NORMA ISO 31000:2009

PROGRAMA MARCO

GUA TCNICA N 53

OBJETIVO GUBERNAMENTAL DE AUDITORA N 3 AO 2013 PROCESO GESTIN DE RIESGOS

GUA TCNICA N 53 ACTUALIZADA FEBRERO 2013

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

TABLA DE CONTENIDOS MATERIAS

I.- ANTECEDENTES GENERALES II.- RESUMEN DE REQUERIMIENTOS GUBERNAMENTAL N 3 2013 ESPECFICOS PARA EL OBJETIVO
2 2 2 3 3 4 4 5 5 6 6 6 6 7 7

PGINA
2

1.- FASE ESTABLECIMIENTO DEL CONTEXTO 1.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 2.- FASE IDENTIFICACIN DE RIESGOS Y OPORTUNIDADES 2.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 3.- FASE ANLISIS DE RIESGOS 3.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 4.- FASE EVALUACIN DE RIESGOS 4.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 5.- FASE TRATAMIENTO DE RIESGOS 5.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 6.- FASE MONITOREO Y REVISIN 6.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 7.- FASE COMUNICACIN Y CONSULTAS 7.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 8.- ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIN DE RIESGOS Y REQUERIMIENTOS ESPECFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO GUBERNAMENTAL DE AUDITORA N 3 - 2013 8.1.- Plazos de Entrega de Informes y Productos Solicitados. 8.2.- Formatos Exigidos - Planillas u Otros. 8.3.- Forma de Envo.

9 9 9

_________________________________________________________________________________________ 1

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

I.- ANTECEDENTES GENERALES Durante el ao 2012, se actualiz la N 53/11 en que se entregaron los lineamientos para dar cumplimiento al Objetivo Gubernamental N 3, aos 2011 a 2014. En este contexto, cabe sealar que la sealada Gua Tcnica se mantiene como documento rector del Proceso de Gestin de Riesgos en el Estado, por lo cual todo su contenido terico y conceptual, debe ser utilizado en el desarrollo del sealado Proceso de Gestin de Riesgos y como marco para el cumplimiento del Objetivo Gubernamental N 3, para el ao 2013. Sin perjuicio de lo anterior y en razn del cambio de ao, resulta necesario tambin actualizar la citada Gua Tcnica N 53, en relacin a los plazos que en ella se contienen y que son obligatorios para que los Servicios y entidades del Estado cumplan con el envo, al Consejo de Auditora Interna General de Gobierno, de los antecedentes de respaldo del Proceso de Gestin de Riesgos. II.- RESUMEN DE REQUERIMIENTOS ESPECFICOS GUBERNAMENTAL DE AUDITORA N3 - 2013 PARA EL OBJETIVO

A continuacin, se resumen las actividades que deben ejecutar los Servicios, para cada fase del Proceso de Gestin de Riesgos, con la finalidad de dar cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013. 1.- FASE ESTABLECIMIENTO DEL CONTEXTO 1.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones o Poltica y Filosofa de Riesgos: Formular y aprobar la Poltica y Filosofa de Gestin de Riesgos de la organizacin, en anexo N 1 de la Gua Tcnica N 53 se presenta un ejemplo. Esta Poltica debe ser aprobada por resolucin de la Jefatura Superior del Servicio. La resolucin que formula y aprueba la poltica de riesgos debe remitirse al Consejo de Auditora antes del 31.05.2013. o o Enfoque de Anlisis: Para efectos del cumplimiento de este Objetivo Gubernamental, se tendr con un enfoque de procesos de negocio y procesos de soporte. Cobertura del Contexto: La cobertura en la aplicacin del enfoque ser el levantamiento a nivel de procesos de todos los relacionados al negocio y soporte del Servicio o entidad gubernamental (100%). Definir roles y Responsables: La Direccin debe nombrar responsables del proceso de Gestin de Riesgos y definir sus funciones (al Auditor Interno del Servicio no se le debe asignar esa responsabilidad). En anexo N 2 de la Gua Tcnica N 53, se presenta un ejemplo ilustrativo.

_________________________________________________________________________________________ 2

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

El Servicio debe emitir una resolucin que asigne roles y responsabilidades o examinar la resolucin de roles aprobada anteriormente. Debe remitirse la resolucin que define los roles y responsabilidades al Consejo de Auditora antes del 31.05.2013. b.- Productos Solicitados Resolucin de aprobacin o modificacin de la Poltica de Riesgos, remitida al Consejo de Auditora al 31.05.2013. Resolucin de aprobacin o modificacin de roles y responsabilidades remitida al Consejo de Auditora al 31.05.2013.

2.- FASE IDENTIFICACIN DE RIESGOS Y OPORTUNIDADES 2.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones Esta fase se cumple con el levantamiento de informacin a nivel de los procesos de negocio y soporte (100%), su desagregacin en subprocesos, etapas y actividades, para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso. Para el Objetivo Gubernamental de Auditora N 3 - 2013, se debe hacer el levantamiento de informacin de todos (100%) los procesos de negocio y soporte, su desagregacin en subprocesos, etapas y actividades, para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso y los controles asociados. b.- Productos Solicitados En esta fase corresponde: Levantar los procesos y desagregarlos en subprocesos, etapas y objetivos. Clasificar los procesos en procesos transversales, de acuerdo a la presente Gua Tcnica. Es necesario ponderar procesos y subprocesos, segn su relevancia en el Servicio y para el proceso respectivamente. Identificar los riesgos y oportunidades para el Servicio o entidad. Se deben clasificar los riesgos por origen y tipologa. Se deben identificar los controles y su diseo para valorar su efectividad. Identificacin de procesos y riesgos relativos al Gobierno Electrnico. El Servicio deber revisar y mejorar la identificacin de todos los riesgos relacionados con procesos de Gobierno Electrnico y controles que existan para ellos (revisar sugerencias en anexo N 8 de la Gua Tcnica 53). Identificacin de oportunidades a nivel de procesos de negocio. En este tema debern individualizarse las oportunidades que se identifiquen por cada proceso de negocio del Servicio (no en los de soporte), en base a nuevos lineamientos de

_________________________________________________________________________________________ 3

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

Gobierno, considerando la asignacin de responsabilidades y modificaciones presupuestarias que afecten al Servicio. Todo lo que se desarrolla en esta fase, deber ser insumo para la fase de anlisis de riesgos y para la confeccin de la Matriz de Riesgos del Servicio o entidad. Los respaldos del levantamiento de informacin de la fase de identificacin de riesgos y controles no deben remitirse al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. 3.- FASE ANLISIS DE RIESGOS 3.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones Esta fase se cumple con la construccin de la Matriz de Riesgos del Servicio o entidad actualizada, incorporando los conceptos de tipologa de riesgos, procesos transversales y de ponderacin estratgica por proceso y subproceso, que contiene la valuacin de los riesgos, controles y la determinacin del nivel de exposicin al riesgo en base a las categoras definidas en las escalas de clasificacin definidas por el Consejo de Auditora. Para cumplir el Objetivo Gubernamental de Auditora N 3 - 2013, debe actualizarse la Matriz de Riesgos del Servicio o entidad, incorporando todas las mejoras y ajustes derivados de la revisin de la Matriz de aos anteriores y, especialmente, incorporando todas las observaciones y sugerencias del Auditor Interno en sus diversas actividades de aseguramiento. b.- Productos Solicitados o En esta fase corresponde valorar los riesgos en consideracin a su probabilidad e impacto, obteniendo su nivel de severidad. Por otra parte tambin ser necesario valorar el diseo del control en cuanto a su efectividad para mitigar el riesgo al cual se asocia. En esta fase se debe elaborar la Matriz de Riesgos del Servicio o entidad actualizada, segn formato dispuesto en anexo N 11 de la Gua Tcnica N 53/2011.

Los respaldos del levantamiento de informacin de la fase de anlisis de riesgos y controles no se remitirn al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. Como producto de la Matriz de Riesgos del Servicio o entidad, debe remitirse al Consejo de Auditora, en forma semestral el reporte de la Matriz de Riesgos Abreviada, firmada y aprobada por el Jefe de Servicio, considerando los riesgos crticos (al menos 20) definidos por dicha jefatura o el Comit de Riesgos (aplicando cuadro N11 de la Gua Tcnica N
_________________________________________________________________________________________ 4

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

53/2011). La Matriz correspondiente al primer semestre deber remitirse antes del 19.07.2013 y la del segundo semestre, deber remitirse al 27.12.2013. Esta Matriz de Riesgos deber contener los riesgos crticos del Servicio o entidad (al menos 20), divididos en 50% financieros y 50% estratgicos, los que, a juicio de la jefatura del Servicio, afecten en forma clave la entidad que dirige y que en forma especial deben ser tratados y monitoreados permanentemente. En el caso de no poder alcanzar esta proporcin en los riesgos, esta situacin deber justificarse dando a conocer las causales, tales como la naturaleza del Servicio, el tipo de actividades que desarrolla, etc. En las mismas fechas sealadas en el prrafo anterior, deber remitirse copia del reporte de la Matriz Abreviada o Simplificada de Riesgos al Sr. Ministro de la Cartera. 4.- FASE EVALUACIN DE RIESGOS 4.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones La organizacin debe construir un ranking de riesgos en base a procesos con mayor exposicin al riesgo ponderado y, dentro de stos, por subprocesos, tambin por exposicin al riesgo ponderado, de acuerdo al procedimiento dispuesto en los cuadros N 12 y 13 de la Gua Tcnica N 53/11. En base al anlisis de los rankings, deben definirse las prioridades para tratar los riesgos para mantener el nivel de exposicin al riesgo dentro del nivel del riesgo aceptado. Para el ao 2013, la organizacin debe construir un ranking de riesgos en base a procesos con mayor exposicin al riesgo ponderado y, dentro de stos, por subprocesos, tambin por exposicin al riesgo ponderado, de acuerdo al procedimiento dispuesto en los cuadros N 12 y 13 de la Gua Tcnica N 53/11. b.- Productos Solicitados Ranking de riesgos por procesos de acuerdo al formato definido en el Cuadro N 12 de la Gua Tcnica N 53/11. Ranking de riesgos por subprocesos de acuerdo al formato definido en el Cuadro N 13 de la Gua Tcnica N 53/11.

Los respaldos de la fase de evaluacin de riesgos, que implica el ranking por proceso y subproceso, no deben ser remitidos al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora.

_________________________________________________________________________________________ 5

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

5. FASE TRATAMIENTO DE RIESGOS 5.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones Una vez definidos, al menos, los 20 riesgos crticos que lo afectan, el Servicio deber comprometer estrategias para tratarlos sealando las medidas que se adoptarn para la gestin de esos riesgos. Para el Objetivo Gubernamental de Auditora N3 - 2013, el Servicio deber elaborar semestralmente un Plan de Tratamiento sobre los riesgos crticos definidos por el Jefe de Servicio (al menos 20), sin perjuicio que adems deba adicionar otros riesgos emanados de los rankings por proceso o subproceso. El Plan de Tratamiento debe contener estrategias, acciones, indicadores y metas que se orienten a obtener que el riesgo a tratar sea efectivamente mitigado, a travs del manejo de su probabilidad e impacto o mediante el mejoramiento de los controles asociados. b.- Productos Solicitados Plan de Tratamiento de Riesgos Semestral. El Plan de Tratamiento de Riesgos, correspondiente al primer semestre 2013, debe presentarse al Consejo de Auditora, antes del 19 de julio de 2013, considerando los riesgos crticos identificados por el Servicio o entidad (al menos 20). El Plan de tratamiento, correspondiente al segundo semestre 2013, debe considerar los riesgos crticos identificados por el Servicio o entidad (al menos 20) al 27 de diciembre del 2013, utilizando el formato definido en el cuadro N 16 de la Gua Tcnica N 53/11. 6.- FASE MONITOREO Y REVISIN 6.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones Deben establecerse estructuras de reportes y mantener su registro. Esto implica obtener informacin relevante, en forma oportuna y peridica sobre el estado de los riesgos en cualquier etapa del proceso con la finalidad de reportar a la direccin oportunamente. Para el cumplimiento del Objetivo Gubernamental N 3 2013 se debe realizar el monitoreo al Plan de Tratamiento, de acuerdo a los plazos establecidos en el punto b siguiente. b.- Productos Solicitados b.1.- Plan de Tratamiento presentado al 28.12.2012, (segundo semestre 2012), debe enviarse el reporte del monitoreo y revisin el 31.05.2013 y se debe utilizar el cuadro N 17 de la Gua Tcnica N 53/11.
_________________________________________________________________________________________ 6

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

b.2.- Plan de Tratamiento presentado al 19.07.2013, (primer semestre 2013), debe enviarse el reporte del monitoreo y revisin el 27.12.2013 y se debe utilizar el cuadro N 17 de la Gua Tcnica N 53/11. b.3.- Plan de Tratamiento semestral presentado al 27.12.2013, (segundo semestre 2013), debe enviarse el reporte del monitoreo y revisin el 31.05.2014 y se debe utilizar el cuadro N 17 de la Gua Tcnica N 53/11. 7.- FASE COMUNICACIN Y CONSULTAS 7.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2013 a.- Consideraciones En relacin con esta fase se solicitar la entrega de una propuesta de comunicacin y consulta o el anlisis y mejoramiento de la propuesta de comunicacin y consulta entregada anteriormente al Consejo de Auditora. Adems deber desarrollarse la propuesta de reporte de la informacin de la Matriz de Riesgos al Jefe de Servicio. b.- Productos Solicitados Elaboracin de una propuesta de sistema de comunicacin y consulta, actualizacin y mejora. Este sistema de comunicacin y consulta, debe contener a lo menos los siguientes antecedentes: o o o o o o o o o o o o o o Qu tipo de informacin se espera recopilar en el proceso. Cundo se recogera la informacin (periodicidad). Qu tipo de instrumentos recogern esa informacin. Qu tipo de reportes podra tener el proceso. Qu tipo de anlisis podran contener los reportes. Qu informacin se contendra en instrumentos, con que cobertura y amplitud. Roles y responsables de la calidad y confiabilidad de la informacin. Sistemas para manejar la informacin de Gestin de Riesgos al interior del Servicio, soportes y sistemas. Niveles organizacionales y personas a quienes se comunicar la informacin, diferencia de comunicacin por acceso. Cmo se realizar la comunicacin, identificar los soportes y tecnologas requeridas. Cundo se realizar la comunicacin de la informacin, indicar periodicidad. Cmo y quines tendrn acceso a la comunicacin, sealar los criterios para definir perfiles por tipo de informacin. Cmo se recolectarn opiniones que genere la comunicacin, espacios de participacin, forma como se har efectiva la participacin. Sealar roles y responsables de la comunicacin y la participacin.

Proyecto de Reporte de la Matriz de Riesgos al Jefe de Servicio de acuerdo a lo definido en el cuadro N 18 de la Gua Tcnica N 53/11.

_________________________________________________________________________________________ 7

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

Los respaldos de la fase de comunicacin y consulta, que implican las propuestas de cmo comunicar y definir la participacin de los estamentos internos y la forma cmo se reportar la informacin, no deben ser remitidos al Consejo de Auditora, pero si mantenerse en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. 8.- ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIN DE RIESGOS Y REQUERIMIENTOS ESPECFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO GUBERNAMENTAL DE AUDITORA N 3 - 2013
Fase Establecimiento contexto Resolucin de Poltica Responsabilidades. de Riesgos y de Roles y Entrega al 31.05.13

Fase Identificacin de Riesgos y Oportunidades

Levantamiento de 100% de los procesos del Servicio y sus riesgos. Identificacin de riesgos segn tipologa. Identificacin oportunidades a nivel de procesos. Matriz de Riesgos del Servicio o entidad aplicando:

Fase Anlisis de Riesgo Clasificacin en procesos transversales. Ponderacin por proceso y subproceso. Tipologa de riesgos. Justificacin de ponderacin estratgica, etc.

1 Semestre Entrega al 19.07.13 2 Semestre Entrega al 27.12.13 1 Semestre Entrega al 19.07.13 2 Semestre Entrega al 27.12.13 Reporte 2 Plan 2012 31.05.13

Matriz Semestral de Riesgos Abreviada (al menos 20 riesgos) 50% financieros y 50% estratgicos.

Fase Evaluacin de Riesgos

Ranking por proceso y por subproceso.

Fase Tratamiento de Riesgos

Plan Semestral de Tratamiento de Riesgos, con medidas, plazos, responsables e indicadores de logro.

Fase Monitoreo y Revisin

Reporte monitoreo para compromisos con fecha de revisin en el ao 2013

Reporte 1 Plan 2013 27.12.13 Reporte 2 Plan 2013 31.05.14

Fase Comunicacin y Consulta

Proyecto de reporte de anlisis de la Matriz de Riesgos.

_________________________________________________________________________________________ 8

Objetivo Gubernamental de Auditora, Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos

__________________________________________________________________________________________

8.1.- Plazos de Entrega de Informes y Productos Solicitados Como se observa del esquema precedente, para el cumplimiento del Objetivo Gubernamental N3 - 2013, se realizarn, 8 entregas: Poltica de riesgos y definicin de roles y responsabilidades: 31 de mayo de 2013. Matriz de Riesgos Abreviada: que es una parte del total y que contiene al menos 20 riesgos crticos del Servicio o entidad definidos por el Jefe de Servicio y/o Comit de Riesgos. Se remite semestralmente. El primer semestre al 19 de julio 2013 y en el segundo semestre al 27 de diciembre de 2013. Plan de Tratamiento de Riesgos 2013, con al menos los 20 riesgos crticos identificados en Matriz de Riesgos Abreviada. Se remite semestralmente. El primer semestre al 19 de julio 2013 y en el segundo semestre al 27 de diciembre de 2013. Informe monitoreo del Plan de Tratamiento de Riesgos: - A) Monitoreo Plan de Tratamiento Segundo Semestre 2012: 31 de mayo 2013. - B) Monitoreo Plan de Tratamiento Primer Semestre 2013: 27 de diciembre 2013. - C) Monitoreo Plan de Tratamiento Segundo Semestre 2013: 31 de mayo 2014.

8.2.- Formatos Exigidos - Planillas u Otros Los formatos exigidos para envo de la informacin, son aquellos que el documento contiene, esto es: Formato
Matriz de Riesgos Abreviada (parte de Matriz en Cuadro 11). Cuadro N 16

Descripcin
Determinacin y aprobacin de al menos 20 riesgos claves por el Jefe de Servicio y/o Comit de Riesgos. Plan Tratamiento de Riesgos. Monitoreo y Seguimiento Plan Tratamiento 2 Semestre 2012. Monitoreo y Seguimiento Plan Tratamiento 1 Semestre 2013. Monitoreo y Seguimiento Plan Tratamiento 2 Semestre 2013.

Plazo entrega
(1) 19.07.2013 (2) 27.12.2013 (1) 19.07.2013 (2) 27.12.2013 31.05.2013 27.12.2013 31.05.2014

Cuadro N 17

La Matriz de Riesgos Abreviada del Servicio debe trabajarse en la planilla Excel entregada por el Consejo de Auditora lnea a lnea, ello implica que debern repetirse los conceptos y no utilizarse celdas combinadas. Esta planilla una vez completa deber validarse en la aplicacin informtica que para tal efecto disponga el Consejo de Auditora. 8.3.- Forma de Envo La Matriz de Riesgos del Servicio o entidad validada a travs de la aplicacin informtica dispuesta por el Consejo de Auditora, deber remitirse a este organismo a travs de un correo electrnico creado al efecto, u otra forma que el Consejo de Auditora disponga. Los dems cuadros deben remitirse en los mismos formatos y a travs de los mismos medios utilizados en aos anteriores.
_________________________________________________________________________________________ 9