Post on 15-Apr-2017
transcript
www.msmadrid.com PRECISE. PROVEN. PERFORMANCE.
Modelo de Organización y Gestión para la Prevención
y Control de RiesgosOctubre 2015
Presentación propiedad de MSMADRID. Todos los derechos reservados
Agenda•Algunos datos interesantes,
•El Control Interno, como buena práctica administrativa,
•Prácticas administrativas que impactan en el Modelo de Organización
y Gestión,
•Metodología para el diseño e implementación de un Modelo de
Organización y Gestión,
•Modelo de Organización y Gestión; conceptualización metodología y
entregables,
•Asesoramiento en Procesos de Gestión Empresarial; objetivos.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
2
Según algunas encuestas referentes a delitos económicos entre
2011/2014, en España un 35% de los encuestados declaró al menos un
fraude en los últimos 12 meses, 52% declaró un incremento de ese
delito. Un 64% de los delitos económicos fueron de origen interno, y de
estos en un 70% hubo más de un involucrado.
En la EU se incrementó un 39% y a nivel global un 43% durante los
pasados 5 años.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
3
De las empresas donde se sucedió un evento que hicieron cuando lo
detectaron?
Acciones contra el perpetrador interno:• Un 70% calificó un despido, un 64% tomó acción policial/civil, un
5% no hizo nada, un 11% lo amonestó, un 4% lo traslado
internamente.
Acciones contra el perpetrador externo:• Un 40% notificó a entes reguladores, un 63% tomó acción
policial/civil, un 32% no hizo nada, un 36% cesó relación comercial.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
4
Y…porqué hacemos tan poco: un 27% indicó que es costoso, un 17%
que no tiene valor, un 21% desconoce el valor de una revisión de
procesos y controles internos y un 25% simplemente no sabe.
Los tipos de fraude más comunes se identificaron el fraude fiscal 5%,
la manipulación contable 11%, transacciones no autorizadas 8%,
apropiación indebida de activos 38%, utilización indebida del crédito
16%.
Un 69% de los fraudes fue para mantener su estilo de vida, 34% por
inacción gerencial y 39% acciones anti-empresarial.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
5
6
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Presión y Motivación 68%
(1)
Racionalización 14%(3)
Oportunidad 18%(2)
Se han establecido tres condicionales básicas para que el fraude ocurra
En nuestro ecosistema empresarial debemos conocer cada proceso que
lo compone, los diferentes subprocesos que lo integran y la integración
de estos con el entorno tecnológico que lo soporta, y nos daremos
cuenta que muchos de nuestros procesos están profundamente
sustentados en personas más que en sistemas.
7
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Y cada persona muchas veces lo ejecuta de acuerdo a su criterio y
entendimiento, con procesos inadecuadamente definidos, muchas veces
violentando las políticas y normas internas así como los controles
internos existentes, usan herramientas de su conocimiento y dominio,
incluso sobreponiéndolas a los sistemas que soportan el proceso.
Esto lo conocemos como debilidades de control.
8
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
9
Los eventos de riesgo se enmascaran en esas debilidades de
control y la explotan abusando de niveles de los confianza, en el mal
uso de las costumbres empresariales, por la inacción gerencial o
todas las anteriores.
Las Organizaciones y sus Administradores deberán ser diligentes en
implementar un modelo eficiente de prevención y control, que
identifique los riesgos inherentes de los procesos, así como las
acciones de control preventivas y detectivas diseñadas para
minimizar el nivel de exposición a riesgos previamente identificados.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
La lección más importante de estas experiencias nos debe hacer
recapacitar acerca de lo expuesto y vulnerable de las
organizaciones ante la posibilidad cierta que no conocemos
totalmente nuestros riesgos, su impacto y que tan expuestos
estamos a ellos.
Esto requiere un nuevo enfoque orientado a la optimización de
la disponibilidad de nuestros activos críticos – gente, procesos,
data, tecnología e infraestructura -
10
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Plataforma Tecnológica
Sistemas de Gestión
BD RedesSO
Appl B Appl A
Reporte Financiero
Procesos de Negocios
Operativa Transaccional
Proceso A
Proceso B
Proceso C
Gob.Corporativo Ética, P&N
Internet
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
11
Regulaciones OP T, NIIF, CI, Legal, FI
Regulaciones Comunitarias
BC, AB&C, RSE, RMA
12
Lo que ha establecido la nueva modificación a la reforma del Código
Penal, es que en caso de que, por inexistencia o inobservancia de
un Modelo de Prevención y Control, se produzcan eventos que
expongan, vulneren o afecten a terceras personas naturales o
jurídicas, tanto la Empresa como sus Administradores serían
directamente responsables, así ninguno de estos hubiese sido
directa o indirectamente beneficiado de ese evento.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
13
Como prácticas más relevantes a riesgos, que pueden ser explotadas
partiendo de debilidades de control podremos citar:
Prácticas por descubrimiento y revelación de secretos: Descontrol
en documentos privados de clientes, empleados o proveedores, por
malas prácticas de clasificación de confidencialidad de documentos,
material de destrucción o de reciclaje. Malas prácticas de control y
custodia de documentos y archivos privados, discos duros y escáner y
fotocopiadoras.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
14
Prácticas relacionadas a estafas o delitos contra la propiedad y el
patrimonio: directamente relacionados con prácticas de control de
fraude, descontrol de ventas y cobranzas, inventarios, compras,
gastos no justificados, pago de comisiones a vendedores y terceros,
prácticas anti éticas relacionadas a Gobierno Corporativo.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
15
Mal uso y descontrol de datos y sistemas informáticos: Descontrol
de sistemas, aplicaciones y data. Descontrol de accesos, utilización de
claves genéricas de accesos, descontrol de uso de internet, monitoreo
de tráfico. Descontrol en detección y erradicación de virus internos que
infecten redes de clientes o proveedores. Descontrol de antivirus y
anti-spam internos.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
16
Prácticas que atentan contra la propiedad intelectual e industrial,
al mercado y a los consumidores: Descontrol de sistemas,
aplicaciones y licencias de uso, descontrol de descargas de películas,
música y aplicaciones desde internet u otros medios (USB/CD).
Descontrol de aplicaciones internas de uso de redes y aplicaciones de
oficina (Windows©, Outlook©, Office©, Adobe-PDF©, BD.)
© 2012 Microsoft Corporation. All Rights reserved, Adobe System Incorporated. All Rights reserved
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
17
Diligencia debida en prácticas de control de blanqueo de
capitales: Descontrol en el proceso de aceptación de clientes y
proveedores sin revisión de referencias de Directivas, de personas
públicamente expuestas, de principales clientes (práctica de conozca
a su cliente). Donaciones a ONG´s cuestionadas o con procedimientos
abiertos. Indefinición o inexistencia de prácticas o guías de control de
BC/FT para clientes y proveedores (Diligencia debida).
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
18
Prácticas y delitos contra la Hacienda Pública y contra la
Seguridad Social: Facturas no declaradas al fisco, facturación
incompleta o a destiempo sustentada en anticipos, facturas
rectificativas sin sustento real, donaciones y declaración de pérdida o
daño de inventario irreales o inadecuadamente justificadas.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
19
Prácticas de tráfico de influencias: Registro de anticipos, viáticos o
dietas o gastos sin justificación. Gastos de publicidad y viajes
internacionales para terceros y relacionados no soportados o como
retribución por favores, pago de comisiones sin soporte.
Control y prácticas anti corrupción en las transacciones
comerciales internacionales: Descontrol en relaciones comerciales
e inversiones en países con altos niveles de corrupción, o
considerados paraísos fiscales. Viajes fastuosos, regalos de alto
valor, gastos elevados recurrentes sin sustento.
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
20
El modelo de Prevención y Control que MSMADRID desarrolla, se respalda en las prácticas internacionalmente aceptadas para el diseño, desarrollo e implementación de modelos de gestión y control interno de riesgos
•Identificar y evaluar el marco de cumplimiento regulatorio•Identificar riesgos internos y del entorno
•Evaluar procesos críticos•Identificar controles y cualificar sus debilidades.•Determinar el nivel de exposición
•Identificar y proponer mejoras, cambios o adecuaciones en procesos, en marco regulatorio o en sistemas de gestión
•Seguimiento y auditoria periódica
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Metodología
Evaluación del Modelo de Gestión y Control
El enfoque metodológico utilizado para la evaluación de control interno está sustentado en el enfoque propuesto por el Committee of Sponsoring Organizations (COSO) para la evaluación de procesos de negocios y para las tecnologías de información indicadas por la metodología COBIT o Control Objetives for Information and related Technologies .
Ambos enfoques metodológicos, establecen una serie de lineamientos que las organizaciones deben establecer a fin de ofrecer una garantía razonable que los riesgos empresariales son conocidos y que se han establecido y definido las actividades de control necesarias para minimizar el nivel de exposición y los impactos que pudiesen ocasionarse.
Estas metodologías, permiten sustentándose en la evaluación y entendimiento de los procesos empresariales operacionales y estratégicos, determinar en una primera instancia, que tan expuesta está la organización ante eventos de riesgo que puedan exponerlos a eventos contra el patrimonio, regulatorio, reputacional, de practicas de competencia, entre otros.
21
La primera etapa del proyecto la constituye la definición del Modelo de Gestión y Control, donde se evaluará el ambiente actual de gestión y control, identificando las actividades de control interno existente, su eficiencia y vigencia operacional así como las debilidades por carencia o ineficiencias de estos, emitiendo una serie de recomendaciones y sugerencias que permitan a la organización definir los planes de acción para minimizar los niveles de exposición a riesgos.
En una segunda fase, consistirá en hacer seguimientos semestrales a los controles internos definidos en el Modelo de Gestión, a fin de determinar que las debilidades anteriormente detectadas han sido solventadas o en caso contrario conocer las actividades que se están desarrollando para minimizar el impacto detectado y actividades preventivas o detectivas sobre el mismo.
Para la evaluación del Modelo de Gestión, se ejecutarán una serie de actividades como la documentación del Mapa de Procesos y Flujo del Proceso, el cual permite no solo documentar el mismo, sino es usado como mecanismo para identificar la debilidades del control
22
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Metodología
Durante el proceso de levantamiento del proceso e identificación de los controles internos, simultáneamente se completará la Matriz de Control y Riesgos, en los cuales se cualifica una serie de eventos que permite finalmente concluir sobre el nivel de exposición e impacto de riesgos evaluados.
El resultado de la matriz expondrá una serie de indicadores de medición, control e impacto a fin que la Administración pueda en base las sugerencias y recomendaciones tomar las acciones que le permitan minimizar los niveles de exposición.
Finalmente se entrega un informe detallado del trabajo realizado, gráficas, matrices, mapas y flujos de procesos y diagramas de causa-efecto cuando aplique.
23
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Metodología
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Metodología
24
25
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Mapa de Procesos
26
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Flujograma de Procesos
27
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Matriz de Riesgo
28
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Gráfica Exposición a Riesgos
29
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Gráfico Causa - Efecto
2.00 2.50 3.00 3.50 4.00 4.50 5.000.00
0.50
1.00
1.50
2.00
2.50
3.00
3.50
4.00
4.50
Efectividad del control
Impacto en el negocio
BAJO
ALTO
ALTO
A
GF
ED
CB
LEYENDA
A – OperacionesB – ProcuraC – AlmacénD – Capital humanoE – CobranzasF – FacturaciónG – Contabilidad
BAJO
30
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
Gráfica Nivel de Exposición Corporativo
Al margen de la normativa aprobada, el Modelo de Organización y
Gestión no solo ayudará a detectar riesgos internos, sino que mejorará
la eficiencia de nuestros procesos y operaciones de gestión
empresarial.
No es una receta que aplica a todos por igual
No es un seguro contra todo riesgo
Es una buena práctica gerencial
31
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos
“Todas las organizaciones estamos expuestas a diversos tipos de riesgo los cuales provienen de variados ambientes. Una evaluación objetiva, proactiva y efectiva del riesgo, así
como la adecuada gestión del mismo, no sólo nos ayudará a detectarlo oportunamente y a protegernos de él, sino
convertirlo en una oportunidad de negocios. “
Crecer es un riesgo que todos debemos afrontar con sabiduría
32
Consultoría de riesgo y
control interno
Análisis de data, evaluación, diagnóstico, optimización y diseño de actividades de control interno que minimicen
los niveles de exposición a riesgos inherentes a los procesos de negocio.
Consultoría gerencial
Formación ycapacitación
Formación y capacitación en el análisis, y detección de debilidades de control más comunes en los procesos de
negocio.
Evaluación , diseño y priorización de las actividades de alineación estratégica empresarial, así como de sistemas
de gestión y su documentación
Asesoramiento en Procesos de Gestión
Empresarial
Líneas de servicios – sinopsis
33
Consultoría de riesgo y control
interno
Evaluación y diagnóstico de
procesos y sistemas de
gestión
Asistencia en diseño,
adecuación y optimización de
procesos
Análisis y evaluación de data
(contenido de la información) CAAT
Consultoría gerencial
Alineación estratégica de Unidades de
Negocio
Evaluación y selección de
sistemas informáticos de
gestión empresarial
Documentación de procesos
Formación ycapacitación
Charlas, Seminarios y Talleres de formación y capacitación
34
Asesoramiento en Procesos de Gestión
Empresarial
Líneas de servicios – sinopsis
35
Responsable:
Carlos Alberto Barrioscarlos.barrios@msmadrid.comCelular: +34 616 327 443
General Martínez Campos 42, bajo 1° y bajo 2°28010 MADRID. ESPAÑATeléfono: +34 91 310 00 52/ +34 913 10 43 46Fax: +34 91 319 17 36/ +34 91 308 34 92
Modelo de Organización y Gestiónpara la Prevención y Control de Riesgos