JJD Consultores

INFORME PARA COES - SINAC

PLAN DE IMPLANTACIN DE LOS PROCESOS DE GESTIN DE RIESGOS Y CONTROL INTERNO

PLAN DE DISEO E IMPLANTACIN DE INDICADORES DE GESTIN DE PROCESOS

Noviembre 2011

JJD Consultores

I2011-1002

Contenido
I. Resumen Ejecutivo ............................................................... Error! Bookmark not defined. I.1 Implantacin de Procesos de Gestin de Riesgos y Control Interno ... Error! Bookmark not defined. I.2 Diseo e implantacin de indicadores de gestin de procesos .... Error! Bookmark not defined. I.3 II. Conclusiones y Recomendaciones ................................. Error! Bookmark not defined.

Anexos ................................................................................. Error! Bookmark not defined. II.1 Plan de implantacin de procesos de Gestin de Riesgos y Control Interno ............... 3 Objetivos del trabajo ......................................................................................... 3 Documentacin de sustento .............................................................................. 3 Esquema conceptual del plan de implantacin .................................................. 4 Plan y Programa de trabajo ............................................................................... 9 Entregables ..................................................................................................... 14 Equipo de trabajo ............................................................................................ 17

II.1.1 II.1.2 II.1.3 II.1.4 II.1.5 II.1.6

II.2 Plan de Diseo e Implantacin de Indicadores de Gestin de Procesos .............. Error! Bookmark not defined. II.2.1 II.2.2 Objetivos del trabajo ............................................. Error! Bookmark not defined. Documentacin de sustento .................................. Error! Bookmark not defined.

II.2.3 Esquema conceptual del plan de Diseo e Implantacin ...... Error! Bookmark not defined. II.2.4 II.2.5 II.2.6 II.3 Plan y Programa de trabajo ................................... Error! Bookmark not defined. Entregables ........................................................... Error! Bookmark not defined. Equipo de trabajo .................................................. Error! Bookmark not defined.

Observaciones a los planes de trabajo presentados ...... Error! Bookmark not defined.

II.3.1 Implantacin de procesos de gestin de riesgos y control interno .............. Error! Bookmark not defined. II.3.2 Diseo e implantacin de los indicadores de gestin de procesos .............. Error! Bookmark not defined.

JJD Consultores
I.1

I2011-1002

Plan de implantacin de procesos de Gestin de Riesgos y Control Interno

Objetivos del trabajo

I.1.1

COES SINAC ha culminado el proceso de re ingeniera de la empresa en su conjunto y se encuentra en el proceso de certificacin ISO 9001 2008. En ese contexto requiere iniciar un proceso de implantacin de los procesos de gestin de riesgos y de control interno. De acuerdo a nuestra propuesta P2011-10001 del 04 de octubre de 2011, propuesta aceptada mediante la Orden de Servicio N 0002768 del 11 de Octubre de 2011, en el presente informe documentamos el plan de trabajo preparado para lograr la implantacin de los procesos de gestin de riesgos y control interno.

I.1.2

Documentacin de sustento

La informacin que se utiliz como base para la preparacin del plan fue la siguiente: y y y Documentacin de los procesos claves y de soporte de la organizacin. Documentacin conceptual de los procesos de Gestin de Riesgos y de Control Interno definidos para COES SINAC. Entrevistas con el jefe y personal de la OPT.

JJD Consultores
I.1.3 Esquema conceptual del plan de implantacin

I2011-1002

El esquema conceptual para la implantacin de los procesos de Gestin de Riesgos y Control Interno est dividido en las siguientes tres fases: I. DISEO, II. IMPLANTACIN, y III. EJECUCIN. El esquema planteado est basado en la metodologa de gestin de riesgos ERM (Enterprise Risk Management) y contiene las siguientes etapas para cada una de las fases indicadas:

1.3 Completar Polticas y Procesos GR

3.1 Definir el Perfil de Riesgos

1.1 Planificacin y revisin del diseo conceptual de GR y CI

1.2 Definicin del estado deseado GR

2.1 Preparacin de la organizacin

3.2 Preparar el Plan de Auditora

3.3 Ejecucin del Plan de Auditoria

1.4 Ajustes a Procesos de CI

2.2 Implantacin GR y CI

1. DISEO

2. IMPLANTACIN

3. EJECUCIN

A continuacin se describe el objetivo de cada una de las fases y el correspondiente de cada una de las etapas de cada fase:

JJD Consultores
1. DISEO

I2011-1002

La Fase de diseo tiene como objetivo hacer una revisin del nivel de documentacin actual de los procesos de Gestin de Riesgos y Control Interno, esto con la finalidad de poder determinar el nivel actual de definicin y documentacin y la necesidad de completarlos. As mismo poder definir, las polticas y procedimientos que son necesarios para llevar a cabo la implantacin. En esta fase se define el nivel de madurez que se desea alcanzar para los procesos de gestin de riesgos y control interno, y se estima el esfuerzo necesario para cerrar la brecha que existe entre la documentacin actual y la necesaria de acuerdo al nivel de madurez definido. Como informacin complementaria, el nivel de madurez de un proceso se define por el grado de perfeccionamiento y evolucin que este tiene. A continuacin se muestra el objetivo y descripcin de las etapas que conforman la fase de diseo: 1.1 Planificacin y revisin del diseo conceptual de Gestin de Riesgos (GR) y Control Interno (CI) El objetivo de esta etapa es realizar la planificacin detallada del proyecto y una revisin de la situacin actual relativa al nivel de definicin y documentacin de los procesos de Gestin de Riesgos y Control Interno definidos y documentados. Esta etapa est compuesta por tres partes principales: la primera consiste en planificar detalladamente el proyecto, tomando como base la informacin contenida en el presente informe. En esta primera parte se realiza lo siguiente: y Planificacin de los riesgos del proyecto, y Definicin de la estrategia de comunicaciones y Definicin de la estrategia de gestin de cambios y Determinacin de los recursos necesarios para la ejecucin del proyecto. La segunda y tercera parte consisten en realizar una revisin detallada de la definicin de los procesos de Gestin de Riesgos y Control Interno, as como del detalle documentado de los mismos, ello con el objetivo de determinar qu elementos e informacin estn faltando para poder llevar a cabo una adecuada implantacin de dichos procesos.

JJD Consultores

I2011-1002

1.2. Definicin del estado deseado de los procesos de Gestin de Riesgos (GR) El objetivo de esta etapa es definir el alcance de los procesos de Gestin de Riesgos y de Control Interno a ser implantados. Tomando como base el esquema de madurez de los procesos de gestin de riesgos, medido en las siguientes dimensiones o elementos: Governancia; Valoracin de Riesgos; Consolidacin y Agregacin; Reporte y Monitoreo; y Optimizacin, se propone el nivel de madurez que debe ser implantado para COES SINAC, lo que ser presentado y aprobado por la alta gerencia. 1.3 Completar Polticas y Procesos de Gestin de Riesgos El objetivo de esta etapa es culminar el diseo de las polticas, procesos y procedimientos de Gestin de Riesgos para cerrar la brecha que existe entre el estado actual definido e identificado en la etapa 1.1 y el alcance a ser implantado definido en la etapa 1.2. Las actividades contenidas en esta etapa se agrupan en los siguientes cuatro aspectos: a) Definicin de la poltica de riesgos y evaluacin y seleccin de la metodologa de gestin y de la tecnologa de soporte a utilizar. Esto permitir confirmar o completar la estrategia de riesgos de la organizacin. b) En base a las definiciones aprobadas en el punto a), se define la metodologa a utilizar para la realizacin de la evaluacin de riesgos de la organizacin. c) Toda la informacin de las definiciones realizadas en los puntos anteriores se debe documentar en un manual de riesgos que incluya el detalle de la metodologa de identificacin, valoracin y gestin de riesgos que se aplicar en la organizacin. d) Como ltimo paso se determinan los recursos que sern necesarios para la ejecucin de los procesos respectivos estando ya en operacin. 1.4 Ajustes a los Procesos de Control Interno (CI) Los procesos de control interno de una organizacin estn ntimamente ligados a la estrategia de gestin de riesgos por un lado y al tipo de auditora que debe realizarse como soporte a dicha gestin. El objetivo de esta etapa es completar las definiciones estratgicas y la documentacin de los procesos y procedimientos de control, de acuerdo a la estrategia y polticas de gestin de riesgos definida en la etapa 1.2 y completada en la etapa 1.3. La estrategia de control interno y las polticas son presentadas y aprobadas por la alta direccin para luego definir los recursos necesarios a ser implantados para la respectiva ejecucin de los procesos.

JJD Consultores
2. IMPLANTACIN

I2011-1002

La Fase de implantacin tiene como objetivo completar la documentacin de los procesos de gestin de riesgos y los procesos de control interno; as como tambin preparar a la organizacin en todos los aspectos relativos a la gestin de riesgos y relativos a los procesos a implantar. A continuacin se muestra el objetivo y descripcin de las etapas que conforman la fase de implantacin: 2.1 Preparacin de la Organizacin El objetivo de esta etapa es entrenar a todo el personal de la organizacin tanto en los procesos de gestin de riesgos y control interno en implantacin, como principalmente en los conceptos base que sustentan la importancia de incorporar hoy en da la gestin de riesgos en las organizaciones y sobre todo en la toma de decisiones. Aqu se definen las necesidades de entrenamiento, se desarrolla el material y se llevan a cabo las sesiones de capacitacin a todo nivel dentro de COES SINAC. 2.2 Implantacin de GR (Gestin de Riesgos) y CI (Control Interno) El objetivo de esta etapa es completar los procesos de GR y CI, establecer e implantar el marco de control mediante la instauracin de comits, para finalmente dotar a la organizacin de los recursos necesarios para operar los procesos de GR y CI. Estos recursos pueden ser internos (personal actualmente laborando en COES SINAC) o externos (por contratar).

JJD Consultores
3. EJECUCIN

I2011-1002

Esta fase consiste en la ejecucin de los procesos de gestin de riesgos y control interno para el primer ao. Esto se inicia con la definicin del perfil de riesgos de COES SINAC, la preparacin del plan y programa de auditora para el ao 2012 y la ejecucin y control de dicho plan. A continuacin se muestra el objetivo y descripcin de las etapas que conforman la fase de ejecucin: 3.1 Definir el perfil de riesgos de la organizacin En esta etapa se prepara el perfil de riesgos de la organizacin, identificando los riesgos a los que COES SINAC y sus procesos estn expuestos. Para ello se toman como base los objetivos estratgicos y objetivos de todos y cada uno de sus procesos tanto claves como de soporte de la organizacin. El proceso que se sigue para preparar el perfil de riesgos de COES SINAC se lleva a cabo en base a una metodologa que debe ser definida en esta etapa, as como entrenar a la organizacin en la misma. Dicha metodologa debe estar alineada a la metodologa de gestin de riesgos definida en la etapa 1.3 Completar Polticas y Procesos de Gestin de Riesgos de la fase de I. DISEO . 3.2 Preparar el Plan de Auditora El objetivo de esta etapa, tomando como base el perfil de riesgos identificado y documentado en la etapa anterior, es preparar el plan de auditora para el ao 2012. Para ello se define la metodologa a utilizar para priorizar los procesos a ser auditados, tomando como elemento los riesgos ms crticos identificados. Adicionalmente se define el tipo y alcance de la auditora que se llevar a cabo para cada uno de los procesos priorizados para el ao 2012. 3.3 Ejecucin del Plan de Auditora ao 2012 El objetivo aqu es ejecutar las auditoras definidas en el plan, documentar y consolidar las oportunidades de mejora identificadas y revisar y aprobar los resultados con los responsables de los procesos auditados y con el comit de auditora. Las oportunidades de mejora identificadas deben ser planificadas para ser implantadas lo antes posible. El equipo de control interno en esta etapa establece un equipo que se encarga de hacer seguimiento de la implantacin de las oportunidades de mejora.

JJD Consultores

I2011-1002

I.1.4

Plan y Programa de trabajo

A continuacin se muestra un diagrama Gantt del plan de trabajo a nivel etapas:

mes 1 ACTIVIDADES
S1 S2 S3 S4 S5

mes 2
S6 S7 S8 S9

mes 3

mes 4

mes 5

mes 12
S49 S50 S51 S52

S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20

1 DISEO
1.1 1.2 1.3 1.4 2.1 2.2 3.1 3.2 3.3 Planificacin y revisin del diseo conceptual de GR y CI Definicin del Estado Deseado de GR Completar Polticas y Procesos de GR Ajustes a Procesos de CI Preparacin de la Organizacin Implantacin de GR y CI Definir el Perfil de Riesgos de la Organizacin Preparar el Plan de Auditora Ejecucin del Plan de Auditora

2 IMPLANTACIN

3 EJECUCIN

JJD Consultores
A continuacin se muestra el detalle de las actividades para cada una de las etapas del plan: ACTIVIDADES

1 DISEO
1.1 Planificacin y revisin del diseo conceptual de GR y CI Planificacin del Proyecto Establecer el enfoque del proyecto Revisar y ajustar el programa de trabajo Plan de gestin de Riesgos Plan de Comunicaciones Plan de Gestin de Cambios Asignar recurso Presentacin de Kick Off del proyecto Revisin del diseo conceptual de GR Anlisis de la documentacin Determinar la Brecha vs. lo requerido y documentacin Revisin del diseo conceptual de CI Anlisis de la documentacin Determinar la Brecha vs. lo requerido y documentacin 1.2 Definicin del Estado Deseado de GR Anlisis de niveles de maduracin Definicin del alcance de la implantacin de procesos Definicin del nivel de maduracin objetivo Presentacin a la alta gerencia Ajustes Aprobacin 1.3 Completar Polticas y Procesos de GR Definiciones bsicas Desarrollo de las polticas de Riesgos Revisin y definicin de la estrategia final Evaluar y seleccionar la metodologa de gestin a implantar Evaluar y seleccionar la tecnologa de soporte a la gestin de riesgos Presentacin a la alta gerencia para aprobacin Ajustes Aprobacin de poltica y estructura de GR Establecer definiciones de Riesgos Definir Categoras de riesgos Definir tablas de criterios para evaluacin Definir parmetros para la evaluacin de riesgos Revisin y aprobacin Desarrollo del manual de riesgos Adquisicin de la metodologa a implantar Desarrollo del manual de riesgos Presentacin del manual a la alta gerencia 10

JJD Consultores
ACTIVIDADES Ajustes Aprobacin del manual Definicin de recursos Personal Infraestructura Tecnologa 1.4 Ajustes a Procesos de CI Definiciones bsicas Revisar las definiciones bsicas Revisin de la documentacin de los procesos de CI Definicin de la estrategia a implantar Realizar ajustes de acuerdo a las polticas de riesgos definidas Presentacin a la alta gerencia Ajustes Aprobacin Definicin de recursos Personal Infraestructura Tecnologa

I2011-1002

2 IMPLANTACIN
2.1 Preparacin de la Organizacin Asignacin de recursos Personal para GR Personal para CI Planificacin del Entrenamiento Definicin y alcance de temas Definicin de cursos e infraestructura necesaria Preparacin del material Preparacin de la infraestructura Ejecucin del Entrenamiento Cursos a la alta direccin Cursos al personal de GR y CI Cursos a todo el personal 2.2 Implantacin de GR y CI Completar procesos de Gestin de Riesgos Completar procesos de Control Interno Definicin de comits, roles y funciones Establecimiento de comits Definir perfiles de puestos Definir perfiles de personal Reclutamiento de Personal Entrenamiento del personal

11

JJD Consultores
ACTIVIDADES

I2011-1002

3 EJECUCIN
3.1 Definir el Perfil de Riesgos de la Organizacin Definir Metodologa y Equipos de trabajo Definir metodologa (Entrevistas o Talleres) Formar equipos de trabajo para talleres (reas, procesos, alta direccin) Definir enfoque (top-down / bottom-up) Entrenamiento especfico en conceptos de Riesgos Preparar material para entrenamiento Entrenamiento general Entrenamiento a la alta direccin Entrenamiento en la metodologa para identificar y valorar Riesgos Preparar material para entrenamiento Preparacin de informacin y formatos para documentar talleres / entrevistas Ejecutar procesos de Identificacin de Riesgos Conduccin de talleres o entrevistas - Alta Direccin Conduccin de talleres o entrevistas - reas o Procesos Consolidacin de Riesgos Presentacin a la alta gerencia Ajustes Aprobacin 3.2 Preparar el Plan de Auditora Definir reas o Procesos a Revisar Identificacin de procesos claves, sus objetivos y sus riesgos asociados Identificacin de procesos de soporte, sus objetivos y sus riesgos asociados Anlisis del plan de auditora ejecutado en los tres ltimos aos Identificar los proyectos de auditora ejecutados en los planes de los ltimos tres aos, as como los tipos Identificar los procesos auditados en por lo menos los tres ltimos aos y los resultados Analizar los resultados de la ejecucin de los planes de accin recomendados Definir metodologa para priorizacin de procesos Priorizar los procesos a revisar y determinar los que se incluirn en el plan Identificar Proyectos (# y tipo) Identificar el nivel de informacin con el que se cuenta para iniciar la auditora en cada proceso priorizado / elegido Definir para cada proceso priorizado / elegido lo siguiente:
Tipo de auditora a realizar (cumplimiento o de riesgo) Alcance Recursos necesarios

12

JJD Consultores
ACTIVIDADES
Tiempo estimado

I2011-1002

Obtener Aprobacin Revisar el plan de auditora con el Gerente de auditora de la organizacin Realizar ajustes Presentar el plan de auditora al Comit de auditoria Obtener aprobacin del plan Definir el proceso de gestin del plan Definir aspectos para la gestin como:
Plan de comunicacin de avance Estrategia de comunicacin e implantacin de recomendaciones Estrategia de monitoreo del plan Estrategia de seguimiento de observaciones

Comunicar los aspectos de gestin y obtener aprobacin 3.3 Ejecucin del Plan de Auditora Ejecucin de auditoras por proceso Ejecucin de auditoras Revisin con los involucrados Ajustes y aprobacin final Consolidacin de Oportunidades de mejora Presentacin al comit de auditora

13

JJD Consultores
I.1.5 Entregables

I2011-1002

A continuacin se detallan los entregables que se deben obtener a la culminacin de cada una de las etapas que forman parte de las tres fases del plan y programa de trabajo detallado en el punto 4. Plan y Programa de Trabajo . 1. DISEO 1.1 Planificacin y revisin del diseo conceptual de Gestin de Riesgos (GR) y Control Interno (CI) y Programa de trabajo detallado y Plan de gestin de riesgos del proyecto y Plan de comunicaciones del proyecto y Plan de gestin de cambios del proyecto y Presentacin de kick off 1.2 Definicin del estado deseado de los procesos de Gestin de Riesgos (GR) y Nivel de maduracin de los procesos de gestin de riesgos a ser implantado en COES SINAC aprobado por la alta direccin

1.3 Completar Polticas y Procesos de Gestin de Riesgos y y y y y y Estrategia y Poltica de Gestin de Riesgos de COES SINAC Metodologa de riesgos a utilizar Tecnologa de soporte a utilizar Categoras de riesgos y criterios de evaluacin a utilizar en el proceso de valoracin de riesgos Manual de riesgos Recursos necesarios para soportar los procesos de gestin de riesgos

1.4 Ajustes a los Procesos de Control Interno (CI) y y y Estrategia de control interno Documentacin de los procesos de control interno completa Recursos necesarios para soportar los procesos de control interno

14

JJD Consultores
2. IMPLANTACIN 2.1 Preparacin de la Organizacin y y y Detalle de cursos a dictar y material para el dictado Infraestructura necesaria disponible Personal entrenado

I2011-1002

2.2 Implantacin de GR (Gestin de Riesgos) y CI (Control Interno) y y y y y Documentacin de procesos de GR y CI completos. Definicin de comits y sus roles y responsabilidades Perfiles de puestos Perfiles de personas para los puestos Personal para los procesos de GR y CI disponible para iniciar labores

15

JJD Consultores
3. EJECUCIN 3.1 Definir el perfil de riesgos de la organizacin y y

I2011-1002

Documentacin de la metodologa para la definicin del perfil de riesgos de COES SINAC Perfil de riesgos de la organizacin

3.2 Preparar el Plan de Auditora y y Metodologa a utilizar para la priorizacin de procesos a auditar Plan de auditora para el ao 2012 aprobado

3.3 Ejecucin del Plan de Auditora ao 2012 y y y Resultados de las auditoras ejecutadas Detalle de oportunidades de mejora identificadas y observaciones, producto de las auditoras realizadas Resultado de las labores de seguimiento de las correccin de observaciones e implantacin de oportunidades de mejora identificadas

16

JJD Consultores
I.1.6 Equipo de trabajo

I2011-1002

A continuacin se muestra un cuadro con la estructura del equipo de trabajo necesario para la ejecucin del plan presentado en este informe. El detalle de este equipo deber ser confirmado a la culminacin de la etapa 1.1 Planificacin y revisin del diseo conceptual de Gestin de Riesgos (GR) y Control Interno (CI) que es parte de la fase I. DISEO .

COES SINAC EQUIPO DE TRABAJO PARA EL PROYECTO DE IMPLANTACIN DE LOS PROCESOS DE: GESTIN DE RIESGOS Y CONTROL INTERNO COES - SINAC Lder del Proyecto EQUIPO CONSULTOR EXTERNO DE APOYO
Lder equipo consultor

Gerente del Proyecto

Responsable de GR

Responsable de CI

Facilitadores para talleres

Consultores

Gerentes de procesos y usuarios de toda la organizacin

17