Matrizde Riesgo

OBJETIVO GUBERNAMENTAL 2005 Y PRIMER TRIMESTRE 2006
PROGRAMA MARCO PARA IDENTIFICAR Y SISTEMATIZAR AREAS Y PROCESOS CRITICOS, CONSTRUYENDO AL EFECTO, MAPAS DE RIESGO MINISTERIALES E INSTITUCIONALES
DOCUMENTO TECNICO N 23
DICIEMBRE 2004
Programa marco para confeccionar Mapas de Riesgo por Proceso Crtico Objetivo Gubernamental N 2, ao 2005 y primer trimestre 2006
TABLA DE CONTENIDOS _________________________________________________________________________________________________________ MATERIAS PAGINA
I.II.III.-
INTRODUCCIN. OBJETIVO GENERAL. ALCANCE GENERAL. 1.2.Materias. Periodo de la informacin a analizar.
4 5 5 5 5 5 5 5 5 6 6 9 9 9 10 10 13 13 14
IV.V.VI.VII.VIII.-
OPORTUNIDAD DE REALIZACIN DE LA AUDITORIA. EQUIPO DE TRABAJO REQUERIDO. HORAS DE AUDITORIA ESTIMADAS. CRONOGRAMA. METODOLOGA. 1.2.3.4.5.6.7.8.9.Identificacin de procesos relevantes en la institucin. Identificacin de subprocesos en los procesos relevantes. Identificacin de etapas en cada subproceso. Identificacin de objetivos especficos. Identificacin de riesgos operativos relevantes. Identificacin de anlisis de controles claves. Exposicin al riesgo individual, por etapa, subproceso y proceso. Resultado o producto de la aplicacin de este trabajo. Estructura de los informes y antecedentes que se deben enviar al Consejo de Auditora.
IX.-
ESQUEMAS PARA CONSTRUCCIN DEL MAPA DE RIESGO. 1.2.3.4.Anlisis de riesgos por proceso, subproceso y etapas. Anlisis de controles asociados al riesgo. Anlisis de exposicin por riesgo especifico. Construccin del Mapa o Matriz Consolidada de exposicin al riesgo por proceso, subproceso y etapas que se debe enviar al Consejo de Auditora.
15 15 16 17 18
X.XI.-
ESCALAS Y ANTECEDENTES DE MEDICION A UTILIZAR EN LA APLICACIN DE LA METODOLOGA. GLOSARIO DE TRMINOS UTILIZADOS EN ESTE DOCUMENTO.
19 26
HISTORIA DE CAMBIOS DEL DOCUMENTO __________________________________________________________________________________________________________ Versin 0.1 Fecha 01/12/2004 Autor Ricardo Correa F. Daniella Caldana F. Descripcin Formulacin tcnica del documento.
I.-
INTRODUCCIN.
El Consejo de Auditora en cumplimiento de la Poltica de Auditora Interna General de Gobierno implementada y propiciada por el Ejecutivo para el fortalecimiento y desarrollo de los organismos, sistemas y metodologas que permitan resguardar los recursos pblicos y apoyar la gestin de la Administracin y los actos de Gobierno, ha formulado el Documento Tcnico N 23 programa marco a considerar por los Servicios en la ejecucin del Objetivo Gubernamental - N 2, segn lo definiera el Presidente de la Repblica mediante Instructivo Presidencial N 007 del 30/11/2004 para el ao 2005 y primer trimestre de 2006: Identificar y sistematizar reas y procesos crticos, construyendo al efecto, mapas de riesgo ministeriales e institucionales. Actualmente, a travs de la etapa de planificacin, la gran mayora de las unidades de auditora en el Sector Pblico priorizan en sus matrices de riesgo, procesos relevantes en la organizacin a los cuales se les realizarn auditoras. Pese a lo adecuado de esta actividad, en general no existen anlisis integrales de dichos procesos que permitan contar con Mapas de Riesgo actualizados, de utilidad no slo para la auditora, sino que fundamentalmente para la organizacin en su conjunto. Con el desarrollo de este Objetivo Gubernamental, se pretende ir avanzando hacia la construccin armonizada de Mapas que permitan a las autoridades contar con una visin estratgica de cuales son las reas y procesos que concentran los riesgos con mayores niveles, procesos que presentan dficit en los controles y procesos con niveles de exposicin altos, expuestos a la materializacin de los efectos de los riesgos. Para realizar el anlisis, se emplear una metodologa para modelamiento de riesgos definida por el Consejo de Auditora. Esta considera la identificacin de procesos crticos dentro de la institucin, la identificacin de subprocesos relevantes dentro de esos procesos, la identificacin de puntos crticos o riesgos inherentes en las etapas de cada subproceso, la identificacin y anlisis de eficiencia en los controles claves asociados a los riesgos inherentes y finalmente, determinar el nivel de exposicin al riesgo por proceso, subproceso y cuando corresponda por etapa. Es necesario destacar, que sin perjuicio de la metodologa entregada para el desarrollo de este objetivo gubernamental a travs de este documento marco; el modelamiento a realizar y la identificacin y definicin de procesos, dependern de la naturaleza y caractersticas de cada Servicio. Por lo que para su aplicacin, el auditor puede ajustarlo y complementarlo a los requerimientos especficos que defina a travs de su criterio profesional y conocimiento de la estructura organizacional y los procesos institucionales. Para este efecto, debe analizar el tema en conjunto con el respectivo sectorialista del Consejo de Auditora. En forma complementaria a este documento, se ha diseado una planilla en formato Excel, que permitir levantar y respaldar el anlisis de los riesgos y controles al interior de los procesos. Posteriormente, cuando esta planilla se haya completado con la informacin solicitada, se debe remitir al Consejo de Auditora. Finalmente, pese a no ser el propsito de este documento, la metodologa presentada puede ser utilizada como base tcnica para respaldar la formulacin del Plan Anual de Auditora, en cuanto a los procesos crticos propuestos como objetivos de auditora institucionales para el periodo siguiente.
4
II.-
OBJETIVO GENERAL.
Identificar y analizar integralmente los procesos crticos de la institucin, en base a una metodologa genrica propuesta por el CONSEJO DE AUDITORA, que permita identificar y priorizar los principales riesgos y exposiciones al riesgo que afectan a estos procesos y en consecuencia a la entidad, obteniendo en definitiva de cada Servicio, un Mapa o Matriz Consolidado de Riesgos y Exposiciones al Riesgo, constituido por procesos institucionales crticos. III.1.2.ALCANCE GENERAL. Materias: Procesos relevantes que desarrolla el Servicio tanto a nivel estratgico externo, con el objetivo de satisfacer a sus usuarios, como a nivel interno, con la finalidad de definir el soporte administrativo de la labor de la Institucin. Periodo de la informacin a analizar: se dirige a aquellos procesos permanentes que haya desarrollado la institucin para cumplir su misin y objetivos estratgicos, que se encuentren vigentes y operativos a la fecha de este anlisis. OPORTUNIDAD DE REALIZACION DEL ANLISIS.
IV.-
Este levantamiento corresponde a un objetivo gubernamental del ao 2005 y se desarrollar durante el primer semestre de ese ao. V.EQUIPO DE TRABAJO REQUERIDO.
Esta variable de trabajo depende de cada Servicio. VI.HORAS DE AUDITORIA ESTIMADAS.
Esta variable de trabajo depende de cada Servicio. VII.CRONOGRAMA.
Esta variable de trabajo depende de cada Servicio.
VIII.1.
METODOLOGA. Identificacin de procesos relevantes en la institucin.
Para efectos de este trabajo, se entender como proceso un conjunto de actividades ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene un cliente interno o externo a la empresa en que opera1. Podemos agregar a esta definicin, que aquellos identificados como claves para el logro de la misin institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos. Es necesario tener presente que la identificacin de procesos, subprocesos y etapas es una labor que los Servicios deberan tener realizada y respaldada a travs de documentos formales, tales como; bases tcnicas, trminos de referencia, reglamentos y normativas internas de los programas y servicios que entregan las instituciones. En caso que dichas estructuras estn implcitas en la documentacin o no estn formalizadas, el auditor debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la estructura de los procesos. Con esa informacin se debe analizar la relacin entre la misin que se ha definido el Servicio, los objetivos estratgicos formales declarados y los procesos organizacionales, identificando para cada proceso especfico, el nivel de contribucin que realiza a cada objetivo estratgico, mediante una metodologa definida por el Consejo de Auditora. Tal como se seal, hay que tener presente que muchos procesos inciden en forma indirecta en el logro de los objetivos, ya que constituyen soporte para la realizacin de diversas acciones, otros en cambio, inciden en forma directa. Debido a estas particularidades en la organizacin, se ha estimado necesario formular un mtodo que permita distinguir entre el nivel de relevancia de los procesos. En relacin a este trabajo, el nivel de contribucin que realiza un determinado proceso al cumplimiento de los objetivos estratgicos del Servicio, ya sea un proceso relevante que desarrolla el Servicio tanto a nivel estratgico externo, con el objetivo de satisfacer a sus usuarios; como a nivel interno, con la finalidad de definir el soporte administrativo de la labor de la Institucin, se medir de acuerdo con la siguiente escala:
Definicin de procesos, Oscar Barros. Accesible online http://www.obarros.cl
Escala para medir el nivel de contribucin que afecta el cumplimiento del objetivo estratgico. Clasificacin del nivel Alto Medio Bajo Nulo Descripcin del nivel de contribucin El proceso aporta de manera fundamental en el cumplimiento del objetivo estratgico. El proceso aporta de manera importante en el cumplimiento del objetivo estratgico. El proceso aporta de manera menor en el cumplimiento del objetivo estratgico. No aporta en el cumplimiento del objetivo estratgico. valor 3 2 1 0
A continuacin se presenta un esquema para construir una matriz que permita identificar los procesos crticos de acuerdo con esta metodologa, al relacionar cada uno de los procesos con los objetivos estratgicos. El procedimiento especfico corresponder al siguiente: Una vez identificados todos los procesos que existen en la institucin, se debe aplicar la siguiente metodologa para determinar la prioridad en base a su nivel de contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para determinar cuales sern los procesos que se les realizar el anlisis y el modelamiento de riesgos y controles. Esquema de relacin y priorizacin de procesos relevantes en la institucin en relacin a los objetivos estratgicos.
Misin Institucional: xxxxxxx Objetivos Procesos institucionales Proceso 1 Proceso 2 Proceso 3 Proceso 4 Proceso 5 Proceso 6 ....... Proceso n Objetivo Estratgico 1 Objetivo Estratgico 2 Objetivo Estratgico ... Objetivo Nivel de contribucin Proceso Estratgico n promedio del proceso al seleccionado cumplimiento de los (2,0 3,0) objetivos
Alto (3), Medio(2), Bajo(1), Nulo(0) Alto (3), Medio(2), Bajo(1), Nulo(0) Alto (3), Medio(2), Bajo(1), Nulo(0) .......... .......... .......... .......... Alto (3), Medio(2), Bajo(1), Nulo(0) Promedio aritmtico Proceso 1 Promedio aritmtico Proceso 2 Promedio aritmtico Proceso 3 .......... .......... .......... .......... Promedio aritmtico Proceso n
Alto (3), Medio(2), Bajo(1), Nulo(0) Alto (3), Medio(2), Bajo(1), Nulo(0) Alto (3), Medio(2), Bajo(1), Nulo(0) .......... .......... .......... .......... Alto (3), Medio(2), Bajo(1), Nulo(0)
X X X X
En este esquema, se incluyen todos los procesos organizacionales y todos los objetivos estratgicos de la institucin. Se analiza cada proceso en relacin con el nivel en que aporta al cumplimiento de cada objetivo, pudiendo ser ste alto, medio, bajo o nulo, de acuerdo con la escala anteriormente definida. Finalmente cuando se han relacionado todos los procesos con todos los objetivos estratgicos, se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos, obtenindose el nivel promedio por cada proceso. Por consiguiente, ahora se cuenta con la informacin necesaria para determinar si se seleccionar el proceso para el anlisis y modelamiento de riesgos y controles. La seleccin final de cada proceso estar basada en la misma escala para el nivel que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de procesos crticos, los que presenten un nivel de contribucin promedio entre 2.0 y 3.0 puntos, es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin que tiene cada proceso en el logro de los objetivos. Ejemplo; seleccin de procesos crticos en una organizacin que cuenta con tres objetivos estratgicos:
Misin Institucional : xxxxxxxx Objetivos Objetivo Estratgico 1 Procesos institucionales Abastecimiento Financiero Crediticio Recursos Humanos Comercializacin
3 2 1 3 1 2 1 2 2 2 3 0 1 1 1
Objetivo Estratgico 2
Objetivo Estratgico 3
Nivel de contribucin promedio del proceso al cumplimiento de los objetivos

2,6 1 1,6 2 1,3
Proceso seleccionado (2,0 3,0)
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y Recursos Humanos.
2.-
Identificacin de subprocesos en los procesos relevantes.
Una vez seleccionados los procesos relevantes, de acuerdo con la metodologa analizada, se deben determinar, cuando sea posible aquellos subprocesos que integran cada uno de ellos (depender de la estructura del proceso y de las caractersticas organizacionales del servicio). Los subprocesos corresponden a aquellos componentes principales en el desarrollo de los procesos. Al igual que los procesos, los subprocesos que los componen pueden ser de diversa importancia y tener distinta influencia, debindose determinarse y analizarse para efecto de este trabajo, aquellos de carcter relevante. Para determinar los subprocesos a analizar, se puede utilizar la metodologa definida previamente para seleccionar procesos crticos o cualquier otra que cumpla con esa misma finalidad, debiendo estar debidamente fundamentada antes de ser aplicada. 3.Identificacin de etapas en cada subproceso.
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada subproceso (depender de las caractersticas y estructura del proceso y de la institucin, entre otras variables), se deber identificar las etapas o elementos que lo conforman y que equivalen a las acciones o actividades que en conjunto forman el subproceso. Hay que destacar que existen casos en que la estructura de desagregacin mxima posible ser el proceso, otros en que se podr realizar a nivel de subproceso y en otros ser posible desagregar hasta el nivel de etapa o elementos que componen los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de cada Servicio o Institucin. Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar los objetivos especficos. 4.Identificacin de objetivos especficos.
Se entender por objetivos especficos, aquella meta o finalidad que se persigue cumplir mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso, si la desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los objetivos del proceso, subproceso o etapa no se establecen por el auditor, sino que estn dados por la Institucin a travs de documentos formales (bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin regulatoria y de soporte en los procesos. Si no es posible extraer y conocer los objetivos a travs de la citada documentacin, el auditor debe identificarlos en conjunto con los responsables del proceso o subproceso, mediante entrevistas.
5.-
Identificacin de riesgos operativos relevantes.
Una vez identificados los objetivos especficos correspondientes a etapas o subprocesos relevantes, segn sea la mxima desagregacin de los procesos donde se realizar el levantamiento, es necesario identificar los riesgos relevantes que se presentan asociados a los objetivos en cada subproceso o etapa. Hay que tener presente que el riesgo es la incertidumbre en la ocurrencia de un acontecimiento no deseado o que no ocurra un acontecimiento deseado, afectando el cumplimiento de las metas y objetivos especficos que se estn evaluando. Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del riesgo, de acuerdo con escala presentada en pgina N 20 de este documento). Evaluando en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la matriz de impacto y probabilidad que se expone ms adelante en este documento. 6.Identificacin y anlisis de controles claves2.
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles deben ser calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y evaluados en trminos del cumplimiento de normas especficas de control3. Una vez determinada claramente la existencia de todos los controles asociados a los riesgos relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe uno o ms controles asociados a cada riesgo especfico identificado. Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si alguno de los controles no tienen esa caracterstica y slo se trata de controles que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si corresponde (relacin costo/beneficio). Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen distinto nivel de eficiencia medida en forma individual, el auditor debe slo evaluar el nivel de eficiencia que se genera al actuar en conjunto los distintos controles clasificados como claves, desechando para efectos de este anlisis a los controles no fundamentales ( ver ejemplo en pgina N 12).
2 3
En pginas N s 21 y 22 se presentan las escalas para determinacin de la eficiencia de los controles. En pgina N 23 se presenta un resumen de normas especficas de control.
10
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de eficiencia de los controles en base al diseo del control y cumplimiento de normas especficas de control. Nivel definida por los atributos periodicidad, oportunidad y nivel de automatizacin del control en base al esquema que se presenta en la pgina siguiente. El siguiente paso corresponde a analizar para cada uno de los controles claves identificados con los riesgos, el grado de cumplimiento de normas especficas de control. En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si existen controles claves o fundamentales asociados a un riesgo en particular y si stos adems de cumplir con normas especficas estn diseados con la finalidad de mitigar los efectos que se puedan producir ante la materializacin del riesgo. A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Etapa
Riesgo Relevante
Descripcin del Control identificado en el proceso ( asociado a un riesgo determinado)
Importancia del control presente para mitigar los riesgos al interior del proceso Clave/Fundamental No es fundamental
11
Ejemplo de determinacin de evaluacin de la eficiencia de los controles: i.Identificacin de controles claves en etapa de clculo de horas extraordinarias.
Etapa Riesgo Relevante Descripcin del Control identificado en el proceso ( asociado a un riesgo determinado) El sistema de control biomtrico registra las horas trabajadas y calcula aquellas que exceden de las 44 horas ordinarias Importancia del control presente para mitigar los riesgos al interior del proceso Clave/fundamental X No es fundamental
Errores o Clculo de El jefe de la Unidad de irregularidades en el horas extraordinarias remuneraciones revisa y aprueba el clculo de las horas clculo de horas para su pago. extraordinarias El encargado de remuneraciones lleva un archivador con el detalle del las horas extras por funcionario
ii.-
Determinacin de la eficiencia de los controles claves:

Controles Claves/fundamental Nivel de Cumplimiento de normas especficas de control Caractersticas en el diseo del control clave/fundamental Oportunidad Preventivo (previene errores y se encuentra al principio del proceso) Periodicidad Peridico (a la fecha de corte mensual para pago) Automatizacin Clasificacin Valor Automatizado y Manual ptimo 5
El sistema biomtrico de control horario, contiene un algoritmo que calcula las horas trabajadas, indicando en forma precisa aquellas que exceden de las 44 semanales. El jefe de remuneraciones revisa el reporte del sistema y aprueba el clculo para su pago.
Adecuado
12
7.-
Exposicin al riesgo individual, por etapas, subproceso y proceso.
Se define como el riesgo residual que subsistira despus de aplicados todos los controles claves existentes, pudindose materializar en consecuencia los efectos del riesgo potencial. Esta exposicin se puede determinar a nivel de riesgo especfico (valor del nivel de severidad del riesgo especfico, dividido por el valor del nivel de eficiencia del control asociado), por etapa, subproceso o proceso. En base al esquema para construir la Matriz que ms adelante se expone y que permite analizar en qu medida o nivel el control mitiga el riesgo, se determina el nivel de exposicin correspondiente.4 Procedimiento para determinar el nivel de exposicin promedio por etapas. Se debe promediar aritmticamente los valores de todos los niveles de exposicin al riesgo obtenidos en forma individual (Suma del valor de las exposiciones de los riesgos individuales / N de riesgos especficos analizados) y determinar segn la Escala definida en la pgina N 25, el nivel de exposicin que le corresponde a cada etapa. Procedimiento para determinar el nivel de exposicin promedio por subproceso. Se debe promediar aritmticamente los valores de todos los niveles de exposicin al riesgo obtenidos para cada Etapa (Suma del valor de las exposiciones de los riesgos por cada etapa / N de etapas analizadas) y determinar segn la Escala definida en la pgina N 25, el nivel de exposicin que le corresponde a cada subproceso Procedimiento para determinar el nivel de exposicin promedio por proceso. Se debe promediar aritmticamente los valores de todos los niveles de exposicin al riesgo obtenidos para cada Subproceso (Suma del valor de las exposiciones de los riesgos por cada Subproceso / N de Subprocesos analizados) y determinar segn la Escala definida en la pgina N 25, el nivel de exposicin que le corresponde a cada proceso 8.Resultado o producto del desarrollo de este trabajo.
El resultado que se obtendr de la aplicacin de la metodologa es el Mapa o Matriz de Riesgos y de Exposicin al Riesgo del Servicio, en base a procesos crticos, a la fecha del anlisis.
En la pgina N 25 de este documento se presenta la forma de clculo y la escala para determinar el nivel de la exposicin al riesgo
13
9.-
Estructura de los Informes y antecedentes que se deben enviar al CONSEJO DE AUDITORA.
Al trmino de la ejecucin de este Objetivo Gubernamental, en fecha indicada por el CONSEJO DE AUDITORA, cada Servicio deber remitir a este Consejo en formato Excel, un Mapa o Matriz Consolidada de Riesgos por procesos (en el punto IX, nmero 4 de este documento se presenta el esquema a utilizar para el anlisis), acompandola con un anlisis de su contenido, de acuerdo con los siguientes elementos : Conclusin general del anlisis de riesgos. Relevar riesgos que destacan por su nivel de severidad (niveles de probabilidad e impacto altos). Relevar controles dbiles en relacin a los riesgos especficos que deben mitigar. Anlisis en cuanto a las deficiencias del diseo y cumplimiento de normas especficas del control. Relevar el anlisis en los Niveles de exposicin mayores y no aceptables, clasificados por procesos, subprocesos, etapas o riesgo especfico. Cuando corresponda, formulacin de medidas sugeridas para mitigar las exposiciones priorizadas, por nivel de exposicin al riesgo. Esquema de seleccin de procesos crticos del Servicio. ( detalle en pgina N 7 de este documento)
14
IX.- ESQUEMAS PARA CONSTRUCCIN DEL MAPA DE RIESGO. 1.- ANALISIS DE RIESGOS POR PROCESO, SUBPROCESO Y ETAPAS. A continuacin se presenta el esquema para modelamiento de riesgos. Determinacin del nivel de riesgo por cada proceso, subproceso o etapa analizada. En forma inmediata se incluye el ejemplo para este esquema: SERVICIO: x (EJEMPLO CON LOS PROCESOS ABASTECIMIENTO Y RECURSOS HUMANOS).
RIESGOS ESPECIFICOS IDENTIFICADOS PROCESOS SUBPROCESOS ETAPAS OBJETIVOS ESPECIFICOS DESCRIPCION DEL RIESGO5 PROBABILIDAD CLASIFIC. ADQUISICIN COMPRA DE BIENES PAGO FORMALIZACIN CONTRATO PAGOS PERIODICOS REGISTRO DE EXISTENCIAS BODEGA CONSERVACION Y RESGUARDO DE BIENES ASISTENCIA REMUNERACIONES HORAS EXTRAS RECURSOS HUMANOS PROGRAMACIN CAPACITACIN EJECUCIN Uso de formas errneas de Asegurar transparencia en la adquisicin o en contravencin a la compra de bienes ley. (Licitacin trato directo) Generar informacin oportuna y Falta de consistencia u oportunidad en completa para la generacin de los pagos a proveedores pagos correctos a proveedores de personera u otras Obtener contratos que cumplan Falta con todas las formalidades solemnidades en el contrato legales. Generar informacin oportuna y Pagos sin previo cumplimiento de completa para la generacin de requisitos pagos correctos a proveedores Inexistencia o deficiencia de los Mantener informacin sobre sistemas de informacin y registros de niveles de stock, registros existencias y stock Generar adecuados niveles de Prdida o deterioro de los bienes en seguridad en la custodia y existencia conservacin de bienes. Mantener control integral de la Deficiencias en el registro de asistencia asistencia de funcionarios Asegurar que las horas extras pagadas sean ntegras, realizadas y autorizadas Formular planes que aseguren satisfaccin de necesidades institucionales Administrar y asegurar adecuada calidad de la capacitacin institucional Errores al contar las horas extras y calcular su pago. Falta de coherencia entre el Programa y las necesidades de capacitacin Deficiente calidad de la capacitacin en relacin a los temas, relatores u otros elementos Probable SEVERIDAD DEL RIESGO VALOR CLASIFIC. VALOR 4 Moderad. 3 12 IMPACTO VALOR6
Alto
Moderad.
Moderad.
Alto
ABASTECIMIENTO
CONTRATACIN DE SERVICIOS PERIODICOS
Improbab
Moderad.
Moderado
Probable
Mayores
16
Extremo
Improbab
Moderad.
Moderado
Moderad Improb.
3 2
Moderad Moderad
3 3
9 6
Alto Moderado
Improb
Menores
Bajo
Moderad Moderado
3 3
Moderad Moderad
3 3
Alto
Alto
5 6
Puede existir ms de un riesgo por cada objetivo especfico. Se deben identificar todos los riesgos relevantes Determinada en base a escala de severidad presentada en pgina N 20 de este documento
15
2.-
ANALISIS DE CONTROLES ASOCIADOS A CADA RIESGO.
Esquema para Modelamiento controles. Determinacin del nivel de eficiencia de los controles por cada riesgo. En forma inmediata se incluye el ejemplo para este esquema: Servicio : x (EJEMPLO CON LOS PROCESOS ABASTECIMIENTO Y RECURSOS HUMANOS).
CONTROLES CLAVES EXISTENTES PROCESOS SUBPROCESOS ETAPAS RIESGOS ESPECIFICOS
7
DESCRIPCION DEL CONTROL
NIVEL EFICIENCIA 8
Valor
Clasificacin
PD ADQUISICIN COMPRA DE BIENES PAGO CONTRATACIN DE SERVICIOS PERIODICOS FORMALIZACIN CONTRATO PAGOS PERIODICOS REGISTRO DE EXISTENCIAS BODEGA CONSERVACION Y RESGUARDO DE BIENES ASISTENCIA REMUNERACION ES RECURSOS HUMANOS PROGRAMACIN CAPACITACIN EJECUCIN HORAS EXTRAS Uso de formas errneas de adquisicin o en contravencin a la ley. (Licitacin trato directo) Falta de consistencia u oportunidad en los pagos a proveedores Falta de personera u otras solemnidades en el contrato Pagos sin previo cumplimiento de requisitos Inexistencia o deficiencia de los sistemas de informacin y registros de existencias y stock Prdida, deterioro o hurto de los bienes en existencia Deficiencias en el registro de asistencia Errores al contar las horas extras y calcular su pago. El Jefe de Finanzas visa los requerimientos antes de ser ingresados a Chilecompras para que se ingrese como licitacin o trato directo. El jefe de Finanzas firma y visa las rdenes de pago. Contabilidad las ingresa al sistema que emite el cheque. La Fiscala entrega un contrato tipo y anualmente revisa una muestra de contratos El Jefe de Finanzas autoriza los pagos, previo informe positivo del Contabilidad. Se archivan todos los documentos de recepcin y egreso de los bienes y discrecionalmente se coteja con las existencias. Existe un encargado de bodega y un guardia nocturno Pd
O Pv
A Ma 4 BUENO
Pd Oc Pd Oc
Pv Dt Pv Dt
Sa Ma Ma Ma
4 1 4 1
BUENO DEFICIENTE BUENO DEFICIENTE
ABASTECIMIENTO
Pe Pe Pe
Pv Pv Pv
Ma At At
5 5 5
OPTIMO OPTIMO OPTIMO MAS QUE REGULAR MAS QUE REGULAR
Existe un control horario biomtrico manejado a nivel informtico. El sistema biomtrico registra horas y calcula las que exceden 44 horas. El Jefe de la Unidad revisa en reporte y visa el pago Falta de coherencia entre el Anualmente se realiza la planificacin por el Programa y las necesidades Depto. de Capacitacin en base a encuestas de de capacitacin necesidades. Deficiente calidad de la Al final de cada capacitacin se realiza una capacitacin. encuesta de satisfaccin
Pd Pd
Dt Dt
Ma Ma
3 3
3.7 8
ANALISIS DE EXPOSICIN POR RIESGO ESPECIFICO.
Corresponde al control clave, es decir, a la accin conjunta de todos los controles mitigantes Determinada en base a escala de eficiencia de los controles presentada en pginas Ns 21 y 22 de este documento: PD = Permanente Peridico Ocasional; O = Preventivo Correctivo Detectivo ; A = Automatizado Semi automatizado - Manual
16
Esquema para determinar el nivel de exposicin al riesgo por cada riesgo especfico. En forma inmediata se incluye el ejemplo para este esquema: SERVICIO: x (EJEMPLO CON LOS PROCESOS ABASTECIMIENTO Y RECURSOS HUMANOS).
CLASIFICACION 9 EXPOSICIN AL RIESGO PROCESOS SUBPROCESOS ETAPAS RIESGOS ESPECIFICOS Uso de formas errneas de adquisicin o en contravencin a la ley. (Licitacin trato directo) Falta de consistencia u oportunidad en los pagos a proveedores Falta de personera u otras solemnidades en el contrato Pagos sin previo cumplimiento de requisitos Inexistencia o deficiencia de los sistemas de informacin y registros de existencias y stock Prdida, deterioro o hurto de los bienes en existencia Deficiencias en el registro de asistencia Errores al contar las horas extras y calcular su pago. Falta de coherencia entre el Programa y las necesidades de capacitacin Deficiente calidad de la capacitacin. NIVEL EXPOSICIN MEDIA MENOR MAYOR MAYOR MAYOR MENOR MENOR MENOR MEDIA MEDIA
10
VALOR
11
ADQUISICIN COMPRA DE BIENES PAGO CONTRATACIN DE SERVICIOS PERIODICOS FORMALIZACIN CONTRATO PAGOS PERIDICOS REGISTRO DE EXISTENCIAS CONSERVACION Y RESGUARDO DE BIENES ASISTENCIA REMUNERACIONES RECURSOS HUMANOS CAPACITACIN HORAS EXTRAS PROGRAMACIN EJECUCIN
3 2,25 6 4 6 1,8 1,2 0,8 3 3
ABASTECIMIENTO
BODEGA
Nivel de exposicin determinado en base a forma de clculo y escala presentada en pgina N 25 de este documento. Nivel de clasificacin; No aceptable, Mayor, Media y Menor. 11 Frmula de clculo = nivel severidad del riesgo / nivel eficiencia del control ( datos obtenidos de anlisis dispuestos en hojas N s 15 y 16 de este documento)
10
17
4.- CONSTRUCCIN DEL MAPA O MATRIZ CONSOLIDADA DE EXPOSICIN AL RIESGO POR PROCESO, QUE SE DEBE ENVIAR AL CONSEJO DE AUDITORA. (Existe una planilla en formato Excel para construir y enviar al CONSEJO DE AUDITORA el Mapa o Matriz de acuerdo con la metodologa contenida en este documento). Este Mapa o Matriz se construye en base a la consolidacin de la informacin obtenida de los anlisis anteriores, es decir, el anlisis de riesgos por proceso, subproceso y etapas, el anlisis de controles asociados al riesgo y el anlisis de exposicin por riesgo especifico: MAPA O MATRIZ DE RIESGO CONSOLIDADA POR SERVICIO. (Ejemplo con los procesos Abastecimiento y Recursos Humanos)
RIESGOS IDENTIFICADOS PROCESOS SUBPROCESO ETAPAS RELEVANTES OBJETIVOS ESPECIFICOS DESCRIPCION DEL RIESGO CLASIFIC VALOR Uso de formas errneas de adquisicin o en contravencin a la ley. (Licitacin trato directo) Falta de consistencia u oportunidad en los pagos a proveedores Falta de personera u otras solemnidades en el contrato Pagos sin previo cumplimiento de requisitos Inexistencia o deficiencia de los sistemas de informacin y registros de existencias y stock Prdida, deterioro o hurto de los bienes en existencia Deficiencias en el registro de asistencia Errores al contar las horas extras y calcular su pago. CLASIFIC VALOR El Jefe de Finanzas visa los requerimientos antes de ser ingresados a Chilecompras para que se ingrese como licitacin o trato directo. El jefe de Finanzas firma y visa las rdenes de pago. Contabilidad las ingresa al sistema que emite el cheque. La Fiscala entrega un contrato tipo y anualmente revisa una muestra de contratos El Jefe de Finanzas autoriza los pagos, previo informe positivo del Contabilidad. Se archivan todos los documentos de recepcin y egreso de los bienes y discrecionalmente se coteja con las existencias. Existe un encargado de bodega y un guardia nocturno Existe un control horario biomtrico manejado a nivel informtico. El sistema biomtrico registra horas y calcula las que exceden 44 horas. El Jefe de la Unidad revisa en reporte y visa el pago Anualmente se realiza la planificacin por el Depto. de Capacitacin en base a encuestas de necesidades. Al final de cada capacitacin se realiza una encuesta de satisfaccin CONTROLES CLAVES EXISTENTES VALOR Y CLASIFICACION DE LA EXPOSICIN AL RIESGO
PROBABILIDAD
IMPACTO
SEVERIDAD DEL RIESGO VALOR
DESCRIPCION DEL CONTROL
NIVEL EFICIENCIA
VALOR
POR RIESGO ESPECIFICO NIVEL VALOR
POR ETAPA
POR SUBPROCESO NIVEL VALOR
POR PROCESO
NIVEL
VALOR
NIVEL
VALOR
PD
Adquisicin Compras de bienes Pago
Asegurar transparencia en la compra de bienes
Probable
Moderad.
Alto
12
Pd
Pv
Ma
MEDIA
MEDIA
3 MENOR 2,62
Generar informacin oportuna y completa para la generacin de pagos correctos a proveedores Obtener contratos que cumplan con todas las formalidades legales. Generar informacin oportuna y completa para la generacin de pagos correctos a proveedores
Moderad.
Moderad.
Alto
Pd
Pv
Sa
MENOR
2,25
MENOR
2,25
Abastecimiento
Contratacin de servicios
Formalizacin contrato
Improbab
Moderad.
Moderado
Oc
Dt
Ma
MAYOR
MAYOR
6 MAYOR 5 MEDIA 3,79
Pagos peridicos
Probable
Mayores
Extremo
16
Pd
Pv
Ma
MAYOR
MAYOR
Registro de existencias Bodega Conservacin y resguardo de bienes Asistencia
Mantener informacin sobre niveles de stock, registros
Improbab
Moderad.
Moderado
Oc
Dt
Ma
MAYOR
MAYOR
6 MEDIA 3,75
Generar adecuados niveles de seguridad en la custodia y conservacin de bienes. Mantener control integral de la asistencia de funcionarios Asegurar que las horas extras pagadas sean ntegras, realizadas y autorizadas Formular planes que aseguren satisfaccin de necesidades institucionales Administrar y asegurar adecuada calidad de la capacitacin institucional
Moderad
Moderad
Alto
Pe
Pv
Ma
MENOR
1,8
MENOR
1,8
Improb.
Moderad
Moderado
Pe
Pv
At
MENOR
1,2
MENOR
1,2
Remuneraciones Horas extras Recursos Humanos Programacin Capacitacin Ejecucin
MENOR Pe Pv At 5 MENOR 0,8 MENOR 0,8
Improb
Menores
Bajo
MENOR Pd Dt Ma 3 MEDIA 3 MEDIA 3 MEDIA Pd Dt Ma 3 MEDIA 3 MEDIA 3 3
Falta de coherencia entre el Programa y las necesidades de capacitacin Deficiente calidad de la capacitacin.
Moderad
Moderad
Alto
Moderad
Moderad
Alto
18
X .1.1.1.-
ESCALAS Y ANTECEDENTES DE MEDICIN A UTILIZAR EN LA APLICACIN DE LA METODOLOGIA. SEVERIDAD DEL RIESGO. Categoras de probabilidad:
Categora Casi certeza Probable Moderado Improbable Muy improbable Valor 5 4 3 2 1 Descripcin Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene plena seguridad que ste se presente, tiende al 100% Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 75% a 95% de seguridad que ste se presente Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 51% a 74% de seguridad que ste se presente Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 26% a 50% de seguridad que ste se presente Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 25% de seguridad que ste se presente
1.2.-
Categoras de Impacto:
Categora Valor Descripcin Riesgo cuya materializacin influye directamente en el cumplimiento de la misin, prdida patrimonial o deterioro de la imagen, dejando adems sin funcionar totalmente o por un perodo importante de tiempo, los programas o servicios que entrega la institucin Riesgo cuya materializacin daara significativamente el patrimonio, imagen o logro de los objetivos sociales. Adems, se requerira una cantidad importante de tiempo de la alta direccin en investigar y corregir los daos Riesgo cuya materializacin causara ya sea una prdida importante en el patrimonio o un deterioro significativo de la imagen. Adems, se requerira una cantidad de tiempo importante de la alta direccin en investigar y corregir los daos Riesgo que causa un dao en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratgicos Riesgo que puede tener un pequeo o nulo efecto en la institucin
Catastrficas
Mayores
Moderadas
Menores Insignificantes
2 1
19
1.3.-
Nivel de Severidad del riesgo.

NIVEL PROBABILIDAD (P) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Probable (4) Probable (4) Probable (4) Probable (4) Probable (4) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Improbable (2) Improbable (2) Improbable (2) Improbable (2) Improbable (2) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) NIVEL IMPACTO (I) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) SEVERIDAD DEL RIESGO S = (P x I) EXTREMO ( 25) EXTREMO (20 ) EXTREMO (15 ) ALTO (10) ALTO (5) EXTREMO (20) EXTREMO (16 ) ALTO (12) ALTO (8) MODERADO (4) EXTREMO (15 ) EXTREMO (12 ) ALTO (9) MODERADO (6) BAJO (3) EXTREMO (10 ) ALTO (8) MODERADO (6) BAJO (4) BAJO (2) ALTO (5) ALTO (4) MODERADO (3) BAJO (2) BAJO (1)
20
2.- CLASIFICACIN DEL CONTROL CLAVE. 2.1. Diseo del control
Oportunidad de la accin del control (O):

Clasificacin Preventivo (Pv) Correctivo (Cr) Detectivo (Dt) Descripcin Controles claves que actan antes o al inicio de un proceso. Controles claves que actan durante el proceso y que permiten corregir las deficiencias. Controles claves que slo actan una vez que el proceso ha terminado.
Periodicidad en la accin del control (PD):

Clasificacin Permanente (Pe) Peridico (Pd) Ocasional (Oc) Descripcin Controles claves aplicados durante todo el proceso, es decir, en cada operacin. Controles claves aplicados en forma constante slo cuando ha transcurrido un peridico especfico de tiempo Controles claves que se aplican slo en forma ocasional en un proceso.
Automatizacin en la aplicacin del control (A):

Clasificacin 100% automatizado (At) Semi automatizado (Sa) Manual
(Ma)
Descripcin Controles claves incorporados en el proceso, cuya aplicacin es completamente informatizada. Estn incorporados en los sistemas informatizados Controles claves incorporados en el proceso, cuya aplicacin es parcialmente aplicada mediante sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin no considera uso de sistemas informatizados
21
2.2.-
Escala de clasificacin de la eficiencia de los controles.
CARACTERISTICAS DISEO CONTROL CLAVE/FUNDAMENTAL CLASIFICACION12 PERIODICIDAD (PD) PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL NO DETERMINADO OPORTUNIDAD (O) PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO NO DETERMINADO AUTOMATIZACION (A) INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL NO DETERMINADO NIVEL DEL CONTROL
OPTIMO
BUENO
MAS QUE REGULAR
REGULAR
DEFICIENTE
INEXISTENTE
12
Ante inconsistencias entre la medicin y la opinin profesional del auditor, prevalece esta ltima debidamente fundada.
22
2.3.- Principales Normas especficas de control en Marco Integrado de control Interno Modelo C.O.S.O. Estas normas se presentan a modo de sugerencia, puesto que su existencia y caractersticas dependen del tipo de control y de la estructura del proceso, entre otras variables. Normas relativas al ambiente de control Ambiente propicio para el control Actitud de apoyo superior al control interno Valores de integridad y tica Administracin eficaz del potencial humano Estructura organizativa formal y conocida Delegacin formal y adecuada Coordinacin de acciones organizacionales Participacin del personal en el control interno Adhesin a las polticas institucionales Normas relativas a la evaluacin de riesgos Identificacin y evaluacin de riesgos Planificacin formal Indicadores de desempeo mensurables Divulgacin de los planes Definicin y comunicacin de polticas de apoyo a los objetivos Revisin de los objetivos Cuestionamiento peridico de los supuestos de planificacin
Normas relativas a las actividades de control Prcticas y medidas de control formales Control integrado Anlisis de costo/beneficio Responsabilidad delimitada Instrucciones por escrito Separacin de funciones incompatibles Autorizacin y aprobacin de transacciones y operaciones Documentacin de procesos y transacciones Supervisin constante Registro oportuno 23
Sistema contable y presupuestario Acceso a activos y registros Revisiones de control permanentes Conciliacin peridica de registros Inventarios peridicos Arqueos independientes Formularios uniformes Rotacin de labores Toma oportuna de vacaciones Garantas a favor de la institucin Dispositivos de control y seguridad lgicos y fsicos
Normas relativas a informacin y comunicacin Obtencin y comunicacin de informacin efectivas Calidad y suficiencia de la informacin Sistemas de informacin Controles sobre sistemas de informacin Canales de comunicacin abiertos Archivo institucional formal
Normas relativas al monitoreo Monitoreo constante del control interno en operacin Monitoreo de las actividades Monitoreo constante del ambiente de control Evaluacin del desempeo institucional Informes de seguimiento a responsables Rendicin de cuentas Reporte de deficiencias Toma de acciones correctivas Asesora externa para monitoreo del control interno
24
3.-
NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO.
La exposicin al riesgo est dada por la severidad del riego dividida por eficiencia del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas en la pgina N 20 ( severidad del riesgo) y pginas N s 21 y 22 ( eficiencia del control). A continuacin se presenta la escala de nivel de exposicin al riesgo que los califica.
FORMULA PARA DETERMINAR LA EXPOSICION AL RIESGO
VALOR
NVEL DE EXPOSICION AL RIESGO
8,0 25,0
NO ACEPTABLE (Na)
NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL
4,0 7,99
MAYOR (Ma)
3,0 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
25
XI.
GLOSARIO DE TRMINOS UTILIZADOS EN ESTE DOCUMENTO. Controles existentes: Todas las medidas que toma la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Controles Claves: Controles asociados a un riesgo, que en conjunto deben ser analizados para determinar en que nivel mitigan la ocurrencia del riesgo. Descripcin del Riesgo: Identificacin detallada de la situacin que podra afectar el logro de los objetivos de la Etapa. Etapa Relevante: Componente estratgico de carcter relevante en un subproceso. Impacto: Consecuencia que puede ocasionar a la organizacin la materializacin del riesgo. Mapa o Matriz de Riesgo: Representacin grfica fundamentada en el anlisis de la severidad, nivel del control y nivel de exposicin de los procesos institucionales crticos. Nivel de Riesgo: Severidad ante la ocurrencia del riesgo. Se determina por la relacin Riesgo = Probabilidad x Impacto. Nivel de exposicin al riesgo: Es la exposicin real que tiene un rea de que se produzcan los efectos del riesgo despus de aplicados los controles existentes. Riesgo residual Normas especficas de control: Normas de aseguramiento que se deberan cumplir en el sistema de control interno en una organizacin o proceso. Objetivos especficos de la Etapa: Finalidad principal que se debe alcanzar en una Etapa. Probabilidad: Posibilidad de ocurrencia de un riesgo potencial. Proceso: Conjunto de actividades ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene un cliente interno o externo a la empresa en que opera. Riesgo asociado: Cualquier situacin relevante que entorpece el normal desarrollo e impide el logro del objetivo. Severidad del riesgo: Corresponde al nivel del riesgo originado por la relacin entre el impacto y la probabilidad de ocurrencia. Subproceso: Corresponden a aquellos componentes principales en el desarrollo de los procesos
26

Matrizde Riesgo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matrizde Riesgo

Cargado por

Copyright:

Formatos disponibles

OBJETIVO GUBERNAMENTAL 2005 Y PRIMER TRIMESTRE 2006

TABLA DE CONTENIDOS _________________________________________________________________________________________________________ MATERIAS PAGINA

INTRODUCCIN. OBJETIVO GENERAL. ALCANCE GENERAL. 1.2.Materias. Periodo de la informacin a analizar.

Esta variable de trabajo depende de cada Servicio. VI.HORAS DE AUDITORIA ESTIMADAS.

Esta variable de trabajo depende de cada Servicio. VII.CRONOGRAMA.

Esta variable de trabajo depende de cada Servicio.

METODOLOGA. Identificacin de procesos relevantes en la institucin.

Definicin de procesos, Oscar Barros. Accesible online http://www.obarros.cl

Nivel de contribucin promedio del proceso al cumplimiento de los objetivos

Proceso seleccionado (2,0 3,0)

Identificacin de subprocesos en los procesos relevantes.

Identificacin de riesgos operativos relevantes.

Descripcin del Control identificado en el proceso ( asociado a un riesgo determinado)

Determinacin de la eficiencia de los controles claves:

Exposicin al riesgo individual, por etapas, subproceso y proceso.

Estructura de los Informes y antecedentes que se deben enviar al CONSEJO DE AUDITORA.

CONTRATACIN DE SERVICIOS PERIODICOS

ANALISIS DE CONTROLES ASOCIADOS A CADA RIESGO.

DESCRIPCION DEL CONTROL

BUENO DEFICIENTE BUENO DEFICIENTE

OPTIMO OPTIMO OPTIMO MAS QUE REGULAR MAS QUE REGULAR

ANALISIS DE EXPOSICIN POR RIESGO ESPECIFICO.

3 2,25 6 4 6 1,8 1,2 0,8 3 3

SEVERIDAD DEL RIESGO VALOR

DESCRIPCION DEL CONTROL

POR RIESGO ESPECIFICO NIVEL VALOR

POR SUBPROCESO NIVEL VALOR

Adquisicin Compras de bienes Pago

Asegurar transparencia en la compra de bienes

6 MAYOR 5 MEDIA 3,79

Registro de existencias Bodega Conservacin y resguardo de bienes Asistencia

Mantener informacin sobre niveles de stock, registros

Remuneraciones Horas extras Recursos Humanos Programacin Capacitacin Ejecucin

MENOR Pe Pv At 5 MENOR 0,8 MENOR 0,8

MENOR Pd Dt Ma 3 MEDIA 3 MEDIA 3 MEDIA Pd Dt Ma 3 MEDIA 3 MEDIA 3 3

Nivel de Severidad del riesgo.

2.- CLASIFICACIN DEL CONTROL CLAVE. 2.1. Diseo del control

Oportunidad de la accin del control (O):

Periodicidad en la accin del control (PD):

Automatizacin en la aplicacin del control (A):

Escala de clasificacin de la eficiencia de los controles.

MAS QUE REGULAR

NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO.

FORMULA PARA DETERMINAR LA EXPOSICION AL RIESGO

NVEL DE EXPOSICION AL RIESGO

NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL

También podría gustarte