, los resultados de los procesos, actividades o tareas con el propósito que éstos puedan ser emitidos como productos finales o ser usados como entradas en otros procesos. Los procedimientos de aprobación deben estar documentados y ser claramente comunicados a los funcionarios y servidores públicos.
3.2. Segregación de funciones
La segregación de funciones en los cargos o equipos de trabajo debe contribuir a reducir los riesgos de error o fraude en los procesos, actividades o tareas. Es decir, un solo cargo o equipo de trabajo no debe tener el control de todas las etapas clave en un proceso, actividad o tarea.
Comentarios:
01 Las funciones deben establecerse sistemáticamente a un cierto número de cargos para asegurar la existencia de revisiones efectivas. Las funciones asignadas deben incluir autorización, procesamiento, revisión, control, custodia, registro de operaciones y archivo de la documentación.
02 La segregación de funciones debe estar asignada en función de la naturaleza y volumen de operaciones de la entidad.
Página siguiente |