Vincent Tophoff

Gestión de Riesgos y Control Interno en
el Sector Público
Vincent Tophoff, Federación Internacional

de Contadores (IFAC)
Contraloría General de la República (CGR)
Seminario Un Aporte de Gobernanza

Distinto: El Control Interno
Santiago, Chile. Enero, 2015
Page 1 | Confidential and Proprietary Information

Federación Internacional de Contadores
• Organización mundial de la profesión contable

• Apoya a los contadores profesionales en las siguientes áreas:
– Gobernabilidad y ética
– Gestión de riesgos y control interno (GR / CI)
– Sostenibilidad y responsabilidad corporativa
– Gestión financiera y de rendimiento
– Informes de negocios
– Promover y contribuir al valor de los contadores profesionales
• Todas las áreas de importancia crítica para los contadores
profesionales (y para las Entidades Fiscalizadoras Superiores
(EFS) y entidades del sector público también ...)

Relación entre la gestión del sector público,
gestión de riesgos y control interno
• ¿Cómo crees que la

gobernanza, gestión de
riesgos y el control
interno están
relacionados unos con
otros?
“Sé la diferencia entre lo bueno y lo malo, pero

eso no me ha detenido”

Relación entre gestión del sector público, GR y CI
Gobernanza Gestión de Riesgos Control Interno

Programa de hoy
GESTIÓN DE
 Las Peligros – Sentando las RIESGOS
Bases
 El pensamiento actual
 Estándares COSO / ISO 31000
 Madurez de gestión de riesgos
y control interno
 "Llamado a la Acción“ de las
Entidades Fiscalizadoras
Superiores (EFS)
 Preguntas y respuestas

Los Peligros – Sentando las Bases

Graves fallas en el control de riesgos
y control interno
• Tener una mentalidad de solamente de cumplimiento.

• Tratar el riesgo únicamente como algo negativo y pasar por
alto que las entidades tienen que asumir riesgos en la
búsqueda de sus objetivos.
• Gestión de riesgos y control interno demasiado centrados en la
información financiera externa.
• Visualizar la gestión de riesgos y el control interno como
funciones o procesos separados.
• Visualizar la gestión de riesgos y el control interno como
predominantemente importantes para las operaciones.

Lo bueno versus lo malo en las prácticas de
control de riesgos (CR) y control interno (CI)
y control interno
CR / IC como objetivo en sí mismo vs. CR / IC para ayudar a lograr los objetivos
Impulsadas por los auditores / personal vs. Impulsadas desde arriba hacia abajo
Basadas en reglas vs. Basadas en rendimiento & principios
Utilización de sistemas existentes vs. Adaptadas a la entidad
Centradas en la minimización
de la pérdida vs. También centradas en la creación de valor
Controles principalmente duros vs. Reconocimiento de la cultura y actitudes
Impuestas vs. Implementadas orgánicamente
Aisladas, agregadas vs. Integradas, incorporadas
Estáticas, anticuadas vs. Dinámicas, en evolución
Consideradas como gastos generales vs. Consideradas como una buena inversión
Abandonadas vs. Integradas en la gobernabilidad

Crisis global
La crisis mundial, según una investigación de IFAC, fue

causada por:
 Fallas éticas
 Gobernanza, gestión de riesgos en teoría, pero no en espíritu
 Sobrecarga reglamentaria, lo que lleva al cumplimiento legalista
 Sistemas de control de riesgo demasiado centrados sólo en controles de
información financiera
Las conclusiones de la crisis:

 Las entidades deben adoptar un enfoque más amplio en la gestión de riesgos
y control interno
 La aplicación adecuada de las normas y principios de gestión de riesgos y
control interno es a menudo el problema

El pensamiento actual

El pensamiento actual sobre el riesgo
El lugar más seguro para un barco ...
... Es permanecer en el puerto

Pero esto no es para lo que se construyeron los barcos ...

El pensamiento actual sobre el riesgo
... En cambio, los barcos fueron construídos para el

transporte de personas y mercancías a otros destinos…
… Y eso implica riesgo…
Así que, ¿cuál es el riesgo?

• El riesgo hoy en día se define como "el efecto de la
incertidumbre sobre (el establecimiento y logro de) los
objetivos de la entidad" (ISO 31000)
• Ningún Objetivo = Ningún riesgo. Por lo tanto, el riesgo
siempre debe evaluarse a la luz de (el establecimiento y
logro de) los objetivos de la entidad!

El pensamiento actual sobre gestión de riesgos
P: “¿Cómo aborda su entidad la incertidumbre en la

consecución de sus objetivos estratégicos?”
R: “A través de nuestro sistema de gestión estratégica;”
– La gerencia de línea se dedica al ciclo planificar-hacer-
verificar-actuar
– Se centra en la consecución de los objetivos de la entidad
P: “¿Cómo aborda su entidad el riesgo?”
R: “A través de nuestro sistema de gestión de riesgos;”
– Sistemas de riesgos y de control (separados), funcionarios,
registro de riesgos
– Centrado en la mitigación del riesgo

¿Qué nos dice este ejemplo de nosotros?
• Que nosotros, los profesionales de la gestión de

riesgos, hemos logrado grandes avances en el área
de gestión de riesgos y control interno ...
• ... Pero que, en el proceso, hemos perdido a las otras

personas de nuestra entidad!
Gestión de riesgos
El resto de la entidad

Cinco líneas de defensa:


1. Jugadores
2. Capitán
3. Entrenador
4. Arbitro
5. FIFA


1. Jugadores (Equipo de operaciones)
2. Capitán (Supervisor)
Línea
3. Entrenador (Gerente de Riesgos)
4. Arbitro (Auditoría Interna)

Soporte
5. FIFA (Controlaría)

El pensamiento actual sobre el gestor de riesgos
El mayor riesgo que enfrenta

una entidad:
La desconexión entre los
responsables de la consecución
de los objetivos estratégicos
frente a los responsables de la
gestión del riesgo
Solución:
Hacer a los responsables de la
consecución de los objetivos
estratégicos también
responsables de la gestión de los
riesgos relacionados! No sé nada sobre el tema, pero estoy feliz
de darte mi opinión de experto.
El objetivo clave del gestor de riesgos es garantizar que la gestión
de riesgos esté totalmente integrada a la línea de gerencia!

El pensamiento actual sobre control interno
Desde Hacia
Frenar la entidad Activar la entidad
Buen control interno = La mano invisible

Marcos COSO
(también adoptado por INTOSAI)

Cubo de control interno COSO 2013
Evaluación de Riesgos

Cubo COSO GRI 2004
¡Será revisado
pronto!

CI COSO vs. GRI COSO
Evaluación de Riesgos
Ampliado en 3
componentes
Control Interno - Marco Integrado Gestión de Riesgos Empresarial - Marco Integrado

Estándar Gestión de Riesgos ISO 31000

Principios, marco y proceso ISO 31000

Principios de Gestión de riesgos ISO 31000
• Crea Valor
• Parte integral de los procesos de organización
• Parte de la Toma de Decisiones
• Aborda explícitamente la incertidumbre
• Sistemático, estructurado y oportuno
• Sobre la base de "la mejor información disponible"
• Con capacidad de adaptación
• Considera factores humanos y culturales
• Transparente e inclusivo
• Dinámico, iterativo y da respuesta a los cambios
• Facilita la mejora continua

Marco de gestión de riesgos ISO 31000
Mandato y Compromiso
Diseño del Marco
Mejora Continua del Implementación de la

Marco Gestión de Riesgos
Supervisión y Revisión del

Marco

Proceso de gestión de riesgos ISO 31000
Establecer el Contexto
Comunicación y Consulta
Calificación de riesgo
Supervisión y Revisión
Identificación de Riesgos
Para ser
Análisis de Riesgos
aplicado en todos
los procesos de
Evaluación de Riesgos toma de decisiones
Tratamiento de Riesgos
y posterior
ejecución!

GRI COSO vs. ISO 31000
Muchas entidades utilizan tanto COSO como ISO 31000...
Muy corto para ser

realmente
entendido
COSO ISO 31000
Largo vs. Corto
Centrado en el GRI vs. Enfoque general a la gestión de riesgos
Un cubo vs. Principios, marco y proceso
Sesgado a lo negativo vs. El riesgo puede ser positivo o negativo
El riesgo ya existe vs. Riesgo ligado a la consecución de objetivos
Riesgos y oportunidades vs. Oportunidades también fuente de riesgo
Más proceso secuencial vs. Proceso más iterativo
… El mayor desafío es que los conceptos no están alineados

Madurez de gestión de riesgos y control
interno

Niveles de madurez de GR/CI
Nivel 4:
GR / CI
Nivel 3: Integrados
GR / CI como
Nivel 2: un silo
Solo control
Interno
Gestión de
Nivel 1:
Control interno riesgos,
No – existe
o no es complementado incluyendo el
ad hoc control interno,
Control interno con la gestión
formal, de riesgos, pero integrados en el
aun sistema de
Gestión de Centrado
considerados gestión de la
Crisis principalmente
en la como elementos organización
información separados
financiera
externa

El objetivo principal de una entidad del sector
público
Tiempo
• No es tener controles
efectivos ...
• No es gestionar eficazmente
el riesgo ...
Es más bien
• Establecer correctamente y
lograr sus objetivos
• Evitar demasiadas sorpresas
en el camino
Objetivo
• Y crear valor sostenible

Argumento para la integración de gestión de
riesgos y CI
• Por lo tanto, la gestión de riesgos y control interno no son

objetivos en sí mismos, sino medios para un fin ...
… Tomar decisiones sólidas (FODA) y ejecutar acciones

posteriores para lograr los objetivos de la entidad, sin
sorpresas!
... La gestión de riesgos y control interno, por lo tanto

deben estar plenamente integrados en el sistema general
de gestión de una entidad del sector público, incluido el
gobierno, desarrollo de estrategias y planificación,
operaciones, elaboración de informes y la rendición de
cuentas

El riesgo es inherente al establecer los objetivos
Nivel de Incertidumbre Tiempo
Riesgo Controles
Objetivo

Alcanzar los objetivos mediante la planificación y
control 1
Ciclo de Planificación y
Control

Alcanzar los objetivos mediante la planificación y control 2
V
C
P
V
V
H
H
D
H
Ciclos estratégicos, tácticos y

operacionales de planificación y
control

Alcanzar los objetivos mediante la planificación y
control 3
Tiempo
Ciclo de Planificación y Control en Espiral

GR/CI constituye una parte integral para lograr los
objetivos
Nivel de Incertidumbre
Tiempo
Nivel
Estratégico
Nivel
Táctico
Riesgo Controles
Nivel
Operacional
Objetivo Page 38 | Confidential and Proprietary Information

Pensamientos sobre la evaluación de la madurez
de GR/CI
• Utilizar los marcos

• Considerar el desarrollo de buenas prácticas
• Realizar un análisis de diferencias
• Determinar el rendimiento
• Revisar los resultados de auditoría
• Analizar serias fallas
• ...
• Moverse continuamente para mejorar!

"Llamado a la Acción“

"Llamado a la Acción“
Ustedes juegan un papel importante en la aplicación de

una buena gestión de riesgos y control interno en las
entidades del sector público:
• Desarrollan las competencias pertinentes sobre GR / CI (incl. Las

normas y directrices de INTOSAI, marcos COSO, ISO 31000)
• Educan a los órganos rectores, los comités de auditoría, equipos
directivos y personal de las entidades del sector público pertinentes
• Abogan por la importancia de una buena GR / CI: totalmente
integrado en el sistema general de la gestión de la entidad
• Apoyan a las entidades del sector público a través la provisión de
garantías alta calidad, consejos y visión

Su Rol - #1
Abogan por la importancia de una buena gestión

de riesgos:
• Ustedes se comunican con el liderazgo del sector público
de la entidad
• La actitud y las acciones de ustedes establecen el tono
para una buena gestión de riesgos en las entidades del
sector público
• ¡Promueven la integración de la gestión de riesgos en la
línea de gerencia de una entidad del sector público!
• El elemento más importante: hacen GR/CI parte de
todos los procesos de toma de decisiones y la posterior
ejecución en la entidad!

Su Rol - #2
Apoyan a la línea de gerencia, proporcionando la

garantía de alta calidad, asesoramiento y visión:
• Las decisiones se deben tomar solamente con la

comprensión explícita de los riesgos asociados y sus posibles
consecuencias para el logro de los objetivos de la entidad
• Por lo tanto, los tomadores de decisiones necesitan

información relevante y confiable para sus procesos de toma
de decisión y de control

Las principales conclusiones
• Hay muchas fallas en la gestión de riesgos y las prácticas

actuales de control interno
• El logro de los objetivos de la entidad es el objetivo general; el
riesgo es parte inherente de este proceso
• La gestión de riesgos debe, por lo tanto, estar plenamente
integrada en el sistema de gestión de la entidad
• Ustedes apoyan a GR/CI de diversas maneras en las entidades
del sector público que supervisan
• IFAC apoya a contadores profesionales / CGR
• Sin embargo, sin importar la orientación proporcionada ...

Siempre habrá algunos ...
…que lo harán a su manera!


Vincent Tophoff

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Vincent Tophoff

Cargado por

Copyright:

Formatos disponibles

Gestión de Riesgos y Control Interno en

Vincent Tophoff, Federación Internacional

Contraloría General de la República (CGR)

Seminario Un Aporte de Gobernanza

Santiago, Chile. Enero, 2015

Page 1 | Confidential and Proprietary Information

• Organización mundial de la profesión contable

Page 2 | Confidential and Proprietary Information

• ¿Cómo crees que la

“Sé la diferencia entre lo bueno y lo malo, pero

Page 3 | Confidential and Proprietary Information

Gobernanza Gestión de Riesgos Control Interno

Page 4 | Confidential and Proprietary Information

Page 5 | Confidential and Proprietary Information

Page 6 | Confidential and Proprietary Information

• Tener una mentalidad de solamente de cumplimiento.

Page 7 | Confidential and Proprietary Information

Page 8 | Confidential and Proprietary Information

La crisis mundial, según una investigación de IFAC, fue

Las conclusiones de la crisis:

Page 9 | Confidential and Proprietary Information

Page 10 | Confidential and Proprietary Information

El lugar más seguro para un barco ...

... Es permanecer en el puerto

Page 11 | Confidential and Proprietary Information

... En cambio, los barcos fueron construídos para el

… Y eso implica riesgo…

Así que, ¿cuál es el riesgo?

Page 12 | Confidential and Proprietary Information

P: “¿Cómo aborda su entidad la incertidumbre en la

Page 13 | Confidential and Proprietary Information

¿Qué nos dice este ejemplo de nosotros?

• Que nosotros, los profesionales de la gestión de

• ... Pero que, en el proceso, hemos perdido a las otras

Page 14 | Confidential and Proprietary Information

Cinco líneas de defensa:

Page 15 | Confidential and Proprietary Information

Cinco líneas de defensa:

Page 16 | Confidential and Proprietary Information

Cinco líneas de defensa:

3. Entrenador (Gerente de Riesgos)

4. Arbitro (Auditoría Interna)

Page 17 | Confidential and Proprietary Information

El mayor riesgo que enfrenta

Page 18 | Confidential and Proprietary Information

Frenar la entidad Activar la entidad

Buen control interno = La mano invisible

Page 20 | Confidential and Proprietary Information

Page 21 | Confidential and Proprietary Information

Page 22 | Confidential and Proprietary Information

Control Interno - Marco Integrado Gestión de Riesgos Empresarial - Marco Integrado

Page 23 | Confidential and Proprietary Information

Page 24 | Confidential and Proprietary Information

Page 25 | Confidential and Proprietary Information

Page 26 | Confidential and Proprietary Information

Diseño del Marco

Mejora Continua del Implementación de la

Supervisión y Revisión del

Page 27 | Confidential and Proprietary Information

Page 28 | Confidential and Proprietary Information

Muchas entidades utilizan tanto COSO como ISO 31000...

Muy corto para ser

… El mayor desafío es que los conceptos no están alineados