2. Norma General Para el Componente
Ambiente de Control
Un entorno organizacional favorable al
ejercicio de buenas
prácticas, valores, conductas y reglas
apropiadas, para sensibilizar a los
miembros de la entidad y generar una
cultura de control interno .
buenas prácticas,
valores, conductas y
reglas apropiadas
Contribuyen
fortalecimiento de
políticas que
conducen al logro de
los objetivos
institucionales
El titular, funcionarios y miembros de
la entidad deben considerar como
fundamental la actitud asumida
respecto al control interno.
actitud fija el clima organizacional
provee disciplina a través de la
influencia que ejerce sobre el
comportamiento del personal
2
3. Difundir mediante algún medio (Ejemplo charla, seminario,
taller, comunicados, entre otros)
La entidad debe de contar con algún documento interno que
precise los principios, valores, obligaciones y prohibiciones que
regulen el comportamiento de los funcionarios y servidores
(Ejem.: código de ética, código de conducta, entre otros)
La entidad debe de contar con procedimientos que definan
los perfiles de los cargos o puestos de trabajo.
La entidad debe de contar con procedimientos
documentados para la administración de RRHH
-Ambiente de Confianza
-Personal Competente
-Planificación
-Delegación de Autoridad
4. Contenido
de A.C
FILOSOFÍA DE LA
DIRECCIÓN:
comprende
la
conducta y actitudes
que
deben
caracterizar a la
gestión de la entidad
por medio de una
actitud abierta hacia
el aprendizaje y las
innovaciones
INTEGRIDAD
Y
VALORES ÉTICOS:
el
titular
y
funcionarios de la
entidad deben de
mantener
una
actitud de apoyo
permanente
hacia el C.I con :
La integridad y
valores éticos
establecidos en
la entidad
una
conducta
orientada hacia los
valores y la ética
El
titular
o
funcionario
Debe
hacer entender que
cada
miembro
cumple
un
rol
importante dentro
de la entidad
ESTRUCTURA
ORGANIZACIONAL:
ADMINISTRACIÓN
ESTRATÉGICA:
El titular o funcionario
designado debe:
Se entiende
desarrollar, aprobar y
actualizar la estructura
organizativa
al proceso de
planificar, con
componentes de
visión, misión,
metas
y
objetivos
estratégicos
contribuya
al
cumplimiento de sus
objetivos y los objetivos
de los planes operativos
anuales
toda entidad
debe buscar
Para ello debe analizarse
Los principios
y
valores
éticos
son
fundamentale
s
para
el
ambiente de
control de las
entidades
tender a la
elaboración
de sus planes
estratégicos y
operativos
•
•
•
•
la eficacia de los procesos
operativos.
la satisfacción de los clientes,
usuarios o ciudadanía.
la
identificación
de
necesidades y recursos para
las operaciones futuras.
los canales de comunicación y
coordinación
ADMINISTRACIÓN
DE LOS RECURSOS
HUMANOS:
El titular o funcionario
designado debe definir
políticas
y
procedimientos
adecuados
que
garanticen la correcta
selección, inducción y
desarrollo del personal.
En el desarrollo de
personal considera
actividades
de
capacitación
y
formación
que
permitan al personal
aumentar
y
perfeccionar
sus
capacidades
y
habilidades.
4
5. .
COMPETENCIA
PROFESIONAL:
El
titular
o
funcionario
designado debe
reconocer como
elemento esencial
la competencia
profesional
del
personal
La
competencia
incluye
el
conocimiento,
capacidades
y
habilidades
necesarias
para
ayudar a asegurar
una actuación ética,
ordenada,
económica, eficaz y
eficiente
ASIGNACIÓN DE
AUTORIDAD Y
RESPONSABILIDAD:
Es necesario asignar
claramente al personal sus
deberes y responsabilidades
ÓRGANO DE CONTROL
INSTITUCIONAL:
La existencia de actividades de
control interno a cargo de la
correspondiente unidad orgánica
especializada denominada Órgano de
Control Institucional
así como
establecer
niveles y reglas de autorización, así
como los límites de su autoridad
Los funcionarios y servidores tienen
la responsabilidad de mantenerse
actualizados en sus deberes y
responsabilidades
demostrando
preocupación e interés en el
desempeño de su labor.
la
identificación
de
necesidades
u
oportunidades de mejora
en los demás procesos de
la entidad
con la
confiabilidad
de
los
registros
y
estados
financieros, la calidad de
los productos y servicios y
la eficiencia de las
operaciones,
6. Norma General para el Componente Evaluación de Riesgos
Evaluación
de
Riesgos
Abarca el proceso de identificación y análisis de
los riesgos a los que está expuesta la entidad
para el logro de sus objetivos y la elaboración
de una respuesta apropiada a los mismos.
Proceso que identifica y analiza eventos
adversos a los que está expuesta la
entidad.
Esta evaluación permite evitar, reducir,
compartir y gestionar la mitigación o
eliminación del impacto causado.
6
7. RIESGO
Posibilidad de que un evento desfavorable
pueda afectar negativamente la habilidad ,
de la organización para el logro de sus
objetivos
ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la habilidad de
una organización para anticipar, priorizar y superar obstáculos
para alcanzar sus metas
CONTROL INTERNO
Es un proceso diseñado para proveer una
seguridad razonable con respecto al logro de los
objetivos de la entidad
8. Normas Básicas
para la Evaluación
de Riesgos:
Planeamiento de la
gestión de Riesgos
Identificación de
los Riesgos
Valoración de los
Riesgos
Respuesta al
Riesgo
9. Planeamiento de la gestión de riesgos
Planeamiento de la
gestión de Riesgos
(Planes y
métodos)
MODELO DE GESTIÓN DE
RIESGOS
• Estrategias
• Organización
• Políticas
• Criterios
Es el proceso de desarrollar y
documentar una estrategia clara,
organizada e interactiva para identificar
y valorar los riesgos que puedan
impactar en una entidad impidiendo el
logro de los objetivos. Se deben
desarrollar planes, métodos de respuesta
y monitoreo de cambios, así como un
programa para la obtención de los
recursos necesarios para definir acciones
en respuesta a riesgos
10. Identificación de
Riesgos
En la identificación de los
riesgos se tipifican todos
los riesgos que pueden
afectar el logro de los
objetivos de la entidad
debido
a
factores
externos o internos.
-Esta etapa busca identificar los riesgos que deben ser
gestionados
-Riesgo que no sea identificado, es excluido en cualquier
análisis posterior
-Qué puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de mis
funciones, genere pérdidas (tiempo, imagen, recursos,
etc.)
-Los riesgos se identifican independientemente de que
estén bajo el control de la entidad o no
La identificación de los
riesgos podrá darse en el
nivel de entidad (riesgos de
carácter general) y en el
nivel
de
procesos
(afectación a los procesos).
Existen
varias
herramientas y técnicas
para la
identificación de riesgos
11. Herramientas y Técnicas
de identificación de riesgos
Técnicas de Diagramación
Técnicas de Recopilación de
Información
Diagrama
causa/efecto
Tormenta de Ideas:
lista de riesgos
Técnica Delphi :
Opinión de expertos
Cuestionarios y encuesta
Entrevistas
Análisis FODA
Diagrama flujo de
proceso
Inventario de Riesgo
11
12. Clasificación del
riesgo
•
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad.
•
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad, incluye riesgos provenientes de deficiencias en los
sistemas de información, en la definición de los procesos, en la estructura de la
entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias,
oportunidades de corrupción e incumplimiento de los compromisos institucionales.
•
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que
incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos,
manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.
•
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con
los requisitos legales, contractuales, de ética pública y en general con su compromiso
ante la comunidad.
•
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la
tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y
soporte el cumplimiento de la misión.
13. Los factores externos incluyen factores económicos,
medioambientales, políticos, sociales y tecnológicos. Los
factores internos reflejan las selecciones que realiza la
administración e incluyen la infraestructura, personal,
procesos y tecnología
Identificación de los
Riesgos
•Externos:
–Cambio
-Desarrollo
tecnológico
de las
necesidades y
expectativas
del cliente
–Nuevas
- Competencia
-Nuevas
legislaciones y
legislaciones
regulaciones. y
regulaciones
–Catástrofes
naturales
• Internos:
Una
interrupción en
el
procesamiento
de sistemas de
información
– La calidad del
personal
contratado y
los métodos de
entrenamiento
y motivación
– Un cambio en
las
responsabilidades
de
la
administración
– La naturaleza
de las
actividades de
la entidad y el
acceso de los
empleados a
los activos
– Un comité
directivo o de
auditoría
ineficaz
14. Valoración de los
Riesgos
(Estima su probabilidad
de ocurrencia
El análisis o valoración de los riesgos le permite a la
entidad considerar cómo los riesgos potenciales
pueden afectar el logro de sus objetivos. Se inicia con
un estudio detallado de los temas puntuales sobre
riesgos que se hayan decidido evaluar. El propósito
es obtener la suficiente información acerca de las
situaciones de riesgo para estimar su probabilidad de
ocurrencia, tiempo, respuesta y consecuencias
¿Qué es lo que puede ocurrir? EVENTO
Identificar
y
medir
¿Cuál es su frecuencia? PROBABILIDAD
¿En cuánto nos afectará? IMPACTO
16. Respuesta al
Riesgo
La administración identifica las opciones de respuesta al riesgo
considerando la probabilidad y el impacto en relación con la
tolerancia al riesgo y su relación costo-beneficio. La consideración
del manejo del riesgo y la selección e implementación de una
respuesta son parte integral de la administración de los riesgos
(Evitar, reducir,
compartir
y aceptar)
Evitar el riesgo
Opciones
Reducir o mitigar el riesgo
Transferir o compartir el riesgo
Aceptar el riesgo
Acciones de mitigación para reducir el IMPACTO
Reducir el riesgo
y
manejar contingencia
Acciones de mitigación para reducir la PROBABILIDAD
Acciones y planes de contingencia
17. Evitar el Riesgo
Compartir el Riesgo
• Reducir la expansión de una línea de
• Compra de seguros contra pérdidas
productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con clientes,
proveedores u otros socios de negocio
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring) contra
pérdidas
• Aceptar los riesgos de acuerdo a los
niveles de tolerancia de riesgo
Mitigar el Riesgo
• Fortalecimiento del control interno en
los procesos del negocio
• Diversificación de productos
• Establecimiento de límites
operaciones y monitoreo
• Reasignación
de
capital
unidades operativas
a
las
entre
18. Nivel de Riesgo
Respuesta
Riesgo Inaceptable
Evitar el riesgo
Reducir el riesgo
Compartir o transferir
Riesgo Importante
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Riesgo Moderado
Reducir el riesgo
Evitar el riesgo
Compartir o transferir
Riesgo Tolerable
Asumir el riesgo
Reducir el riesgo
Compartir o transferir
Riesgo Aceptable
Asumir el riesgo
Acciones
Matriz de
Riesgo
Riesgo
Evaluación
riesgo
Respuesta al Riesgo
Nivel Valor
Riesgo Actividades Controles
Inherente
necesarios
Riesgo
residual Responsable
19. Norma General para el Componente
Actividades de Control Gerencial
tienen como propósito posibilitar una adecuada
Actividades
de Control
Gerencial
respuesta a los riesgos de acuerdo con los planes
establecidos para evitar, reducir, compartir y aceptar
los riesgos identificados que puedan afectar el logro
de los objetivos de la entidad.
Las actividades de control gerencial se dan en todos los procesos,
operaciones, niveles y funciones de la entidad
- Son políticas, procedimientos y prácticas establecidas para
asegurar que los objetivos de negocio se logren y que las
estrategias para mitigar riesgos sean ejecutadas
19
20. Normas Básicas para las
Actividades de Control
Gerencial
PROCEDIMIENTOS DE AUTORIZACIÓN
Y APROBACIÓN: La autorización para
la ejecución de procesos, actividades
debe ser realizada sólo por personas
que tengan el rango de autoridad
competente.
La aprobación consiste en el acto de
dar
conformidad
o
calificar
positivamente.
.Los procedimientos de aprobación
deben estar documentados y ser
claramente comunicados a los
funcionarios
SEGREGACIÓN DE FUNCIONES: Las
funciones asignadas deben incluir
autorización, procesamiento, revisión,
control,
custodia,
registro
de
operaciones
y
archivo
de
la
documentación.
EVALUACIÓN COSTO-BENEFICIO: una
evaluación
de
costo-beneficio
considerando como criterios la
factibilidad y la conveniencia en
relación con el logro de los objetivos
CONTROLES SOBRE EL ACCESO
A LOS RECURSOS O ARCHIVOS:
El acceso a los recursos o
archivos debe limitarse al
personal autorizado que sea
responsable por la utilización,
La restricción de acceso a los
recursos reduce el riesgo de la
utilización no autorizada o
pérdida
VERIFICACIONES
Y
CONCILIACIONES: los registros
deben realizarse periódicamente
para determinar y enmendar
cualquier error u omisión que se
haya
cometido
en
el
procesamiento de los datos
EVALUACIÓN DE DESEMPEÑO:
previene y corrige deficiencia o
irregularidad que afecte los
principios
de
eficiencia,
eficacia, economía y legalidad
aplicable.
RENDICIÓN DE CUENTAS: La
entidad, los titulares, funcionarios
están obligados a rendir cuentas
por el uso de los recursos y bienes
del Estado
DOCUMENTACIÓN DE PROCESOS,
ACTIVIDADES Y TAREAS: deben estar
debidamente documentados para
asegurar su adecuado desarrollo ,
facilitar la correcta revisión de los
mismos y garantizar la trazabilidad de
los productos o servicios generados.
REVISIÓN
ACTIVIDADES Y
periódicamente
asegurar que
reglamentos,
procedimientos
requisitos
DE
PROCESOS,
TAREAS: deben ser
revisados
para
cumplen con los
políticas,
vigentes y demás
CONTROLES PARA LAS TECNOLOGÍAS DE
LA INFORMACIÓN Y COMUNICACIONES:
incluyen controles que garantizan el
procesamiento de la información para el
cumplimiento misional y de los objetivos
de la entidad
21. Norma General para el Componente de
Información y Comunicación
Establece los criterios principales a
ser considerados en el diseño del
control interno institucional en
relación a la información y la
comunicación necesaria para la
correcta toma de decisiones y el
adecuado funcionamiento del
control interno.
Métodos, procesos, canales,
medios y acciones que, con
enfoque sistémico y regular,
aseguren el flujo de
información en todas las
direcciones con calidad y
oportunidad.
21
22. Normas Básicas para las
Información y
Comunicación
FUNCIONES Y CARACTERÍSTICAS
DE LA INFORMACIÓN
La
información es resultado de las
actividades
operativas,
financieras
y
de
control
provenientes del interior o
exterior de la entidad ,
características de confiabilidad,
oportunidad
INFORMACIÓN
Y
RESPONSABILIDAD:
La
información debe permitir a los
funcionarios
y
servidores
públicos
cumplir con
sus
obligaciones y responsabilidades
CALIDAD Y SUFICIENCIA DE LA
INFORMACIÓN: El titular o funcionario
designado
debe
asegurar
la
confiabilidad, calidad, suficiencia,
pertinencia y oportunidad de la
información que se genere y
comunique.
SISTEMAS
DE
INFORMACIÓN:
constituyen
un
instrumento
para
el
establecimiento de las
estrategias
organizacionales y, por
ende, para el logro de los
objetivos y las metas
FLEXIBILIDAD AL CAMBIO:
Los sistemas de información
deben
ser
revisados
periódicamente, y de ser
necesario, rediseñados cuando
se detecten deficiencias en sus
procesos y productos.
ARCHIVO INSTITUCIONAL :
se pone de manifiesto en la
necesidad de contar con
evidencia sobre la gestión
para una adecuada rendición
de cuentas.
COMUNICACIÓN INTERNA :
es el flujo de mensajes dentro de una
red a través de la estructura de la
entidad, con la finalidad de obtener
un mensaje claro y eficaz.
COMUNICACIÓN EXTERNA:
debe orientarse a asegurar que el
flujo de mensajes e intercambio de
información con los
clientes, usuarios y ciudadanía en
general, se lleve a cabo de manera
segura, correcta y
oportuna, generando confianza e
imagen positivas a la entidad
CANALES DE COMUNICACIÓN:
deben asegurar que la información
llegue a cada destinatario en la,
cantidad, calidad y oportunidad
requeridas para la mejor ejecución de
los procesos, actividades y tareas.