GUIA TECNICA No 59 2014 PROCESO DE GESTION DE RIESGOS PDF

GUA TCNICA N 59
OBJETIVO GUBERNAMENTAL DE
AUDITORA N 2 - 2014
MANTENCIN Y MEJORAMIENTO DE
LAS ACTIVIDADES ASOCIADAS AL
PROCESO DE GESTIN DE RIESGOS EN
EL ESTADO
Esta Gua Tcnica incluye un enfoque metodolgico basado
principalmente
en
la
Norma
Chilena
NCh-ISO
31000:2012,Gestin del Riesgo - Principios y Orientaciones. Es
de utilidad para que la Direccin realice el levantamiento de
procesos en la institucin, la identificacin, anlisis y valorizacin
de los riesgos crticos y sus controles, y para la formulacin de
medidas de tratamiento de dichos riesgos.
SEPTIEMBRE 2014
MINISTERIO
SECRETARA
GENERAL DE LA
PRESIDENCIA
Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

_________________________________________________________________________________________________
TABLA DE CONTENIDOS
____________________________________________________________________________
MATERIAS
PGINA
I.- INTRODUCCIN
II.- OBJETIVO GENERAL DEL DOCUMENTO
III.- RELACIN CON EL ASEGURAMIENTO
IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2014
V.- PROCESO DE GESTIN DE RIESGOS
1.- Conceptos Generales sobre Riesgos
2.- Conceptos Generales sobre Gestin de Riesgos
3.- Modelos para la Gestin de Riesgos
4.- Marco de Trabajo de la Norma NCh ISO 31000:2012
11
5.- Fases Genricas en el Proceso de Gestin de Riesgos
13
VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR
GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 2 - 2014
16
A.- Marco de Trabajo de la Gestin de Riesgos
16
B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos
16
1.- Fase Establecimiento del Contexto
16
2.- Fase Identificacin de Riesgos
33
3.- Fase Anlisis de Riesgos
37
4.- Fase Valoracin de Riesgos
39
5.- Fase Tratamiento de Riesgos
42
6.- Fase Monitoreo y Revisin
47
7.- Fase Comunicacin y Consultas
48
8.- Registro del Proceso de Gestin de Riesgos
50
______________________________________________________________________________________________
1

_________________________________________________________________________________________________
VII.- RESUMEN DE REQUERIMIENTOS ESPECFICOS

GUBERNAMENTAL DE AUDITORA N 2 - 2014
PARA
EL
OBJETIVO
51
1.- Fase Establecimiento del Contexto
51
2.- Fase Identificacin de Riesgos
52
3.- Fase Anlisis de Riesgos
53
4.- Fase Valoracin de Riesgos
54
5.- Fase Tratamiento de Riesgos
54
6.- Fase Monitoreo y Revisin
55
7.- Fase Comunicacin y Consultas
55
8.- Registro del Proceso de Gestin de Riesgos
56
9.- Esquema de Todas las Fases del Proceso de Gestin de Riesgos y Requerimientos
Especficos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 2 - 2014
58
VIII.- BIBLIOGRAFA
61
ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
62
ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES
64
ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE

RIESGOS EN EL SECTOR GUBERNAMENTAL
65
ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS

PROCESOS Y MODELAMIENTO DE RIESGOS
67
ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
70
ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
77
ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
86
ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL

GOBIERNO ELECTRNICO
89
ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL

ADECUADO CONSIDERADOS EN EL MODELO
92
ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
106
ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE

AUDITORA N 2
107
______________________________________________________________________________________________
2

_________________________________________________________________________________________________
I.-
INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que los Servicios y entidades del Estado mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
se ha definido como Objetivo Gubernamental de Auditora N 2 para el ao 2014, la mantencin
y mejoramiento de las actividades del Proceso de Gestin de Riesgos. Lo anterior,
considerando el levantamiento de procesos de la institucin o la revisin del mismo; la
identificacin, anlisis y valorizacin de los riesgos crticos y sus controles y, en especial, la
formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
gubernamental, los Servicios podrn previa solicitud y aprobacin por parte del Consejo de
Auditora, proponer e implementar, si corresponde, un modelo de gestin de riesgos basado
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.
______________________________________________________________________________________________
3

_________________________________________________________________________________________________
principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos aceptados, que

estn adaptados a las caractersticas y particularidades especficas de la organizacin.
En lo que se refiere a la funcin de auditora interna, sta tendr un rol de apoyo para que la
Direccin pueda alinear el enfoque y las prcticas de gestin de riesgos con la norma NCh-ISO
31000:2012, as como contribuir a mantener estas prcticas alineadas de manera continua.
Adems, debe proveer aseguramiento a la Direccin sobre la efectividad de la gestin de los
riesgos mediante el cumplimiento del Objetivo Gubernamental de Auditora N 2, definido por el
Instructivo Presidencial N 1670 del 10 de septiembre 2014, cuyos resultados en conjunto con
las directrices emitidas por el Consejo de Auditora Interna de Gobierno, servirn para
retroalimentar el proceso.
En el presente documento se ha consolidado toda la informacin disponible referida al Proceso
de Gestin de Riesgos en el Sector Gubernamental, establecindose para cumplir este objetivo
la siguiente estructura:
-
Como punto I esta introduccin; en el punto II se seala el objetivo general del documento;
en el punto III, la relacin con el Objetivo Gubernamental de Auditora de Aseguramiento
del Proceso de Gestin de Riesgos; en el punto IV, el marco metodolgico para el Proceso
de Gestin de Riesgos bajo NCh-ISO 31000:2012; en el punto V, se establecen conceptos
bsicos y fundamentales de la Gestin de Riesgos; en el punto VI se seala el anlisis de
las fases del Proceso de Gestin de Riesgos que deben ser aplicadas por las entidades
gubernamentales; en el punto VII se muestra un detalle los requerimientos para cumplir con
el Objetivo Gubernamental y, en el punto VIII, se presenta la Bibliografa que sustenta el
presente documento.
Finalmente, se adjuntan anexos que contienen: en el Anexo N 1, un ejemplo de poltica de

gestin de riesgos; en el Anexo N 2 un ejemplo de asignacin de roles y
responsabilidades; en el Anexo N 3 la descripcin del rol del auditor interno en el Proceso
de Gestin de Riesgos; en el Anexo N 4 se entrega una gua para el levantamiento de
procesos; el Anexo N 5 establece las tablas de valuacin para riesgos, controles y
exposicin; el Anexo N 6 entrega un ejemplo de levantamiento de procesos; el Anexo N 7
enuncia tcnicas de evaluacin de riesgos y oportunidades, bajo NCh-ISO 31010:2013; el
Anexo N 8 entrega un ejemplo de riesgos genricos que afectan los procesos mejorados
con Tecnologas de Informacin; el Anexo N 9 define los conceptos generales de control
adecuado; el Anexo N 10 presenta un ejemplo de plan de tratamiento de riesgos con
estrategias, acciones e indicadores y, por ltimo en el Anexo N 11 se acompaa un
ejemplo de Matriz de Riesgos Estratgica del Servicio o entidad construida con la
metodologa descrita en el documento.
Hay que relevar, que cada Servicio o entidad del Estado debe tener implementado un Proceso
de Gestin de Riesgos que sea til para identificar y gestionar aquellos eventos que puedan
afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse
todas las fases que se definen en la presente gua tcnica, con la finalidad de tener una gestin
de riesgos slida. Durante el ao 2014, el Consejo de Auditora solicitar algunos reportes
derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes el servicio
debe ejecutar la metodologa contenida en la presente gua, para conseguir por una parte un
PGR robusto funcionando en el Servicio y por otra, reportes de calidad, que entreguen
______________________________________________________________________________________________
4

_________________________________________________________________________________________________
informacin adecuada para la Presidencia de la Repblica, para la coordinacin y gestin

adecuada de los diversos organismos del Gobierno.
Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General
de Gobierno deber focalizarse en informar sobre los riesgos reales y potenciales para la
entidad o Servicio, para efectos de hacer una gestin ms eficiente, priorizando los temas y
materias de mayor relevancia y criticidad en cada proceso o actividad que desempea.
II.-
OBJETIVO GENERAL DEL DOCUMENTO
Documentar los procedimientos y facilitar a las entidades del Estado, la implementacin y

cumplimiento satisfactorio del Objetivo Gubernamental de Auditora N 2 - 2014, referido a
mantener y mejorar el Proceso de Gestin de Riesgos en las entidades de la Administracin del
Estado. Para ello, todas las entidades del Estado deben cumplir al menos los siguientes
objetivos:
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento
del Proceso de Gestin de Riesgos en la entidad.
Este Objetivo Gubernamental estar regulado por la presente gua tcnica y por las dems
normativas e instrucciones que el CAIGG determine en forma complementaria.
III.-
RELACIN CON EL ASEGURAMIENTO
Durante los aos 2010 al 2013, las entidades del Sector Gubernamental cumplieron con un
Proceso de Gestin de Riesgos abreviado, que consideraba informar al Consejo de Auditora,
al menos, sus 20 riesgos crticos. Estos riesgos fueron clasificados y valorados en una Matriz
de Riesgos Abreviada, basada en la Matriz de Riesgos Estratgica del Servicio. De acuerdo a
la metodologa del ao 2014, deben tratarse por el Servicio o entidad los riesgos crticos
levantados e identificados en la Matriz de Riesgos Estratgica del Servicio, considerando las
correspondientes actividades de anlisis, valoracin, priorizacin y formulacin de planes para
la mitigacin de cada uno de los riesgos crticos.
En este marco, es necesario que los Auditores Internos entreguen aseguramiento razonable a
sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de tratamiento de los
riesgos identificados y presentados al Consejo de Auditora al 27.12.2013. De esta manera, el
auditor interno entregar su opinin acerca del tratamiento de los riesgos crticos priorizados en
el Servicio y si los planes formulados han logrado mitigar los riesgos hasta un nivel aceptable
para la entidad o si por el contrario se requiere reformular dichas medidas.
______________________________________________________________________________________________
5

_________________________________________________________________________________________________
IV.-
MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO

2014
El modelo metodolgico para la Gestin de Riesgos en las entidades del Estado estar basado
principalmente en las disposiciones de las Normas Chilenas ya mencionadas anteriormente:
NCh-ISO 31000:2012 - Gestin del Riesgo - Principios y Orientaciones, NCh-ISO 31010:2013 Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo, NCh-Gua ISO 73:2012 Gestin del
Riesgo - Vocabulario, y NCh-ISO 31004:2014 Gestin del Riesgo Orientacin para la
implementacin de ISO 31000 y, en menor medida, en otros marcos de gestin de riesgos
corporativos2.
El presente documento se entender como el marco tcnico para el Objetivo Gubernamental N
2 - 2014, y en general como marco de referencia para el funcionamiento y mantencin del
Proceso de Gestin de Riesgos en el Estado.
V.-
PROCESO DE GESTIN DE RIESGOS
1.- Conceptos Generales Sobre Riesgos

La Norma NCh-ISO Gua 73:2012 define riesgo como el efecto de la incertidumbre sobre los
objetivos y destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales
eventos y consecuencias, o a una combinacin de ambos. Por su parte, en el Marco Integrado
de Control Interno COSO I (Versin 2013) el riesgo se define como la posibilidad
(probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto)
negativamente a la consecucin de los objetivos. La evaluacin del riesgo implica un proceso
dinmico e iterativo para identificar y evaluar los riesgos de cara a la consecucin de los
objetivos. Dichos riesgos deben evaluarse en relacin a unos niveles preestablecidos de
tolerancia. De este modo, la evaluacin de riesgos constituye la base para determinar cmo se
gestionarn. Una condicin previa a dicha evaluacin es el establecimiento de objetivos
asociados a los diferentes niveles de la entidad.
El Marco Integrado de Control Interno COSO I (Versin 2013) incluye adicionalmente a los
atributos clsicos de evaluacin de riesgos: probabilidad y consecuencia o impacto, dos nuevos
elementos a tener en cuenta; especficamente se incluye el concepto de velocidad y el de
persistencia de los riesgos:
La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

decir, se refiere al ritmo con el que se espera que la entidad experimente el impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto en la entidad
despus de que el riesgo se haya materializado.
En forma complementaria, el documento Risk Assessment in Practice Thought Paper de la

organizacin COSO3 emitido el ao 2012, incluye en la evaluacin del riesgo los elementos de
velocidad de ocurrencia y vulnerabilidad, cuyo concepto corresponde a la incapacidad de
2
3
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.
www.coso.org
______________________________________________________________________________________________
6

_________________________________________________________________________________________________
resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para reponerse

despus de que haya ocurrido un desastre.
Sin perjuicio de lo previamente sealado, y en consideracin a que estos conceptos son an
muy preliminares en teora de riesgos, la evaluacin del nivel de severidad del riesgo en el
modelo metodolgico que se presenta ms adelante en este documento, se realizar en base a
los criterios clsicos, es decir, en base a la probabilidad de ocurrencia e impacto del riesgo.
2.- Conceptos Generales Sobre Gestin de Riesgos
Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y
mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el
quehacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y
los administradores y a la creacin de valor para los interesados o stakeholders, en este caso,
para el ciudadano. Para lograr todo ello, la alta direccin cuenta con herramientas como la
gestin de riesgos y el control interno. La primera como un proceso para identificar, evaluar,
manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del alcance de los objetivos de la organizacin; y el
segundo, entendido como un sistema de acciones y medidas asumidas por quienes toman las
decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y
metas establecidas.4
En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan
a factores internos y externos que hacen incierto saber si y cundo van a alcanzar sus
objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organizacin, se
denomina riesgo5. La Gestin de Riesgos es un proceso estructurado, consistente y continuo
implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la
organizacin juegan un rol en el aseguramiento de xito de la Gestin de Riesgos, pero la
responsabilidad principal de la misma recae sobre la Direccin.6
La definicin anterior se puede complementar con otros importantes elementos:
La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora

organizacional a travs del perfeccionamiento de los procesos.
Puede ser aplicada a todos los niveles de una organizacin, es decir, en los niveles
estratgicos, tcticos y operacionales.
Tambin puede ser aplicada a proyectos especficos, para sustentar decisiones
especficas o para administrar reas especficas de riesgo.
Para cada fase del Proceso de Gestin de Riesgos deberan mantenerse registros
adecuados, suficientes como para satisfacer a una auditora externa o certificacin
independiente.
No slo considera la identificacin y tratamiento de riesgos, sino que tambin las
oportunidades que contribuyan al logro de los objetivos.
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.
______________________________________________________________________________________________
7

_________________________________________________________________________________________________
La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe
adecuarse a la entidad y al sector que sta pertenece.
Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos
Mejora las posibilidades de alcanzar los objetivos en la organizacin.

Incrementa el entendimiento de riesgos claves y sus implicaciones en la organizacin.
Se identifica y comparte la responsabilidad de la administracin de los riesgos del
negocio.
Genera y fortalece el enfoque en asuntos que realmente importan a la organizacin.
Contribuye a disminuir las sorpresas y crisis en la organizacin.
Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados
en mejor forma.
Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y
econmicas.
Genera mayor informacin y con ms transparencia sobre los riesgos identificados,
tomados y las decisiones realizadas.
La gestin de riesgos debe considerar al definir los criterios de riesgo, el Apetito del Riesgo de
la entidad o Servicio. Este concepto se ha definido en algunos marcos de control interno y de
gestin de riesgos como: la cantidad de riesgo, desde un punto de vista amplio, que una
organizacin est dispuesta o desea aceptar en la persecucin de valor7; el riesgo que se est
dispuesto a aceptar en la bsqueda de la misin/visin de la entidad8 o la cantidad y tipo de
riesgo que una organizacin desea retener o perseguir9. Esto es, cuanto riesgo se puede
aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar un
servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El
apetito de riesgo debe ser revisado por la Direccin por lo menos una vez al ao, junto con la
estrategia de la organizacin y los procesos de planificacin.
Tambin hay que considerar el concepto de Tolerancia al Riesgo, que es el nivel aceptable de
la variacin alrededor del logro de un objetivo de negocio especfico, el que debe alinearse con
el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en
el cumplimiento de los objetivos y la atencin a los ciudadanos. Dicho de otra forma, la
tolerancia al riesgo es la cantidad mxima de un riesgo que una organizacin pblica est
dispuesta a aceptar para lograr sus objetivos.
Otro concepto importante que se debe considerar al definir los criterios, es la Capacidad de
Riesgo, que hace referencia a la cantidad y tipo de riesgo mximo que una organizacin
pblica es capaz de soportar en la persecucin de sus objetivos.
Los conceptos antes sealados deben ser considerados al implementar el Proceso de Gestin
de Riesgos, especialmente cuando las entidades gubernamentales formulen y presenten para
su aprobacin al Consejo de Auditora, un modelo adaptado a sus caractersticas y
necesidades especficas. Lo anterior, teniendo en cuenta que hay entidades del Estado que
7
Marco Integrado de Gestin de Riesgos COSO II.

Marco Integrado de Control Interno COSO I (Versin 2013).
9
NCh-ISO GUIA 73:2012.
______________________________________________________________________________________________
8

_________________________________________________________________________________________________
manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo social potencialmente
son ms riesgosas por el tipo de usuario vulnerable) y cada una tiene niveles distintos de
tolerancia y capacidad de riesgos.
3.- Modelos para la Gestin de Riesgos
Si bien existe una diversidad de modelos o framework para la gestin de riesgos, en principio
su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz
distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO
31000:2012.
Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren
continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general
en la gobernanza de la organizacin, la estrategia y la planificacin, la gestin, los procesos de
informacin, las polticas, los valores y la cultura, de manera que sea un proceso integrado en
toda la entidad.
La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en
cualquier momento, as como a las funciones especficas, proyectos y actividades.
Para que la gestin del riesgo sea eficaz, las organizaciones deberan cumplir en todos sus
niveles con los principios siguientes:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeo. Por ejemplo, en lo referente a la salud y seguridad de las personas, al
cumplimiento de los requisitos legales y reglamentarios, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficiencia en las
operaciones, y a su gobernanza y reputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin
La gestin del riesgo no es una actividad independiente separada de las actividades y procesos
principales de la organizacin. La gestin del riesgo es parte de las responsabilidades de
gestin y una parte integral de todos los procesos de la organizacin, incluyendo la
planificacin estratgica y todos los procesos de la gestin de proyectos y de cambios.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas,
a priorizar las acciones y a distinguir entre planes de accin alternativos.
d) La gestin del riesgo trata explcitamente la incertidumbre
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa
incertidumbre, y la manera en que se puede tratar.
______________________________________________________________________________________________
9

_________________________________________________________________________________________________
e) La gestin del riesgo es sistmica, estructurada y oportuna

Un enfoque sistemtico, oportuno y estructurado de la gestin del riesgo contribuye a la
eficiencia y a resultados coherentes, comparables y fiables.
f) La gestin del riesgo se basa en la mejor informacin disponible
Los elementos de entrada del proceso de gestin del riesgo se basan en fuentes de
informacin tales como datos histricos, experiencia, retroalimentacin de las partes
interesadas, observacin, pronsticos y juicios de expertos. No obstante, quienes toman las
decisiones deberan informarse y tener en cuenta todas las limitaciones de los datos o modelos
utilizados, as como las posibles divergencias entre expertos.
g) La gestin del riesgo se adapta
La gestin del riesgo se alinea con el contexto externo e interno de la organizacin y con el
perfil del riesgo.
h) La gestin del riesgo integra los factores humanos y culturales
La gestin del riesgo permite identificar las capacidades, las percepciones y las intenciones de
las personas externas e internas que pueden facilitar u obstruir el logro de los objetivos de la
organizacin.
i) La gestin del riesgo es transparente y participativa
El involucramiento apropiado y oportuno de las partes interesadas y, en particular, aquellos que
toman decisiones en todos los niveles de la organizacin, asegura que la gestin del riesgo se
mantenga pertinente y actualizada. El involucramiento tambin permite a las partes interesadas
estar correctamente representadas y que sus opiniones se consideren en la determinacin de
los criterios de riesgo.
j) La gestin del riesgo es dinmica, iterativa, y responde a los cambios
La gestin del riesgo est continuamente percibiendo los cambios y respondiendo a ellos.
Mientras ocurren eventos externos e internos, cambian el contexto y los conocimientos, se
realiza el monitoreo y la revisin de riesgos, surgen nuevos riesgos, algunos cambian y otros
desaparecen.
k) La gestin del riesgo facilita la mejora continua de la organizacin
Las organizaciones deberan desarrollar e implementar estrategias para mejorar su madurez en
la gestin del riesgo junto a los dems aspectos de la organizacin.
______________________________________________________________________________________________
10

_________________________________________________________________________________________________
4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012

El xito de la gestin de riesgos depender de la efectividad del marco para manejar los
riesgos, que provee las bases y fundamentos que traspasa la organizacin en todos sus
niveles. El marco colabora en la gestin efectiva de los riesgos, a travs de procesos de
administracin de riesgos en varios escenarios y contextos del Servicio o entidad. El marco
asegura que la informacin derivada de ese proceso sea adecuadamente comunicada y se
utilice como una base para la toma de decisiones por parte de la autoridad y para la rendicin
de cuentas o accountability de las mismas.
El marco de trabajo no pretende prescribir un sistema de gestin, sino ms bien ayudar a la
organizacin a integrar la gestin del riesgo en su sistema de gestin global. Por ello, las
organizaciones deberan adaptar los componentes del marco de trabajo a sus necesidades
especficas.
Si las prcticas y procesos de gestin existentes en una organizacin incluyen componentes de
gestin del riesgo, o si la organizacin ya ha adoptado un proceso formal de gestin del riesgo
para tipos o situaciones particulares de riesgo, entonces stos se deberan revisar y evaluar de
forma crtica de acuerdo con esta norma, a fin de determinar si la gestin de riesgos ha sido
adecuada y eficaz.
El marco describe los elementos necesarios para la gestin de riesgos y la forma cmo estos
componentes se interrelacionan entre s, como se seala en el cuadro N 1 a continuacin.
Cuadro N 1: Elementos del Marco de Trabajo de la Gestin del Riesgo
______________________________________________________________________________________________
11

_________________________________________________________________________________________________
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
4.1.- Mandato y Compromiso
La introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la organizacin gubernamental, as como
establecimiento de una planificacin estratgica y rigurosa para lograr el compromiso a todos
los niveles.
4.2.- Diseo del Marco de Trabajo de la Gestin del Riesgo
4.2.1.- Comprensin de la Organizacin y de su Contexto. Antes de iniciar el diseo y la
implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender
el contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir
significativamente en el diseo del marco de trabajo.
4.2.2.- Establecimiento de la Poltica de Gestin del Riesgo. La poltica de gestin del
riesgo debera indicar claramente los objetivos y el compromiso de la organizacin en materia
de la gestin del riesgo
4.2.3.- Obligacin de Rendir Cuentas (Accountability). La organizacin se debera asegurar
que la obligacin de rendir cuentas, la autoridad y las competencias apropiadas para gestionar
el riesgo estn establecidas, incluyendo la implementacin y la mantencin del proceso de
gestin del riesgo y asegurando la idoneidad, eficacia y eficiencia de todos los controles.
4.2.4.- Integracin en los Procesos de la Organizacin. La gestin del riesgo debera estar
integrada en todas las prcticas y procesos de la organizacin, de una manera que sea
pertinente, eficaz y eficiente. El proceso de gestin del riesgo debera formar parte de los
procesos de la organizacin, y no ser independiente de ellos. En particular, la gestin del riesgo
debera estar integrada en el desarrollo de la poltica, en la planificacin y revisin de la
actividad y la estrategia, y en los procesos de gestin de cambios.
4.2.5.- Recursos. La organizacin debera proporcionar los recursos adecuados para gestin
del riesgo.
4.2.6.- Establecimiento de los Mecanismos Internos de Comunicacin y de Reporte. La
organizacin debera establecer mecanismos internos de comunicacin y de reporte con objeto
de apoyar y fomentar la obligacin de rendir cuentas y la propiedad del riesgo.
4.2.7.- Establecimiento de los Mecanismos Externos de Comunicacin y de Reporte. La
organizacin debera desarrollar e implementar un plan para comunicarse con las partes
interesadas externas.
4.3.- Implementacin del Marco de Trabajo de la Gestin del Riesgo y del Proceso de
Gestin del Riesgo
4.3.1.- Implementacin del Marco de Trabajo de la Gestin del Riesgo. Para esta actividad
la organizacin debera:
______________________________________________________________________________________________
12

_________________________________________________________________________________________________
Definir el calendario y la estrategia apropiados para la implementacin del marco de trabajo;

Aplicar la poltica y el proceso de gestin del riesgo a los procesos de la organizacin;
Cumplir los requisitos legales y reglamentarios;
Asegurar que la toma de decisiones, incluyendo el desarrollo y el establecimiento de los
objetivos, se alinean con los resultados de los procesos de gestin del riesgo;
Organizar sesiones de informacin y de entrenamiento; y
Comunicar y consultar a las partes interesadas para garantizar que su marco de trabajo de
la gestin del riesgo continua siendo apropiado.
4.3.2.- Implementacin del Proceso de Gestin del Riesgo. La gestin del riesgo se debera
implementar de manera que se asegure que el proceso de gestin del riesgo, se aplica
mediante un plan de gestin del riesgo en todos los niveles y funciones pertinentes de la
organizacin, como parte de sus prcticas y procesos.
4.4.- Monitoreo y Revisin del Marco de Trabajo
Con objeto de asegurar que la gestin del riesgo es eficaz y contribuye a ayudar al desempeo
de la organizacin sta debera:
Medir el desempeo de la gestin del riesgo respecto a los indicadores, que se revisan
peridicamente en cuanto a su idoneidad;
Medir peridicamente el progreso y las desviaciones respecto al plan de gestin del riesgo.
Revisar peridicamente si el marco de trabajo, la poltica y el plan de gestin del riesgo
siguen siendo apropiados, a la vista del contexto interno y externo de la organizacin;
Establecer informes sobre los riesgos, sobre el progreso del plan de gestin del riesgo y
sobre la forma en que se est siguiendo la poltica de gestin del riesgo; y
Revisar la eficacia del marco de trabajo de gestin del riesgo.
4.5.- Mejora Continua del Marco de Trabajo
En base a los resultados obtenidos del monitoreo y de las revisiones, se deberan tomar
decisiones sobre cmo mejorar el marco de trabajo, la poltica y el plan de gestin del riesgo.
Estas decisiones deberan conducir a mejoras en la gestin del riesgo por parte de la
organizacin, as como a mejoras de su cultura de gestin del riesgo.
5.- Fases Genricas en el Proceso de Gestin de Riesgos
Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de
mayor o menor difusin, el Consejo de Auditora ha decidido utilizar un modelo genrico, que
recoge en su mayor parte los elementos del Proceso de Gestin de Riesgos contenidos en la
Norma NCh-ISO 31000:2012, que en su desarrollo y mejora a travs del tiempo permita a las
entidades gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese
necesario.
Las fases en que se desagrega dicho modelo genrico y que debern desarrollarse para
implementar el Proceso de Gestin de Riesgos en los servicios y entidades del Estado, se
sealan a continuacin:
______________________________________________________________________________________________
13

_________________________________________________________________________________________________
Establecimiento del Contexto: Definicin de los parmetros externos e internos a tener en

cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo
para la poltica de gestin del riesgo. Comprende establecer los contextos estratgico,
organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Deben establecerse los objetivos de la evaluacin del riesgo, los criterios contra los cuales
se evaluarn los riesgos, el programa de evaluacin del riesgo y definirse la estructura de
anlisis, los roles y responsabilidades.
Evaluacin del Riesgo: La evaluacin del riesgo es el proceso global de identificacin del
riesgo, de anlisis del riesgo y de valoracin del riesgo.
Identificacin del Riesgo: Proceso de bsqueda, reconocimiento y descripcin de
riesgos. Comprende identificar los riesgos que podran impedir, degradar o demorar el
cumplimiento de los objetivos estratgicos y operativos de la organizacin, as como las
oportunidades que puedan contribuir al logro de los referidos objetivos.
Anlisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo. El anlisis del riesgo proporciona las bases para la
valoracin del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El
anlisis debera considerar el rango de consecuencias potenciales y cun probable es
que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir
un nivel estimado de riesgo segn la definicin de la organizacin. Adicionalmente se
debe identificar y analizar los controles mitigantes existentes.
Valoracin del Riesgo: Proceso de comparacin de los resultados del anlisis del
riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud es
aceptable o tolerable. Comprende comparar los niveles de riesgo encontrados contra
los criterios de riesgo aceptado preestablecidos por la organizacin, considerando el
balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar
mediante un ranking los riesgos analizados.
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
______________________________________________________________________________________________
14

_________________________________________________________________________________________________
cambios que se puedan producir en el nivel de desempeo requerido o esperado y dar

cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin.
Comunicacin y Consulta: Los procesos continuos e iterativos que realiza una

organizacin para proporcionar, compartir u obtener informacin y para comprometer el
dilogo con las partes interesadas en relacin con la gestin del riesgo. Comprende definir
y utilizar mecanismos para comunicar y consultar con los interesados internos y externos,
segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos. Dichos
mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto
de los riesgos con mayores desviaciones en relacin a los niveles aceptados.
A continuacin, en el cuadro N 2, se presenta un esquema representativo de la relacin entre

las fases genricas que componen un Proceso de Gestin de Riesgos, bajo la perspectiva que
se ha adoptado para su implementacin, como para el cumplimiento del Objetivo
Gubernamental N 2 - 2014.
Cuadro N 2: Esquema representativo del Proceso de Gestin de Riesgos NCh-ISO
31000:2012
Si el lector requiere ahondar en la teora que sustenta la Gestin de Riesgos Corporativos,

puede acudir, entre otras, a las siguientes fuentes de informacin:
______________________________________________________________________________________________
15

_________________________________________________________________________________________________
NORMA NCh-ISO 31000:2012 - Principios y Directrices para la Gestin de Riesgos.

www.inn.cl
NORMA ISO 31000:2009 Risk management - Principles and Guidelines. www.iso.org.
Marco COSO ERM. www.erm.coso.org. y www.coso.org.
Estndar Australiano/Neozelands AS/NZS 4360:1999.
OCEG, Red Book GRC Capability Model. www.oceg.org.
VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR
GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 2 2014
En los prrafos siguientes, se revisar cada una de las fases del Marco de Trabajo y del
Proceso de Gestin de Riesgos, destacndose aquellos requerimientos que deben ser
cumplidos por los Servicios o entidades gubernamentales para efectos del Objetivo
Gubernamental N 2 - 2014.
A. MARCO DE TRABAJO DE LA GESTIN DE RIESGOS
Para el ao 2014, las actividades comprendidas en cada elemento del Marco de Trabajo de la
Gestin del Riesgo, se implementarn y actualizarn en forma paralela y complementaria con
las actividades de implantacin del Proceso de Gestin de Riesgos en base a la NCh-ISO
31000:2012. Lo anterior, es factible producto del nivel de avance de las actividades y del actual
estado de madurez que han alcanzado en su funcionamiento los elementos y estructuras de
gestin de riesgos que se han venido implementando en base al Estndar
Australiano/Neozelands AS/NZS 4360:1999 y a la Norma Internacional ISO 31000:2009 en la
administracin gubernamental desde el ao 2007.
Los elementos componentes del Marco de Trabajo de la Gestin del Riesgo fueron descritos en
el punto V. N 4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012, de este documento.
B. MANTENCIN Y MEJORAMIENTO DEL PROCESO DE GESTIN DE RIESGOS
1.- FASE ESTABLECIMIENTO DEL CONTEXTO
En esta fase genrica, se contempla el establecimiento de los contextos estratgico,
organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Comprende el contexto interno, el externo y el contexto de gestin de riesgos.
1.1.- Contexto Interno y Externo
Para establecer el contexto organizacional o interno, es necesario comprender, entre otros, la
organizacin, su estructura interna, recursos humanos, filosofa y valores, polticas, misin,
metas, objetivos y estrategias para lograrlos.
Para establecer el contexto estratgico o externo, es necesario analizar el entorno en que
opera la organizacin, considerando aspectos tales como los financieros, operacionales,
competitivos, polticos, de imagen, sociales, culturales, legales, clientes y proveedores,
comunidad local y sociedad.
______________________________________________________________________________________________
16

_________________________________________________________________________________________________
Como una fuente de informacin para el establecimiento del contexto interno y externo, se
sugiere utilizar como insumo los anlisis que se han realizado en el Servicio, en el marco del
control de gestin, en las Definiciones Estratgicas (ver Instrucciones para la Formulacin Formulario A1 Ficha de Definiciones Estratgicas Ao 2014-DIPRES), ya que en ese mbito,
se han examinado y definido la misin ministerial e institucional, visin, ley orgnica,
programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos que pueden
utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de Programas, la
Evaluacin de Impacto, entre otros antecedentes.
En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de
gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos.
i) Establecer la Poltica de Riesgos: Corresponde a la declaracin de las intenciones y
orientaciones globales de una organizacin en relacin con la gestin del riesgo10. La poltica
de riesgos se debe definir y documentar, aprobndose por la direccin y debe contener al
menos los siguientes elementos:
La razn fundamental de la organizacin en materia de gestin del riesgo (el objetivo o

propsito de la gestin de riesgos).
Los enlaces entre los objetivos y las polticas de la organizacin y la poltica de la
gestin del riesgo.
Las obligaciones de rendir cuentas y las responsabilidades en materia de gestin del
riesgo.
La manera en la que se tratan los intereses que entran en conflicto.
El compromiso con el fin de tener disponibles los recursos necesarios para ayudar a
aquellos con la obligacin de rendir cuentas y responsables por la gestin del riesgo.
La manera en la que se mide e informa el desempeo de la gestin del riesgo.
El compromiso para revisar y mejorar la poltica de gestin del riesgo y el marco de
trabajo, peridicamente y como respuesta a un evento o a un cambio de las
circunstancias.
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad del Servicio, y que sea publicada y comunicada a travs de todos los niveles del
Servicio, estableciendo responsables de las comunicaciones. En Anexo N 1 se entrega un
ejemplo de poltica de gestin de riesgos.
Acciones Ao 2014
Durante el ao 2014 debe definirse la poltica o revisarse en caso de estar dictada, para
determinar su consistencia con las polticas y objetivos estratgicos del Servicio o entidad,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta el Servicio y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
10
NCH-ISO GUIA 73:2012
______________________________________________________________________________________________
17

_________________________________________________________________________________________________
Iniciar acciones para prevenir o reducir los efectos de los riesgos.

Controlar el tratamiento de los riesgos.
Identificar y registrar cualquier problema relacionado con la gestin de los riesgos.
Iniciar, recomendar o proveer soluciones a travs de estrategias.
Verificar a travs del monitoreo la implementacin de las soluciones contenidas en las
estrategias.
En Anexo N 2, se presenta un ejemplo de asignacin de roles y responsabilidades.

Es importante sealar que el Auditor Interno del Servicio no puede ser nombrado como
responsable en estos temas, ya que se estara afectando su objetividad e independencia al
momento de auditar el funcionamiento y efectividad del Proceso de Gestin de Riesgos
(actividad de aseguramiento). En Anexo N 3 se entrega un resumen del rol de la auditora
interna en un Proceso de Gestin de Riesgos, destacndose aquellas funciones que puede
realizar y aquellas que no le estn permitidas11.
Acciones Ao 2014
El Servicio o entidad deber definir los roles y las responsabilidades relacionados con el
Proceso de Gestin de Riesgos, para ello se debe tener en cuenta el tamao de la entidad, su
estructura y cultura organizacional, la jerarqua y la disponibilidad del personal para asumir
posiciones de coordinacin y/o responsabilidad. En caso de existir una asignacin de roles y
responsabilidades, sta debe analizarse para determinar si responde en forma adecuada a los
requerimientos del Proceso, examinando la necesidad de modificar roles, crear o eliminar
instancias, mejorar la definicin de responsabilidades, entre otros elementos. Es necesario
considerar en este anlisis el cambio de lineamientos y directrices que haya experimentado el
Servicio con ocasin del cambio de Gobierno.
iii) Establecer un Diccionario de Riesgos: A nivel terico y prctico se considera la
necesidad de formular un diccionario de riesgos para la entidad. En este caso, como se trata de
una entidad global (Sector Gubernamental), el Diccionario de Riesgos ha sido confeccionado y
remitido por el Consejo de Auditora Interna a todos los Servicios y entidades gubernamentales
para que lo utilicen.
Acciones Ao 2014
Durante el ao 2014 y en general, siempre que sea necesario, el Servicio puede incorporar
conceptos adicionales propios, a fin de hacer ms completo el Diccionario de Riesgos, sin
perjuicio de las medidas complementarias que al respecto pudiera tomar el Consejo de
Auditora.
1.2.- Contexto de Gestin de Riesgo
Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del
anlisis de riesgos.
11
Se hace de acuerdo a la mirada del Instituto de Auditores Internos Global (IIA).
______________________________________________________________________________________________
18

_________________________________________________________________________________________________
De acuerdo al modelo metodolgico adoptado por el Consejo de Auditora, el Proceso de

Gestin de Riesgos debe aplicarse a nivel de procesos, desagregados en subprocesos, etapas,
actividades y riesgos especficos.
Dentro de la sealada desagregacin en procesos, subprocesos y etapas, se incorporan
conceptos como la clasificacin en procesos transversales en la Administracin del Estado, la
tipificacin de riesgos y la ponderacin porcentual de la importancia estratgica de los
subprocesos que componen los procesos en la organizacin, que tambin deben ser
incorporados dentro del contexto de la gestin de riesgos.
1.2.1.- Desagregacin de Procesos Crticos y Modelamiento de Riesgos
Para levantar informacin de los procesos, la tcnica a utilizar para documentar y estructurar el
trabajo corresponde a la desagregacin de la informacin de procesos crticos de la institucin
(al menos un 40%) en una Matriz de Riesgos Estratgica (Ver NCh-ISO 31010:2013 - Matriz
de Consecuencia/Probabilidad). Esta tcnica permite correlacionar la estructura desagregada
de un proceso (subprocesos, etapas y actividades) con los objetivos operativos, el nivel de
riesgo, el nivel de eficiencia de los controles claves mitigantes y, finalmente, con el nivel de
exposicin al riesgo.
Esta tcnica tiene las siguientes ventajas:
Obliga al personal encargado a conocer e interactuar en forma integral con su

organizacin.
Permite construir la Matriz de Riesgos del Servicio o entidad de tipo global y las
matrices especficas para cada proceso relevante o materia especfica que se requiera
analizar.
Se genera una slida base para aplicar y documentar el Proceso de Gestin de
Riesgos.
Una vez identificados los procesos que desarrolla el Servicio se debe realizar la
desagregacin de procesos y el modelamiento de los riesgos y los controles.
i.- Metodologa
Paso N 1: Identificacin y Priorizacin de Procesos Crticos en la Institucin
Para efectos de este documento, se entender como proceso un conjunto de actividades
ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene uno o
ms clientes y proveedores, internos y/o externos a la organizacin en que opera. Podemos
agregar a esta definicin, que aquellos identificados como claves para el logro de la misin
institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos.
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
los Servicios deberan tener realizada y respaldada a travs de documentos formales, tales
como; bases tcnicas, trminos de referencia, reglamentos y normativas internas de los
programas y servicios que entregan las instituciones.
______________________________________________________________________________________________
19

_________________________________________________________________________________________________
En caso que dichas estructuras estn implcitas en la documentacin o no estn formalizadas,

se debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la
estructura de los procesos. Con esa informacin se debe analizar la relacin entre la misin del
Servicio, los objetivos estratgicos formales declarados y los procesos organizacionales,
identificando para cada proceso especfico, el nivel de contribucin que realiza a cada objetivo
estratgico, mediante la metodologa definida por el Consejo de Auditora.
Tal como se seal, hay que tener presente que muchos procesos inciden en forma indirecta
en el logro de los objetivos, ya que constituyen soporte para la realizacin de diversas acciones
de negocio, otros en cambio, inciden en forma directa. Debido a estas particularidades en la
organizacin, se ha estimado necesario formular un mtodo que permita distinguir entre el nivel
de contribucin o relevancia de cada uno de los procesos.
El nivel de contribucin que realiza un determinado proceso al cumplimiento de los objetivos
estratgicos del Servicio, ya sea un proceso relevante que desarrolla el Servicio tanto a nivel
estratgico externo, con el objetivo de satisfacer a sus usuarios; como a nivel interno, con la
finalidad de definir el soporte administrativo de la labor de la Institucin, se medir de acuerdo
con la siguiente escala:
Escala para Medir el Nivel de Contribucin que Afecta el Cumplimiento del Objetivo
Estratgico
Clasificacin
Descripcin del Nivel de Contribucin
Valor
del Nivel
Alto
El proceso aporta de manera fundamental en el cumplimiento del
3
objetivo estratgico.
Medio
El proceso aporta de manera importante en el cumplimiento del
2
objetivo estratgico.
Bajo
El proceso aporta de manera menor en el cumplimiento del objetivo
1
estratgico.
Nulo
El proceso no aporta en el cumplimiento del objetivo estratgico.
0
A continuacin se presenta un esquema matricial que permite identificar los procesos crticos
de acuerdo con esta metodologa, al relacionar cada uno de los procesos de la Institucin con
los objetivos estratgicos de la misma. El procedimiento especfico corresponder al siguiente:
Una vez identificados todos los procesos que existen en la institucin, se debe aplicar la
siguiente metodologa para determinar la priorizacin de los procesos en base a su nivel de
contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para
determinar cules sern los procesos crticos que se les realizar el modelamiento de riesgos.
______________________________________________________________________________________________
20

_________________________________________________________________________________________________
Esquema de Relacin y Priorizacin de Procesos Relevantes en la Institucin en

Relacin a los Objetivos Estratgicos
Misin Institucional: xxxxxxx
Objetivos
Objetivo
Objetivo
Objetivo
Objetivo
Nivel
de
Proceso
Estratgico Estratgico Estratgico Estratgico Contribucin
seleccionado
Procesos
1
2
...
n
Promedio
del
(2,0 3,0)
institucionales
Proceso
al
Cumplimiento de
los Objetivos
Proceso 1
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 1
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 2
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 2
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 3
Alto (3),
Alto (3),
Alto (3),
Alto (3),
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 3
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 4
..........
..........
..........
..........
..........
Proceso 5
..........
..........
..........
..........
..........
Proceso 6
..........
..........
..........
..........
..........
.......
..........
..........
..........
..........
..........
Proceso n
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso n
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la institucin. Se analiza cada proceso en relacin con el nivel en que aporta al
cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o Nulo, de acuerdo con
la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2.0 y 3.0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
______________________________________________________________________________________________
21

_________________________________________________________________________________________________
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
Ejemplo: Seleccin de procesos crticos en una organizacin que cuenta con tres objetivos
estratgicos:
Misin Institucional : xxxxxxxx
Objetivos
Procesos
institucionales
Abastecimiento
Financiero
Crediticio
Recursos Humanos
Comercializacin
Objetivo
Objetivo
Objetivo
Nivel
Estratgico Estratgico Estratgico contribucin
1
2
3
promedio
proceso
cumplimiento
los objetivos
3
2
3
2,6
2
1
0
1
1
2
1
1,6
3
2
1
2
1
2
1
1,3
de
del
al
de
Proceso
seleccionado
(2,0 3,0)
x
x
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
En todo caso, independiente de la clasificacin previamente explicada, el Servicio debe
seleccionar al menos un 40% de los procesos institucionales como de carcter crtico.
Paso N 2: Identificacin de Subprocesos en los Procesos Crticos
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales del Servicio). Los subprocesos corresponden
a aquellos componentes principales en el desarrollo de los procesos. Al igual que los procesos,
los subprocesos que los componen pueden ser de diversa importancia y tener distinta
influencia en la generacin de los productos o servicios.
Paso N 3: Identificacin de Etapas en cada Subproceso
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la institucin, entre
otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada Servicio o Institucin.
______________________________________________________________________________________________
22

_________________________________________________________________________________________________
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
Paso N 4: Identificacin de Objetivos Operativos
Se entender por objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso; si la
desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los
objetivos del proceso, subproceso o etapa estn establecidas a travs de documentos formales
(bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en
forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin
regulatoria y de soporte en los procesos.
Paso N 5: Identificacin de Riesgos Operativos Relevantes
Una vez identificados los objetivos operativos correspondientes a etapas o subprocesos
relevantes, segn sea la mxima desagregacin de los procesos donde se realizar el
levantamiento, es necesario identificar los riesgos relevantes que se presentan asociados a los
objetivos en cada proceso crtico o subproceso o etapa, entendiendo como tales a la
incertidumbre sobre los objetivos operativos, as como a la posibilidad (probabilidad) de que un
acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecucin total
o parcial de los objetivos operativos.
Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del
riesgo, de acuerdo con la escala presentada en el Anexo N 5 de este documento). Evaluando
en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su
impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del
riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la
matriz de impacto y probabilidad que se expone ms adelante en este documento12.
Adicionalmente, debe calificarse la fuente y tipologa de los riesgos de acuerdo a lo sealado al
punto 1.2.4 de este documento.
Paso N 6: Reconocimiento y Levantamiento de los Controles Claves
El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene el
Servicio y que se orientan a mitigar los riesgos operativos identificados. En este punto, debe
hacerse un anlisis de los controles relevando slo aquellos claves, cuyo objetivo es la
mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de acuerdo a su nivel de
cumplimiento con los elementos de un control adecuado especificados en el modelo y segn su
oportunidad, periodicidad y automatizacin, utilizando para ello la metodologa del Consejo de
Auditora (tablas para valuacin se presentan en el Anexo N 5).
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
______________________________________________________________________________________________
23

_________________________________________________________________________________________________
Luego, debe calcularse el nivel de exposicin al riesgo, que corresponde al nivel de riesgo una
vez considerada la calificacin de los controles. El nivel de exposicin al riesgo, se determinar
por riesgo, por etapa, por subproceso y por proceso (tablas para valuacin se presentan en el
Anexo N 5). Debe calcularse el riesgo ponderado por subproceso.
Paso N 7: Formulacin de la Matriz de Riesgos Estratgica
De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos
Estratgica del Servicio o Entidad al momento del anlisis de los procesos crticos, la que
contendr los siguientes elementos:
Procesos crticos de la institucin (previamente priorizados).

Identificacin de subprocesos componentes de los procesos crticos de la institucin y
su ponderacin.
Identificacin de etapas en cada subproceso (si corresponde).
Identificacin de los objetivos operativos por etapa o subproceso.
Identificacin de todos los riesgos operativos relevantes.
Identificacin de la fuente del riesgo y su tipologa.
Valor y clasificacin de la severidad de los riesgos operativos.
Identificacin, valor y clasificacin de la efectividad de los controles mitigantes
asociados al riesgo operativo.
Valor de la exposicin al riesgo individual, por etapa, subproceso y proceso crtico.
Valor de la exposicin ponderada por subproceso.
Es importante destacar que la informacin recabada en la Matriz de Riesgos Estratgica del

Servicio o entidad, corresponde al momento en el cual se realiza este levantamiento de
informacin, y debe ser actualizada en forma peridica. Un ejemplo de levantamiento de
proceso, se establece en el Anexo N 6.
Acciones Ao 2014
Para el desarrollo del Objetivo Gubernamental N 2 - 2014, el Servicio debe:
a) Identificar los procesos que desempea el Servicio.
b) Priorizar los procesos crticos segn su nivel de contribucin al cumplimiento de los
Objetivos Estratgicos.
c) Clasificar los procesos entre los procesos transversales definidos en esta Gua Tcnica.
d) Identificar los subprocesos que componen los citados procesos crticos.
e) Ponderar los subprocesos en relacin a su importancia para el proceso crtico que
componen (Ver punto 3.1.2).
f) Identificar las etapas que componen los subprocesos del proceso crtico (si
corresponde).
g) Identificar los objetivos o finalidades que tienen cada una de las etapas o subprocesos,
segn corresponda. Esta informacin debe derivarse de documentacin formal del
Servicio, como reglamentos e instructivos o de informacin emanada de los encargados
de los procesos crticos.
______________________________________________________________________________________________
24

_________________________________________________________________________________________________
h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa
o subproceso segn corresponda. Para esta identificacin se pueden utilizar diversas
herramientas como los talleres o la lluvia de ideas (Anexo N 7).
i) Clasificar los riesgos por tipo y origen definidos en esta Gua Tcnica.
j) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad
(tablas consideradas en Anexo N 5).
k) Identificar los controles claves asociados a los riesgos identificados, respondiendo las
preguntas qu control se realiza?; cmo se realiza?; quin los realiza?, cundo o
en qu oportunidad se ejecuta el control?
l) Valuar los controles claves en relacin a la efectividad de su diseo.
m) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso, segn
corresponda.
En el caso de haberse trabajado en la implementacin de procesos de gestin de riesgos con
anterioridad en el Servicio, es necesario revisar nuevamente la desagregacin de procesos, y
subprocesos, as como los objetivos, riesgos y controles, determinando si esta desagregacin y
la identificacin de riesgos y controles son adecuadas y corresponde a la realidad del Servicio.
Otro punto en los que debe tenerse especial consideracin, son en los cambios que hayan
enfrentado los lineamientos del Servicio, considerando que las nuevas autoridades, en los
casos que as sean, aportarn nuevos enfoques y nfasis que hay que tener en cuenta en la
Gestin de Riesgos.
1.2.2.- Procesos Transversales en la Administracin del Estado
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos especficos informados por los
Servicios con distintas denominaciones, pero que responden a una misma raz.
Acciones Ao 2014
Para el desarrollo de este Objetivo Gubernamental N 2 - 2014, los Servicios, debern clasificar
sus procesos en los procesos transversales definidos en la presente Gua Tcnica. Las
categoras vigentes para el ao 2014, se sealan en el siguiente cuadro N 3.
Cuadro N 3: Clasificacin
Administracin del Estado
Procesos Transversales
en la Administracin del
Estado
Subsidios
fomento
privados
de
Subsidios a privados social

Subsidios
asistencial
privados
y Descripcin
de
Procesos
Transversales
en
la
Descripcin
Procesos de Negocio
Se entienden aquellos cuyo objetivo es promover,
incentivos econmicos, que los particulares realicen por
actividades productivas.
Se entienden como tales los procesos cuyo objetivo es la
de ciertos objetivos sociales como la integracin, etc.
Consisten en procesos cuya finalidad es entregar
subsistencia a particulares.
mediante
s mismos
promocin
ayuda de
______________________________________________________________________________________________
25

_________________________________________________________________________________________________
Estado
Transferencias a/de otras
entidades pblicas
Servicios de atencin al
ciudadano contraprestacin
Servicios de atencin social/
previsional /salud
Crditos
prestamos
recuperacin
Almacenamiento y distribucin
Infraestructura
Asesora a infraestructura
Estudios para marco cultural
Estudios para regulaciones,
normativa y fijacin tarifaria
Administracin
de
bienes
estratgicos
Otorgamiento
y/o
reconocimiento de derechos
Mejoramiento de la gestin
Estudios e investigaciones
Legal estratgico
Control de outsourcing
Seguridad y Control
Personas y/o Recintos
Seguridad del transporte
Calificacin ambiental
de
Descripcin
Son procesos en que, por ley o convenios, se entregan o reciben
recursos de otro organismo del Estado.
Procesos que se orienten a servir a todos los ciudadanos a travs de
la entrega de atencin, servicios o productos.
Procesos que se orienten a prestar una atencin de salud,
previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Se refiere a procesos de entrega de prstamos, incluyndose los
procesos de planificacin, ejecucin y cobranzas.
Procesos que consistan en bodegaje, mantenimiento de stock y
distribucin de materiales o bienes.
Procesos que se refieran a los bienes muebles e inmuebles del
servicio que se utilizan para cumplimiento del rol del Servicio.
Procesos que impliquen estudios y acciones que apoyen decisiones
sobre la infraestructura.
Procesos de estudios culturales que releven las artes, literatura,
pintura y todo lo relacionado a temas culturales.
Procesos de estudios que sirvan o puedan servir de base para la
emisin de normativa, regulaciones, tarifas, etc.
Proceso a travs del cual el servicio gestiona aquellos bienes que
son indispensables para el cumplimiento de su funcin; que son de la
esencia de su negocio.
En el caso de aquellos servicios que entregan derechos o beneficios
a personas naturales como ser parte de un registro, derechos de
aguas, etc.
Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Aquellos estudios cuyo sentido es investigar un tema econmico,
financiero, de mercado u otra situacin determinada importante para
el Servicio.
Desarrollo de acciones legales y/o judiciales como negocio del
Servicio.
Equivalen a la gestin y monitoreo de los contratos que externalizan
funciones propias del Servicio.
Proceso relacionado con seguridad que realizan determinados entes
del estado en relacin a las personas en distintas calidades:
victimas, imputados, reos, reclutas y la ciudadana en general. Esto
podra incluir operaciones de distinta naturaleza como vigilancia,
traslados, control u otros de ndole distinta, relacionados con la
seguridad.
Procesos relacionados con seguridad operacional y respuestas ante
situaciones de emergencias de los servicios de transporte terrestre,
martimo y areo, as como de las instalaciones portuarias y
aeroportuarias o de cualquier otra ndole, en donde exista trfico de
pasajeros o carga.
Procesos relacionados a anlisis, autorizaciones y permisos medio
ambientales.
______________________________________________________________________________________________
26

_________________________________________________________________________________________________
Estado
Produccin
de
bienes
materiales
Comercializacin
Coordinacin de Acciones de
Emergencia
Planificacin presupuestaria
Planificacin estratgica
Coordinacin entre instancias
Gobierno Electrnico
Iniciativas de inversin
Mercado financiero
Sistemas
de
administrativos
informacin
Sistemas informticos
Fiscalizacin
Evaluacin y control de
substancias
Control de gestin
Corresponde a aquellos procesos productivos que generan bienes

materiales como resultado
Procesos que desarrollan aquellos Servicios que venden productos
y/o servicios a terceros.
Procesos asociados a la ejecucin y coordinacin de operaciones de
emergencia, gestin de recursos para emergencias, monitoreo y
anlisis de los diversos factores y elementos relacionados con
situaciones de emergencia o catstrofes.
Procesos Gerenciales
Proceso anual que se realiza en el Servicio para programar la
presupuestacin de las diversas acciones que ejecuta.
Proceso que realiza el servicio en el que fija sus objetivos, sus metas
y la forma como las cumplir.
Procesos que implican relaciones entre diversos niveles, personas o
entidades cuya organizacin y canalizacin son de responsabilidad
del servicio.
Procesos integrales para mejorar los servicios e informacin
ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de la
gestin pblica e incrementar la transparencia del sector pblico y la
participacin de los ciudadanos a travs del uso de las tecnologas
de informacin y comunicaciones (TIC)
Inversin
Todos los procesos de inversin considerados en el subttulo 31,
desde los estudios a la ejecucin.
Inversin en instrumentos financieros y de mercado accionario que
realizan algunos Servicios autorizados.
Informacin
Aquellos sistemas de informacin que entregan reportes y datos a
los que puedan tener acceso terceros
Soporte informtico interno del servicio, que comprende sistemas de

informacin contable, financieros y operativos que contienen datos
internos del Servicio.
Control Operativo de los Recursos Pblicos
Procesos a travs de los cuales los Servicios controlan a entes
externos en el cumplimiento de normas y estndares.
Proceso de control de substancias peligrosas.
Financiero
Legal
Comunicaciones
Adquisiciones
abastecimiento
Descripcin
Proceso a travs del cual el servicio controla el cumplimiento de las

metas, logros e indicadores que se ha definido en su planificacin.
Soporte
Procesos contables, de tesorera, registro presupuestario, etc.
Asesora y apoyo jurdico dirigido al quehacer interno del Servicio.
Acciones de difusin y publicidad de los programas y acciones
desarrolladas por el Servicio.
Incluye la programacin de compra, licitacin, compra, recepcin y
distribucin de los bienes y servicios adquiridos.
______________________________________________________________________________________________
27

_________________________________________________________________________________________________
Estado
Recursos humanos
Administracin/mantenimiento
recursos
Gestin documental
Auditora Interna
Recursos materiales
Descripcin
Incluye todos los procesos relacionados al personal, su capacitacin,
remuneraciones, feriados y bienestar.
Procesos de gestin de los recursos materiales del servicio,
inventario, baja y traslado.
Procesos de administracin, direccin, manejo, registro, archivo y
almacenamiento de documentacin del Servicio, con o sin apoyo de
sistemas informticos, referido tanto a documentacin interna como
externa del Servicio.
Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza el Servicio para cumplimiento de sus objetivos.
Es necesario relevar que los Servicios deben clasificar sus procesos slo en una de las
categoras antes definidas, basados en las caractersticas organizacionales y en los objetivos
de stos. Cuando existan dudas o diferencias respecto de la clasificacin de uno o ms
procesos dentro de la categora de procesos transversales, deber consultarse y discutirse con
el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un nuevo proceso
transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir Servicios cuyos procesos de
negocio correspondan a los que generalmente para las dems instituciones son de soporte,
como los procesos de contabilidad, de seleccin de recursos humanos, entre otros.
En el cuadro siguiente se entrega un ejemplo de dicha clasificacin.
Cuadro N 4: Ejemplo de Clasificacin de Procesos Crticos
Proceso Transversal
Proceso
Subproceso
Etapas
Objetivos
Crditos recuperacin de prstamos
Entrega de crditos de
fomento
Programa de beneficios
econmicos
para
mujeres emprendedoras
Subsidios
para
capacitacin
Entrega de bonos para
produccin de leche
Personal
Proceso
de
alerta
temprana
Compras
y
contrataciones
Subproceso 1
Subproceso 2
Etapa 1
.
.
.
---.
.
Subsidios a privados de fomento

Subsidios a privados social
Subsidios a privados de fomento
Recursos Humanos
Coordinacin de Acciones de
Emergencia
Adquisiciones y abastecimiento
______________________________________________________________________________________________
28

_________________________________________________________________________________________________
1.2.3.- Ponderacin Estratgica por Subprocesos Componentes de Procesos Crticos

Considerando que no todos los subprocesos tienen la misma importancia estratgica dentro de
un proceso crtico, debe definirse por la direccin el peso relativo que cada subproceso tiene
dentro de un proceso crtico, esto atendiendo a la relevancia o importancia estratgica que
tiene cada subproceso en la consecucin exitosa de los objetivos de cada proceso crtico. Esta
ponderacin de los subprocesos debe ser justificada adecuadamente, considerndose para
esta labor algunas variables como las siguientes:
El impacto de la concrecin de los riesgos en el subproceso para el proceso y el

Servicio.
El grado de complejidad de las etapas que se identifican al interior del subproceso.
Especializacin del personal que se requiere para desarrollar las diversas etapas y
actividades del subproceso.
Los recursos involucrados y su cobertura regional.
El uso de sistemas de medios de informacin, entre otros.
Eficiencia de los sistemas de informacin del subproceso.
Competencia, aptitud e integridad del personal.
Nivel de sistemas computarizados de informacin.
Oportunidad y efectividad de los sistemas de control interno.
Cambios organizacionales, operacionales, tecnolgicos y econmicos.
Caractersticas de los usuarios, clientes y proveedores.
Complejidad y volatilidad de las actividades desarrolladas en el subproceso.
Cambios organizacionales, operacionales, tecnolgicos y econmicos producidos.
La ponderacin porcentual distribuida en todos los subprocesos componentes de un proceso

crtico, debe sumar 100%.
Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los
subprocesos, deber consultarse y discutirse con el respectivo asesor o sectorialista del
Consejo de Auditora.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, los Servicios deben ponderar y/o
revisar las ponderaciones anteriores, considerando los siguientes puntos:
Todos los subprocesos identificados deben ponderarse.

La ponderacin de todos los subprocesos debe sumar cien por ciento (100%).
La ponderacin es reflejo de la importancia del proceso en el quehacer del Servicio, de
ello que los subprocesos que contribuyen a generar productos estratgicos del Servicio,
deberan tener mayor ponderacin.
La justificacin debe fundamentarse en algn criterio de los antes mencionados. No
basta sealar en qu consiste el subproceso, ni tampoco es suficiente indicar que se
trata de un subproceso clave al interior del Servicio, si no que es necesario sealar el
porqu de su relevancia.
La ponderacin y su justificacin deben considerar la relevancia financiera y los
recursos que involucran los procesos identificados.
______________________________________________________________________________________________
29

_________________________________________________________________________________________________
A continuacin en el cuadro N 5 se entrega, a modo de ejemplo, la ponderacin de

subprocesos componentes de un proceso crtico de una organizacin ficticia, con la justificacin
correspondiente:
Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Subprocesos
componentes de un Proceso Crtico
Proceso
Crdito
de
fomento para
mujeres
microempresar
ias
Capacitacin
para los
negocios
Descripcin
Se trata del proceso principal del

Servicio, que cumple el objetivo
estratgico de entregar apoyo a
las iniciativas de la mujer
microempresaria, involucra sobre
M$ 20.000, y se orienta a usuarias
en situacin vulnerable, con
ingresos anuales inferiores a las
200
UF.
Adems
es
un
instrumento para colaborar con la
recuperacin de las mujeres
microempresarias afectadas por el
terremoto
Se trata de un proceso importante,

ya que colabora al cumplimiento
del el objetivo estratgico de
entregar apoyo a las iniciativas de
la
mujer
microempresaria,
involucra un presupuesto superior
a M$ 3.000 y se dirige a mujeres
en situacin vulnerable con baja
escolaridad
Subprocesos
Postulacin
crdito
Evaluacin
crdito
Entrega crdito
13
10%
30%
25%
Recuperacin
crdito
35%
Postulacin
20%
Capacitacin
Evaluacin
13
Pond.
50%
30%
Justificacin de la ponderacin
La ponderacin baja considera que la postulacin
es una accin externa, propia de las usuarias.
Este subproceso es importante para el xito del
proceso por cuanto las deficiencias en la
evaluacin del crdito afectan la recuperacin del
mismo y la imagen del Servicio, por otra parte se
trata de una labor altamente especializada, para
la cual no siempre se cuenta con personal idneo.
Una mala evaluacin puede dejar sin crdito a
una mujer que perdi su negocio en el sismo.
Su nivel de complejidad es medio, pero se le
pondera con este porcentaje puesto que una mala
entrega podra afectar a otros usuarios
beneficiarios de los incentivos.
La baja recuperacin repercute en el presupuesto
del Servicio, afectando directamente a las otras
usuarias y la imagen del Servicio, adems en la
actualidad se hace manualmente y los errores en
su registro son frecuentes.
Se trata de un beneficio conocido por la poblacin
objetivo, del cual se realiza difusin desde hace
seis aos con buena respuesta de las usuarias. El
personal tiene experiencia y se cuenta con un
sistema de informacin para el ingreso y
validacin de datos de los postulantes.
Se trata de cursos contratados en el mercado,

entregados por personal externo al Servicio, que
debe ser monitoreado a fin que entregue materias
requeridas por las usuarias, con un nivel
comprensible para el pblico objetivo, con la
flexibilidad necesaria para mujeres y no siempre
se cuenta con personal adecuado y recursos para
la supervisin.
Es importante ya que es la forma de medir como
se ha recibido por las usuarias los contenidos de
los cursos y evaluar los resultados de los cursos.
No se cuenta con personal idneo en todas las
materias para hacer la evaluacin del curso y una
mala capacitacin afecta la imagen del Servicio.
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
______________________________________________________________________________________________
30

_________________________________________________________________________________________________
Proceso
Descripcin
Presupuesto y
Contabilidad
Se trata de un proceso de soporte,

que colabora a la ejecucin de los
procesos
que
genera
los
productos estratgicos del Servicio
Pond.
Subprocesos
13
Planificacin
40%
Pagos
30%
Registro
30%
Justificacin de la ponderacin
Su importancia se debe a la complejidad de
realizar una planificacin adecuada con
antecedentes efectivos de los recursos que se
utilizarn en el ao.
Un pago mal realizado afecta la planificacin y el
registro, sin embargo, la adecuada planificacin
facilita el control de los pagos.
..
1.2.4.- Tipologa de Riesgos

En el marco del levantamiento de procesos, debe utilizarse una tipologa o categorizacin de
riesgos. En estas categoras deben clasificarse los riesgos operativos que se identifiquen en la
prxima fase. La tipologa de riesgos, sirve para agrupar aquellos riesgos que tienen
caractersticas y elementos comunes.
En relacin a la fuente u origen de los riesgos, se puede sealar que existen riesgos de fuente
externa y riesgos de fuente interna14. Los riesgos de fuente externa, son aquellos que tienen su
origen en situaciones que estn fuera de la administracin y control del Servicio, como los
cambios polticos y sociales. Al contrario, son de fuente interna, los que se originan al interior
del Servicio, como los relacionados a las capacidades del personal y a la efectividad de los
sistemas de informacin.
En el cuadro N 6, se sealan ejemplos de los tipos de riesgos, considerando los elementos
que caracterizan a cada uno. Es necesario indicar que la clasificacin propuesta es una
adaptacin de la establecida en el Marco COSO ERM, que se ha modificado para ser aplicada
en el Objetivo Gubernamental de Auditora N 2 - 2014.
Cuadro N 6: Ejemplos de Tipificacin de Riesgos
Tipos de Riesgos
Elementos que los

Caracteriza
Financieros
Se relacionan con el uso

adecuado de los recursos
entregados por el Estado a
sus entidades
Econmicos
Se
relacionan
con
elementos
financieros,
comerciales
y
presupuestarios
Ejemplos de Riesgos Especficos

-
14
Mal uso de los recursos

Desviacin de recursos
Entrega de recursos a no beneficiarios
Malversacin de fondos
Uso de recursos con fines distintos a los aprobados
Falta de disponibilidad presupuestaria
Modificaciones
presupuestarias
por
deficiente
ejecucin
Errores en el servicio de la deuda
Servicio de la deuda muy alto
Exceso de compromisos del Servicio que afecten su
presupuesto
Malas inversiones en mercado de capitales
Deficiencias en la ejecucin presupuestaria del
Servicio
Falta de Suplementos del Ministerio de Hacienda o
falta de oportunidad en los mismos.
Cfr. COSO II. Gestin de Riesgos Corporativos.
______________________________________________________________________________________________
31

_________________________________________________________________________________________________
Tipos de Riesgos
Elementos que los

Caracteriza

-
Sociales
Se
relacionan
con
elementos de comunidad
social, cultural, demogrfica,
comportamientos sociales.
Tecnolgicos
Acerca de las tecnologas

de la informacin como
concepto y los cambios que
producen a nivel global en el
sector o el Servicio
Estratgicos
Medioambientales
Procesos
Legal
Personas
Imagen
Aspectos claves para el

desarrollo del Servicio, que
se relaciona con decisiones
superiores y poltica de
Gobierno
Aspectos que afectan la
calidad del medioambiente,
sean ocasionados por el
hombre o la naturaleza
Elementos
que
se
relacionan con los distintos
aspectos de los procesos
que desarrolla el Servicio;
como
el
diseo,
la
ejecucin, la supervisin y
los clientes
Aspectos de cumplimiento y
de conformidad del actuar
del
Servicio
con
la
normativa pblica general y
especfica
aplicable
al
Servicio
Aspectos relacionados al
personal del Servicio, desde
su ingreso hasta su egreso
del mismo.
Aspectos relacionados con
el perfil del Servicio y la
Deficiente comportamiento de usuarios (bajo

compromiso, bajo cumplimiento, etc.)
Problemas con los datos personales y privados de los
clientes o proveedores
Falta de responsabilidad social del Servicio o
excesivamente gravosa
Cambios culturales en los usuarios del Servicio (bajo
inters, dificultades para aplicar polticas, etc.)
Interrupcin de servicios
Complejidades del Comercio Electrnico gravosas
para el Servicio
Complejidades y requisitos del Gobierno Electrnico
Falta de cumplimiento de las obligaciones emanadas
del Gobierno Electrnico
Falta de confiabilidad de los datos externos
Desactualizacin del Servicio debido a las tecnologas
emergentes
Falta de poder adquisitivo del Servicio frente a las
nuevas tecnologas.
Falta de planificacin en los cambios de gobierno
Deficiencias en el conocimiento, comprensin y
aplicacin de las polticas pblicas por parte del
Servicio
Nuevas regulaciones y tarifas dificultan el quehacer
institucional o lo hacen ms gravoso
Falta de cumplimiento normativo en las emisiones y
residuos
Dificultades con el uso de la energa
Situaciones producidas por catstrofes naturales
Falta de garantas de desarrollo sustentable
Malas decisiones de impacto medioambiental
Deficiencias en el diseo del proceso
Ejecucin errnea de los procesos
Ejecucin inoportuna de los procesos
Falta de supervisin
Falta de responsables de ejecutar la supervisin y
monitoreo
Falta de medidas adoptadas ante la supervisin, o se
adoptan medidas que no son adecuadas
Falta de cumplimiento o deficiencias en el mismo por
parte de los clientes
Falta de actualizacin por cambios en la legislacin
Aumento de los requerimientos por cambio de
legislacin
Falta de cumplimiento de normas por deficiencias en
las mismas (normas oscuras o contradictorias, vacos
legales)
Falta de capacidad del personal
Personal sin capacitacin
Actividad fraudulenta del personal
Deficiencias en la seguridad e higiene y en el
ambiente de trabajo del Servicio.
Deficiencias en el cumplimiento de normas de
personal (dotacin, escalafn, etc.)
Escndalos
Corrupcin
______________________________________________________________________________________________
32

_________________________________________________________________________________________________
Tipos de Riesgos
Elementos que los

Caracteriza
reputacin social del mismo.
Percepcin de la comunidad
del actuar del Servicio
Sistemas
Bienes muebles e
inmuebles
Relacionado
con
los
sistemas de informacin del
Servicio, las tecnologas que
posee y los datos que
maneja.
Se
relacionan
con
elementos asociados a los
recursos
materiales
muebles o bienes races
que utiliza el Servicio para el
cumplimiento
de
sus
objetivos institucionales.

-
Incumplimiento de las funciones del Servicio

Disconformidad de los usuarios
Mal uso de recursos
Falta de integridad y confiabilidad de datos
Falta de disponibilidad de datos y sistemas
Deficiencias en la seleccin de sistemas
Deficiencias en el desarrollo y despliegue de los
sistemas
Deficiencias en el mantenimiento
Falta de interoperabilidad de los sistemas
Excesiva antigedad de los bienes
Difciles condiciones de proteccin de los bienes
Vulnerabilidad de los bienes ante el uso o ante
elementos externos que aceleran su deterioro
Incumplimiento o falta de planes de proteccin y
resguardo de bienes
Desaparicin fsica de bienes, el deterioro de los
bienes que imposibiliten cumplir su funcin
Mal uso de los bienes o en forma distinta a su
naturaleza
Otros
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, el Servicio debe calificar los
riesgos identificados de acuerdo a esta tipologa de riesgos. La definicin de estos criterios
debe ser aplicada en la siguiente Fase de Identificacin del Riesgo. La clasificacin y/o la
revisin de las tipologas de riesgo deben tener en consideracin los siguientes puntos:
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo
con el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn
sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y
ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la
imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
2.- FASE IDENTIFICACIN DE RIESGOS
La metodologa del Consejo de Auditora, considera la identificacin, anlisis y valoracin de
riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos del
Servicio. Las oportunidades y riesgos, son eventos, que se definen como un incidente que
emana de fuentes internas o externas que afectan la implementacin de la estrategia o logro de
los objetivos.
______________________________________________________________________________________________
33

_________________________________________________________________________________________________
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
Como puede apreciarse, la identificacin de eventos consta de dos aspectos, oportunidades y
riesgos.
2.1.- Identificacin de Oportunidades
Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos
que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da
el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor
apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin
de los mismos a la opinin pblica.
La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en
la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que
stas deben ser conocidas y evaluadas oportunamente por la direccin.
A continuacin, en el cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a
travs de eventos.
Cuadro N 7: Ejemplo de Identificacin de Oportunidades por Proceso
Entidad
Misin
Procesos
Sistema Crediticio
de Fomento
Servicio Apoyo
al Microcrdito
(ficticio).
Entregar apoyo
crediticio de
fomento a
grupos
vulnerables, de
mujeres y
jvenes.
Apoyo a la
Capacitacin
Recursos
Humanos
Sistemas de
Informacin
Contabilidad y
Presupuesto
15
Eventos/Oportunidades
Est dentro de los lineamientos del nuevo Gobierno.
Cambios sociales que apuntan a un papel protagnico de la
mujer.
La mujer estadsticamente es ms cumplidora y responsable con
sus deudas y compromisos.
Se han aumentado los fondos para apoyar a microempresarias
afectadas por el terremoto
La mujer en general, es responsable en asistencia a los cursos.
Los jvenes reclaman alternativas de mejoramiento.
En los ltimos aos ha existido una gran demanda por
capacitacin.
Existen muchos organismos tcnicos en el mercado que ofrecen
diversas alternativas.
El presupuesto de este ao contempla ms recursos que el ao
anterior para este proceso.
..
..
..
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la
consecucin de los objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se
denominan oportunidades y las que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
______________________________________________________________________________________________
34

_________________________________________________________________________________________________
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, se debe identificar
oportunidades a nivel global de procesos de negocio. Es importante la realizacin de esta
actividad, puesto que las oportunidades sirven a la institucin para retroalimentar las
estrategias, en especial para incorporar los nuevos nfasis de Gobierno.
2.2.- Identificacin del Riesgo
La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los
objetivos es fundamental en un Proceso de Gestin de Riesgos. En el Anexo N 7 se
acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y
oportunidades.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio debe identificar los riesgos o
revisar y mejorar su identificacin de riesgos, poniendo especial nfasis en los siguientes
puntos:
Identificar o actualizar los riesgos, considerando los cambios normativos,

presupuestarios o de los lineamientos del Gobierno o direccin, en especial los nuevos
enfoques y nfasis de Gobierno y de los jefes de Servicio u otras autoridades.
Identificar en la forma ms completa y desagregada posible los riesgos que se
relacionan a una etapa dentro de un proceso. Para ello se sugiere examinar las
actividades al interior de las etapas, identificando los riesgos que se asocian a dichas
actividades.
Identificar en forma prioritaria los riesgos asociados con aspectos econmicos y
financieros, considerando los recursos involucrados en los procesos y subprocesos.
Considerar que una etapa puede tener, y en general es as, ms de un riesgo.
Considerar que una buena y completa descripcin del objetivo operativo de la etapa
facilita la identificacin de riesgos.
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del
control realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin
lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es
distinta a la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la
efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin.
______________________________________________________________________________________________
35

_________________________________________________________________________________________________
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante
clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto
estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las
entidades.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, se debe sealar, de acuerdo a
la tipologa entregada, a qu tipo genrico de riesgo corresponde el riesgo operativo
determinado y cul es su fuente (externa o interna), como se seala a continuacin en el
ejemplo del cuadro N 8. Lo anterior implica poner un especial cuidado en dilucidar si el riesgo
identificado, tiene su origen al interior de la entidad, por lo tanto es manejable por sta, o si, en
caso contrario se origina externamente y slo pueden tomarse acciones paliativas que afecten
indirectamente el riesgo. Por ejemplo, cuando se trata de decisiones que son de
responsabilidad de otras reparticiones del Estado, tales como la Direccin de Presupuestos
(modificaciones presupuestarias), Ministerio de Planificacin (RS de inversiones), entre otros
casos.
Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa
Proceso
Transversal
Proceso
Subproceso
Pond.
Etapas
Objetivos
Recuperar
oportunamente
crditos
los
Cobranza
Contar
garantas
crditos
Crditos
Recuperacin
de prstamos
Crditos
de
fomento a
mujeres
microempr
esarias
Recuperaci
n del crdito
con
los
Falta
de
acciones
oportunas de cobranza
Insolvencia
de
los
deudores
Falta de garantas
Ingreso
inoportuno
incompleto de pagos
25%
Ingreso
fondos
recuperados
de
Ingresar los fondos

recuperados
en
forma oportuna y
completa
Fuente de
Riesgos
Riesgos especficos
Errores en la digitacin de
los montos
Problemas
en
la
transformacin
de
la
informacin del sistema
del Servicio al SIGFE
Tipo de
riesgo
Prob.
Cons.
Interna
Procesos
Externa
Econmico
Interna
Procesos
Interna
Personas
Interna
Personas
Interna
Tecnolgico
Se deber revisar la clasificacin de los riesgos realizada de acuerdo a la tipologa desplegada

en el cuadro N 6 anterior, prestando especial atencin a dos puntos especficos:
a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello
debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo, un
riesgo relacionado con la mala calidad de los datos e informacin del Servicio, es un
riesgo de origen interno, independientemente que la administracin del sistema de
informacin se haya externalizado, ya que el riesgo parte de una debilidad interna. En
cualquier caso, debe clasificarse slo en una fuente, no siendo vlido un riesgo
interno/externo, debiendo optarse por aquella fuente que tenga mayor importancia en el
origen del riesgo.
______________________________________________________________________________________________
36

_________________________________________________________________________________________________
b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua
tcnica. Para ello, debe considerarse principalmente la causa del mismo. Por ejemplo, si
se identifica un riesgo de corrupcin o de falta de probidad en el personal, nos
encontramos con un riesgo que se clasifica en la tipologa personas an cuando sus
consecuencias afectan tambin a la imagen del Servicio.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora.
3.- FASE ANLISIS DE RIESGOS
3.1.- Anlisis General de Riesgos
Los Servicios despus de desarrollar la identificacin de riesgos operativos, deben analizarlos,
examinando los riesgos en relacin a su probabilidad y consecuencias. A su vez, los controles
deben ser analizados en trminos de efectividad, para finalmente identificar el nivel de
exposicin al riesgo por proceso, subproceso, etapa y riesgo especfico.
Existen dos elementos que deben considerarse en esta fase:
3.1.1.- Anlisis de los Riesgos: Los Servicios debern poner al da su anlisis de riesgos, en
base a los criterios definidos en esta Gua Tcnica, actualizando la Matriz de Riesgos
Estratgica del Servicio o entidad y considerando en forma especial todos aquellos procesos
nuevos que desarrolle el Servicio, con sus respectivos riesgos y controles, analizando
especialmente los riesgos nuevos y los nuevos nfasis de Gobierno que han definido los Jefes
de Servicio y otras autoridades.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, y en general para un buen desempeo del
Proceso de Gestin de Riesgos, el Servicio debe analizar los riesgos y oportunidades,
poniendo especial nfasis en los siguientes puntos:
Analizar y/o actualizar los riesgos y su calificacin de probabilidad e impacto, de

acuerdo a las ltimas auditoras, los antecedentes histricos que se tengan y a los
cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos
objetivos, eliminacin de programas, cambios en las polticas gubernamentales,
modificaciones en la orientacin y lineamientos de la direccin, entre otras situaciones).
Analizar y/o actualizar los riesgos del Servicio, con especial nfasis en los riesgos
asociados con aspectos financieros, considerando los recursos involucrados en los
procesos y subprocesos y el uso de los mismos.
Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias
de aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las
auditoras a los diversos procesos del Servicio.
Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos
han sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en
consideracin que muchas veces el mejoramiento de las TIC se realiza en etapas o
actividades del proceso, pero su influencia e impacto irradia la totalidad del mismo.
______________________________________________________________________________________________
37

_________________________________________________________________________________________________
Analizar y/o actualizar los riesgos del Servicio, considerando los nuevos enfoques y
lineamientos del Gobierno, as como los cambios que experimentan los riesgos
identificados en aos anteriores.
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma
directa, de tal manera que los riesgos identificados impidan o dificulten el resultado
esperado por el Servicio al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que
hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos,
eliminacin de programas, entre otras situaciones); determinando si estos controles
estn documentados y si existe segregacin de funciones. Ver Anexo N 9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y
cundo lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu
se hace) a travs de comparar una muestra de al menos 30% de los contratos firmados
con las resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza
por el Jefe de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo
hace) emitiendo un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los
riesgos y controles.
3.1.2.- Incorporacin del Concepto de Ponderacin Estratgica: Debe aplicarse el concepto

de ponderacin estratgica a nivel de subproceso para cada proceso crtico. En efecto, para
determinar el nivel de exposicin al riesgo ponderada de los subprocesos, deber multiplicarse
el nivel de exposicin al riesgo de cada subproceso17 por el porcentaje de ponderacin
estratgica que a cada uno de ellos le fue asignado, de la forma que se explica en el cuadro a
continuacin:
Cuadro N 9: Ejemplo de Ponderacin Estratgica por Subprocesos
Proceso
Transversal
Proceso
Proceso
Transversal
1
Proceso
1
Proceso
Transversal
2
Proceso
2
Proceso
Transversal
3
Proceso
3
Subproceso
Subproceso
1
Subproceso
2
Subproceso
3
Subproceso
4
Subproceso
5
Subproceso
6
Pond.
18
70%
30%
60%
40%
50%
50%
Etapas
Nivel de Exposicin al Riesgo

Ponderada
Nivel de Exposicin al Riesgo
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Etapa 7
Etapa 8
Etapa 9
Etapa 10
Riesgo
Especfico
3
3
3
2
5
2
2
6
2
2
Etapa 11
Etapa 12
Etapa 13
2
4
4
Etapa
3
3
3
2
5
2
2
6
2
2
2
4
4
Subproceso
3
Proceso
2,8
2,5 x 30% = 0,75
2,5
3,5
Subproceso
3 x 70% = 2,1
3,8
3,5 x 60% = 2,1

4 x 40% = 1,6
2 x 50% = 1
2
2,7
3,3
3,3 x 50% = 1,65
Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.
17
Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.
______________________________________________________________________________________________
38

_________________________________________________________________________________________________
Acciones Ao 2014
Para el Objetivo Gubernamental N 2 - 2014, el Servicio debe definir las ponderaciones o
revisarlas y mejorarlas, de acuerdo a lo sealado en el punto 1.2.3 de este documento,
teniendo presente que los cambios de polticas de Gobierno, las modificaciones
presupuestarias y la orientacin en los lineamientos de la Direccin, las afectan directamente.
En especial, debe considerarse el enfoque de los directivos y la relacin de los procesos con el
cumplimiento de la misin institucional del Servicio y los recursos financieros involucrados.
4- FASE VALORACIN DE RIESGOS
La Fase de Valoracin de los Riesgos considera dos pasos. Primero la confirmacin del criterio
que se escoger (definido en la Fase de Definicin del Contexto de la Gestin de Riesgos) y
segundo la confeccin de un ranking de riesgos en la organizacin.
4.1.- Definicin y Confirmacin de Criterios
En el caso de los Procesos se utilizar como criterio para la confeccin del Ranking, el nivel de
exposicin al riesgo de los mismos. En cuanto a los subprocesos, se utilizar el criterio
asociado al nivel de exposicin al riesgo ponderada, esto es, el riesgo residual que subsiste
despus de aplicados todos los controles claves existentes. Para el desarrollo del Objetivo
Gubernamental, el nivel de exposicin al riesgo debe considerar la ponderacin estratgica de
subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica que el criterio
considerado para la evaluacin del riesgo es el de exposicin al riesgo ponderada para los
subprocesos (exposicin al riesgo x ponderacin estratgica). Esta evaluacin se determina
considerando los niveles de exposicin al riesgo de las etapas de acuerdo al promedio
aritmtico de los riesgos especficos de contiene cada una de las etapas del Subproceso.
En el cuadro N 10 que se presenta a continuacin, se muestra la relacin entre los distintos
componentes del anlisis de riesgos.
Cuadro N 10: Relacin entre Severidad del Riesgo y Exposicin al Riesgo
SEVERIDAD DEL
RIESGO
(Probabilidad X
Consecuencias)
EXPOSICIN AL
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
Los riesgos sin los

efectos mitigadores del
control
Nivel del Riesgo

Residual determinado
despus de aplicados los
controles existentes
Controles existentes para mitigar

la Severidad del Riesgo
EFECTIVIDAD DEL CONTROL
______________________________________________________________________________________________
39

_________________________________________________________________________________________________
4.2.- Ranking de Riesgos

Basado en la informacin contenida en la Matriz de Riesgos Estratgica del Servicio o entidad
construida en las fases anteriores del proceso, se debe evaluar en cules mbitos
organizacionales se requiere actuar en forma prioritaria (procesos, subprocesos y etapas).
Para dar cumplimiento a esta tarea, la organizacin debe construir un Ranking de Riesgos en
base al nivel de exposicin al riesgo para los procesos crticos (promedio aritmtico de la
exposicin al riesgo de los subprocesos) y en base al nivel de exposicin al riesgo ponderado
para los subprocesos que componen dichos procesos:
a.- Ranking de Procesos por Nivel de Exposicin al Riesgo
En el cuadro N 11 se presenta el esquema del anlisis a realizar para un proceso crtico que
fue desagregado hasta el nivel de riesgo operativo.
Cuadro N 11: Ejemplo de Ranking de Procesos por Nivel de Exposicin al Riesgo
Procesos
Entrega Crditos
Capacitacin
Contabilidad y Presupuesto
Nivel de Exposicin al
Riesgo
Ranking para priorizar

estrategias de tratamiento
de los riesgos en los
Procesos Crticos
4
3,5
3
.
1
2
3
.
De lo anterior, se deduce que el Servicio comenzar a definir y aplicar estrategias para efectuar
el tratamiento de los riesgos asociados al proceso con mayor nivel en el ranking, es decir, en el
ejemplo comenzar por el Proceso de Entrega de Crditos, seguir con el de Capacitacin y
as sucesivamente.
b.- Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado (ponderacin
estratgica)
Una vez identificados los procesos crticos dnde se aplicarn primero las estrategias para
tratar los riesgos, se deben identificar en base al nivel de exposicin al riesgo ponderado, los
subprocesos que componen los procesos crticos donde se aplicarn en forma prioritaria las
estrategias.
Dentro de los subprocesos priorizados deben ser tratados los riesgos, correspondientes a las
actividades que se desarrollan al interior de todas las etapas que los componen, priorizados de
acuerdo al nivel de exposicin al riesgo para cada etapa.
De esta manera, en el ejemplo el Ranking podra aparecer como sigue:
______________________________________________________________________________________________
40

_________________________________________________________________________________________________
Cuadro N 12: Ejemplo de Ranking de Subprocesos (Cuadro Considera el Ranking de

Etapas por nivel de exposicin al riesgo)
Procesos
Subprocesos
Subproceso 1
1
Entrega
Crditos
Subproceso 2
1,7
Subproceso 1
1,0
Subproceso 2
1,8
Ranking para
priorizar
estrategias de
tratamiento en
los
subprocesos
1,0
2
Capacitacin
Nivel de
Exposicin al
Riesgo
Ponderado
por
Subproceso
Etapas
Ranking para
Nivel de
priorizar
Fundamentos
Exposicin estrategias de
para la
al Riesgo tratamiento de los Priorizacin
por Etapa
riesgos en las
etapas
Etapa 1
2,1
Etapa 2
1,9
Etapa 2
Etapa 1
A nivel de
Subproceso
y a nivel de
Etapa
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, el Servicio debe hacer un
ranking de procesos, de subprocesos y etapas de acuerdo a los cuadros N 11 y N 12,
respectivamente.
Es importante que, en base la informacin proporcionada por los Ranking de Procesos y
Subprocesos (incluyendo el Ranking de Etapas), el Servicio o entidad determine qu etapas,
subprocesos y procesos sern abordados con acciones para tratar los riesgos especficos.
Dicha determinacin debe fundamentarse debidamente, en consideracin de aquellos riesgos
para los cuales no se tomarn acciones para disminuir los niveles de riesgo. Para una
adecuada fundamentacin, se debern considerar variables tales como la importancia
estratgica de los procesos y subprocesos, aspectos presupuestarios, nfasis de las
autoridades y todas aquellas variables que permitan justificar adecuadamente su tratamiento
versus las materias que no sern abordadas con planes de tratamiento.
Adicionalmente, para el cumplimiento del Objetivo Gubernamental N 2 - 2014, los Servicios y
entidades debern remitir al Sr. (a) Ministro (a) de la Cartera correspondiente para su
conocimiento y al Consejo de Auditora, la Matriz de Riesgos Estratgica del Servicio.
La fecha del envo de la Matriz de Riesgos Estratgica ser al 30.12.2014.
______________________________________________________________________________________________
41

_________________________________________________________________________________________________
5.- FASE TRATAMIENTO DE RIESGOS

La Fase Tratamiento de Riesgos, implica que la direccin debe tomar todas las acciones
necesarias en forma concreta para administrar los riesgos una vez que han sido analizados y
priorizados en el ranking de riesgos.
Por la importancia que esta fase adquiere en un Proceso de Gestin de Riesgos en el Sector
Gubernamental, se ha estimado necesario entregar algunos elementos que permitan una mejor
comprensin de los requerimientos realizados en el Objetivo Gubernamental de Auditora.
5.1.- Formular Estrategias para el Tratamiento y Monitoreo de los Riesgos
Una vez evaluados y priorizados los riesgos en las fases respectivas, la direccin debe asumir
la realizacin de las acciones concretas necesarias para tratarlos y monitorearlos, generando
una respuesta lo suficientemente adecuada para mantener la exposicin del riesgo en un nivel
aceptado.
Sin perjuicio de lo anterior, en los casos con niveles de exposicin al riesgo de nivel Bajo,
pese a que se identificaran controles muy efectivos en relacin al riesgo, habr que analizar la
severidad del riesgo en forma individual, en especial, el nivel de impacto que se producira de
materializarse dichos riesgos. Tambin debe realizarse un monitoreo que permita actualizar el
impacto o probabilidad oportunamente.
5.2.- Estrategias Genricas para Tratamiento de los Riesgos
La NCh-ISO 31000:2012 seala que el tratamiento del riesgo supone un proceso cclico de:
Evaluar un tratamiento del riesgo.

Decidir si los niveles de riesgo residual son tolerables.
Si no son tolerables, generar un nuevo tratamiento del riesgo.
Evaluar la eficacia de este tratamiento.
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
______________________________________________________________________________________________
42

_________________________________________________________________________________________________
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM seala que existen cuatro
estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos, desde el
punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de la
exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no
afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta
estrategia en el sector pblico est muy limitada, ya que la mayora de su quehacer se
encuentra normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de
una actividad, generalmente no es una decisin que se pueda adoptar en forma
independiente.
Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias
del riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la
efectividad del control asociado al riesgo.
Compartir: La probabilidad o las consecuencias del riesgo se reducen trasladando o, de

otro modo, compartiendo una parte del riesgo. Adicionalmente puede analizarse si es
posible mejorar la efectividad del control asociado al riesgo.
Aceptar: No se emprende ninguna accin que afecte a la probabilidad, las consecuencias

del riesgo o la efectividad del control asociado al riesgo (por ejemplo, la relacin costo
beneficios no lo justifica).
A continuacin se presentan algunos ejemplos para las estrategias genricas de tratamiento

del riesgo que se encuentran en la literatura, las que slo tienen la finalidad de ejemplificar esta
materia.
Cuadro N 13: Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad
del Riesgo y de la Exposicin al Riesgo
EVITAR
COMPARTIR
o
o
o
o
o
Prescindir de las actividades de una unidad

de negocio, agencia regional o subsidiaria.
Suspender la produccin de una lnea de
servicio o producto.
Terminar con las actividades de un programa,
proyecto o sistema.
Decidir
no
emprender
nuevas
iniciativas/actividades que podran dar lugar a
riesgos excesivos.
o
o
Adoptar seguros contra prdidas inesperadas

significativas.
Establecer acuerdos con otros Servicios o entidades
pblicas o privadas.
Protegerse contra los riesgos utilizando instrumentos
del mercado de capital a largo plazo, cuando se tenga
autorizacin para ello.
Externalizar procesos de negocio riesgosos siempre
que no correspondan al ejercicio mismo de sus
facultades.
Distribuir el riesgo mediante acuerdos contractuales
con entidades que acten como clientes, proveedores
u otros interesados.
______________________________________________________________________________________________
43

_________________________________________________________________________________________________
REDUCIR
Diversificar las ofertas de servicios y
productos.
Establecer lmites en la ejecucin del
presupuesto por regin o unidad.
Establecer procesos de negocio eficaces.
Aumentar la implicacin de la direccin en la
toma de decisiones y el seguimiento.
Reasignar los recursos presupuestarios entre
las unidades operativas.
o
o
o
o
o
ACEPTAR
o
o
o
Provisionar las posibles prdidas.

Confiar en las compensaciones naturales existentes
dentro de una cartera.
Aceptar el riesgo si se adapta al nivel mximo
preestablecido.
5.3.- Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos

Una vez conocidas las estrategias genricas para tratar los riesgos, es necesario a travs de la
evaluacin de los costos y beneficios potenciales, determinar qu estrategia va a utilizar el
Servicio y hacia dnde orientarlas. Para ello, es necesario tener presente algunas
consideraciones:
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la
Severidad del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los
controles.
Deben considerarse una cantidad de opciones individualmente o combinadas. Es
posible que una estrategia de respuesta afecte a mltiples riesgos.
El costo de administrar un riesgo, necesariamente debe ser compensado con beneficios
relacionados, sean sociales y/o econmicos.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
El objetivo principal de la seleccin de las estrategias siempre debe ser el reducir la
severidad del riesgo y/o aumentar la efectividad del control existente, acciones que
finalmente repercuten en bajar el nivel de la exposicin al riesgo.
En el cuadro N 14 se presenta una relacin comparativa de la aplicacin de las estrategias y

su efecto potencial en la severidad del riesgo y en la efectividad del control.
______________________________________________________________________________________________
44

_________________________________________________________________________________________________
Cuadro N 14: Relaciones Generales Entre las Estrategias y su Efecto en el Riesgo y

Efectividad del Control
Estrategias
Genricas
Efecto potencial en los

componentes de la Severidad del
Riesgo
Efecto potencial en
la Efectividad del
Control
Situacin esperada en
relacin con el Nivel de
Exposicin al Riesgo
Evitar
La probabilidad e impacto no se
reducen.
Reducir
El nivel de probabilidad o impacto

se reducen (o ambos).
Mejora su efectividad
El Nivel de Exposicin al Riesgo

est fuera de los lmites aceptados
por el Servicio. No se ve afectada.
disminuye.
Compartir
El nivel de probabilidad o impacto

se reducen (o ambos).
Mejora su efectividad

disminuye.
Aceptar
La probabilidad e impacto no se
reducen.

debiera estar ya dentro de los
lmites con que el Servicio puede
aceptar operar.
5.4.- Preparar e Implementar Planes de Tratamiento y Monitoreo

La Direccin debe aprobar los planes y estrategias seleccionadas. En consideracin a que
dentro de los procesos y subprocesos priorizados, deben tratarse todos los riesgos que
corresponden a la actividades de las etapas que stos ltimos contienen, as como los riesgos
de entrada y salida de cada subproceso, es recomendable gestionar los riesgos bajo una
perspectiva de cartera o portafolio, esto implica analizar los riesgos en su conjunto,
considerando cmo los riesgos individuales se interrelacionan en el mbito organizacional.
Debe definirse responsables de la estrategia, plazos, indicadores de logro, periodo de
medicin, etc.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, el Servicio debe confeccionar un
Plan de Tratamiento de Riesgos, que contenga todos los riesgos crticos del Servicio o entidad,
de acuerdo a la priorizacin realizada. El Plan de Tratamiento de Riesgos deber presentarse
al Consejo de Auditora al 30.12.2014.
El Plan de Tratamiento deber realizarse teniendo en consideracin los siguientes puntos:
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de
manera de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deben ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy
limitada en el sector pblico.
______________________________________________________________________________________________
45

_________________________________________________________________________________________________
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que
se deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento, de acuerdo al formato del
cuadro N 15 siguiente y, que contendr las medidas a adoptarse ante los riesgos crticos del
Servicio o entidad.
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Proceso
Transversal
(1)
Proceso
(2)
Ranking
de
Procesos Subproceso
(3)
(4)
Etapa
(5)
Riesgo
Especfico
(6)
Fuente del
Riesgo
(7)
Tipo de
Riesgo
(8)
Estrategia
Genrica
(9)
Efecto
Periodo
Potencial en
Medicin
Evidencia
Descripcin
la Severidad Responsable
del
que se
de la
Indicador
Meta
de Riesgo y/o
de la
Plazo
Indicador
Observar
Estrategia a
de Logro
(16)
Efectividad
Estrategia
(13)
(15)
(17)
Aplicar
(14)
del Control
(12)
(10)
(11)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 15

Nmero de
descriptor
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
(9)
(10)
(11)
(12)
(13)
(14)
Significado
Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de acuerdo
a la clasificacin del documento (Cuadro N 3).
Denominacin especfica que el proceso tiene en el Servicio.
Prioridad de tratamiento del proceso, de acuerdo al nivel de exposicin al riesgo.
Subprocesos que conforman el proceso priorizado.
Etapas que conforman cada uno de los subprocesos del proceso priorizado.
Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a
cabo.
Origen externo o interno de los riesgos, de acuerdo al control que tiene el Servicio de la fuente que
los produce.
Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el cuadro N 6.
Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir,
compartir, aceptar).
Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que se
desarrollarn para llevar a cabo la estrategia genrica.
Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos)
y/o a potenciar el control y de qu manera.
Sealar quien es la persona y cargo responsable de la implementacin de las acciones especficas
de la estrategia.
Definir en qu plazo se debe implementar la estrategia.
Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la
estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia
mitiga el riesgo al cual se asocia.
______________________________________________________________________________________________
46

_________________________________________________________________________________________________
(15)
(16)
(17)
Sealar periodos en que se va a medir el indicador dependiendo de la naturaleza del mismo

(mensual, trimestral, semestral, etc.)
Resultado tangible que se espera lograr con la implementacin de la estrategia.
Documento o instrumento que se utilizar en la medicin del indicador.
6.- FASE MONITOREO Y REVISIN

En esta fase es necesario nombrar responsables de monitorear la efectividad de todos los
pasos del Proceso de Gestin de Riesgos, para asegurar que se est cumpliendo
adecuadamente y que las circunstancias cambiantes no alteran las prioridades al afectar las
ponderaciones estratgicas, las probabilidades o impactos de los riesgos, etc.
Para esta fase del Proceso de Gestin de Riesgos, el Servicio debe establecer formalmente
responsables del monitoreo y formular estructuras de reportes tiles a la organizacin, que le
permita a la direccin, obtener informacin relevante, en forma oportuna y peridica sobre el
estado de los riesgos en cualquier etapa del proceso.
Tambin es conveniente, internalizar en la cultura organizacional la implantacin y utilizacin
de modelos de autoevaluacin de riesgos.
Actividades Recomendadas para Controlar los Planes de Tratamiento y Monitoreo
Seguimiento de las estrategias seleccionadas y monitoreo de las actividades

requeridas.
Verificar peridicamente el avance en la implementacin de la estrategia de tratamiento
de los riesgos.
Tambin se deben analizar y evaluar los controles existentes que contribuyen a
asegurar el cumplimiento de las medidas tomadas para mitigar los riesgos.
La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora
deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la
implantacin de las estrategias de tratamiento de los riesgos.
Acciones Ao 2014
Para el ao 2014, la institucin deber realizar el monitoreo en base al Plan de Tratamiento que
defini y acompa al Consejo de Auditora al 27.12.13, para ello deber utilizar el formato
definido por el Formato N 16 de esta Gua Tcnica19. Adems deber efectuar el monitoreo del
Plan de Tratamiento de 2014, durante el ao 2015 cmo se indica ms adelante en este
documento. El monitoreo de los Planes de Tratamiento, deber hacerse en base al Formato N
16 que se acompaa a continuacin:
19
Ver fechas de entrega de reportes al CAIGG en Gua Tcnica N 53/2013.
______________________________________________________________________________________________
47

_________________________________________________________________________________________________
Cuadro N 16: Formato Bsico para Informar del Monitoreo de las Estrategias de
Tratamiento de los Riesgos
Proceso
transversal
Proceso
Subproceso
Etapa
Riesgo
especfico
Estrategia
genrica
Descripcin
de la
estrategia a
aplicar
Periodo de
Resultados
evaluacin de
de la
Evidencia del Proyecciones de
Recomendaciones
implementacin medicin de cumplimiento cumplimiento
(e)
de la estrategia
la metas
(c)
(d)
(a)
(b)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 16 (slo aquellos conceptos

no explicados con ocasin del formato N 15)
Nmero de
Significado
descriptor
(a)
Sealar en qu fecha se evalu la implementacin de la estrategia.
Sealar el resultado que se obtuvo de la medicin de las metas. (Cumplida, parcialmente cumplida,
(b)
porcentaje de cumplimiento, etc.)
Expresar y detallar en que documentos o que informacin se utiliz para tener evidencia suficiente y
(c)
adecuada del cumplimiento.
En caso de no haberse cumplido totalmente la meta, como se proyecta que ser el cumplimiento.
(d)
(En unidades de tiempo, o si no se podr cumplir).
Sugerencias que realiza el responsable del monitoreo y revisin para que se obtenga el logro de la
(e)
meta, o se mejore en trminos de oportunidad y calidad.
El informe del monitoreo al Plan de Tratamiento de Riesgos deber presentarse al Consejo de

Auditora en la siguiente fecha:
Informe del Monitoreo al Plan de Tratamiento 2014: 30.04.2015.
7.- FASE COMUNICACIN Y CONSULTAS

Esta fase se desarrollar a travs de comunicar, informar y consultar con los interesados
internos y externos, segn resulte apropiado en cada etapa del Proceso de Gestin de
Riesgos, interpretando al proceso como un todo. La informacin es identificada, capturada y
comunicada de manera que todos puedan cumplir con sus responsabilidades.
La idea es que los interesados internos (el Servicio) y los externos que corresponda, estn
informados de la marcha del Proceso de Gestin de Riesgos y de qu manera se van
implementando las medidas para el tratamiento de riesgos. Para esto es importante que los
informes y sistemas de informacin ofrezcan suficientes datos relevantes para posibilitar una
comunicacin y control eficaz. De tal manera, es conveniente contestar a las siguientes
preguntas respecto de la informacin del Proceso de Gestin de Riesgos:
En relacin al contenido. Contiene toda la informacin necesaria?

En relacin con la oportunidad. Se facilita en el tiempo adecuado?
______________________________________________________________________________________________
48

_________________________________________________________________________________________________
En lo relativo a la actualidad. Es la ms reciente disponible?

En relacin con la exactitud. Los datos son correctos?
Por ltimo, en relacin a la accesibilidad. Puede ser obtenida fcilmente por las
personas adecuadas?
Debe propenderse a mejorar la calidad de la informacin, incorporndose las tecnologas de

informacin que le permitan interoperar entre distintos sistemas y plataformas, en forma interna
y externa, obteniendo datos en lnea de las actividades del negocio y en particular del Proceso
de Gestin de Riesgos.
Es importante reiterar que el desarrollo de cada una de las fases del Proceso de Gestin de
Riesgos es en primer lugar responsabilidad del Jefe Superior del organismo y luego tambin es
responsabilidad de todos los ejecutivos responsables de cada proceso y finalmente de todo el
personal. La auditora interna por su parte, debe apoyar a la referida autoridad a coordinar la
mantencin y mejoramiento del proceso y a monitorear su adecuado avance en las diferentes
fases, sin perjuicio de las actividades de aseguramiento contempladas en el Plan Anual de
Auditora aprobado por la Direccin.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio deber realizar una revisin y
propuesta de mejora sobre la informacin del Proceso de Gestin de Riesgos orientndose a
que sta refleje un uso adecuado de la informacin que emana de dicho proceso. La aplicacin
de esta propuesta debe ser evaluada y sus resultados comunicados al Consejo de Auditora.
Para esto, se deben evaluar los parmetros de calidad de la informacin del Proceso de
Gestin de Riesgos que se sealan en esta Fase, relacionados con el contenido, oportunidad,
actualidad, exactitud y accesibilidad.
Los Servicios, que no lo tengan, debern crear mecanismos de anlisis de la informacin del
Proceso de Gestin de Riesgos, mediante el uso de la informacin derivada de la Matriz de
Riesgos del Servicio o entidad y el establecimiento de relaciones e indicadores que permitan a
travs de consultas realizar anlisis cuantitativos y cualitativos de la informacin, como por
ejemplo a travs de la importacin de los datos a MS Excel o MS Access.
Algunos ejemplos de criterios e indicadores (el Servicio debe disear sus propios indicadores
de acuerdo a su naturaleza y necesidades) que pueden establecerse en relacin al anlisis de
la informacin derivada de la Matriz de Riesgos del Servicio o entidad, se muestran, a
continuacin en el cuadro N 17.
Cuadro N 17: Ejemplos de Criterios e Indicadores para Anlisis de la Informacin
Criterio
Severidad
del Riesgo
Posibles Indicadores para Anlisis
Procesos con ms altas severidades del riesgo.

Subprocesos con ms altas severidades de
riesgo.
Etapas con ms altas severidades de riesgo,
etc.
Responsable
Plazos
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
______________________________________________________________________________________________
49

_________________________________________________________________________________________________
Criterio
Exposicin
al Riesgo
Impacto al
Riesgo
Tipos de
Riesgos
Controles
Posibles Indicadores para Anlisis
Ranking
Procesos con ms altas exposiciones al riesgo.

Subprocesos con ms altas exposiciones al
riesgo.
Etapas con ms altas exposiciones al riesgo,
etc.
Procesos con riesgos de impactos ms altos.
Subprocesos con riesgos de impactos ms
altos.
Etapas con riesgos de impactos ms altos, etc.
Tipologas de Riesgos que ms se repiten.
Tipos de riesgos con mayor exposicin.
Tipos de riesgos con mayor impacto, etc.
Procesos con controles ms efectivos.
Procesos con controles menos efectivos.
Riesgos extremos con controles menos
efectivos, etc.
Procesos en los primeros lugares del ranking y
su relacin al negocio.
Procesos en los primeros lugares del ranking y
su relacin al soporte.
Procesos priorizados y profundidad del
levantamiento realizado, etc.
Responsable
Plazos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
en conjunto con los
coordinadores
de
riesgos.
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
En el mes de
enero de cada
ao.
El Servicio por tanto, deber informar qu anlisis realiza con la informacin derivada de la
Matriz de Riesgos, quin es el encargado y la oportunidad de remitir ese anlisis al Jefe de
Servicio. La idea es que se establezca un tipo de reporte que se remita al Jefe de Servicio con
un resumen de los principales puntos o temas de inters que arroja el examen y anlisis de la
Matriz de Riesgos Estratgica, por ejemplo: los procesos ms crticos de la institucin, los de
mayor severidad, los menos controlados, los que aparecen excesivamente controlados en
relacin a su severidad, etc. Este reporte debera ser elaborado por un funcionario que se
relacione con el Proceso de Gestin de Riesgos y ser remitido al Jefe de Servicio al menos una
vez en el ao.
8.- REGISTRO DEL PROCESO DE GESTIN DEL RIESGO
De acuerdo con la NCh-ISO 31000:2012, las actividades de gestin del riesgo deberan ser
trazables. En el proceso de gestin del riesgo los registros proporcionan la base para la mejora
de los mtodos y de las herramientas, as como del proceso en su conjunto.
Las decisiones relativas a la creacin de registros deberan tener en cuenta:
Las necesidades de la organizacin en materia de aprendizaje continuo.

Los beneficios de reutilizar la informacin para fines de gestin.
Los costos y los esfuerzos que involucran la creacin y la mantencin de los registros.
Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
El mtodo de acceso, la facilidad de recuperacin y los medios de almacenaje.
______________________________________________________________________________________________
50

_________________________________________________________________________________________________
El perodo de conservacin.
El carcter sensible de la informacin.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio deber realizar una propuesta
sobre los registros que llevar con la finalidad de documentar el Proceso de Gestin de
Riesgos, indicando:
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
Por cunto tiempo se deben almacenar y quin puede destruirlos y reemplazarlos.
Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho
caso.
VII.- RESUMEN DE REQUERIMIENTOS ESPECFICOS

PARA
EL
OBJETIVO
A continuacin, se resumen las actividades que se deben realizar los Servicios, para cada fase
del Proceso de Gestin de Riesgos, con la finalidad de dar cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014.
1.- FASE ESTABLECIMIENTO DEL CONTEXTO
1.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014
a.- Consideraciones
o
Poltica y Filosofa de Riesgos: Formular y/o revisar para luego aprobar la Poltica y
Filosofa de Gestin de Riesgos de la organizacin, en Anexo N 1 se presenta un ejemplo.
Debe ser aprobada por resolucin de la Jefatura Superior del Servicio.
La resolucin que formula y aprueba la poltica de riesgos debe remitirse al Consejo de
Auditora al 30.09.2014.
Enfoque de Anlisis: Para efectos del cumplimiento del Objetivo Gubernamental de

Auditora se tendr un enfoque de procesos de negocio y procesos de soporte.
Cobertura del Contexto: La cobertura en la aplicacin del enfoque corresponder a los

procesos de mayor criticidad para el cumplimiento de la misin, de acuerdo a la
metodologa definida por el Consejo de Auditora.
______________________________________________________________________________________________
51

_________________________________________________________________________________________________
Criterios para la Gestin del Riesgo: Los riesgos se evaluarn (severidad) de acuerdo a
su nivel de probabilidad e impacto. Se considerar el nivel de exposicin al riesgo y el nivel
de exposicin al riesgo ponderado como criterios para priorizar las reas ms relevantes.
Definir roles y Responsables: La direccin debe nombrar responsables del proceso de

Gestin de los Riesgos y definir sus funciones (al Auditor Interno del Servicio no se le debe
asignar esa responsabilidad). En Anexo N 2 se presenta un ejemplo ilustrativo.
El Servicio debe emitir una resolucin que determine roles y responsabilidades o examinar
la resolucin de roles aprobada anteriormente. Debe remitirse la resolucin que determina
los roles y responsabilidades al Consejo de Auditora al 30.09.2014.
b.- Productos Solicitados
Resolucin de aprobacin o modificacin de la poltica de riesgos remitida al Consejo de

Auditora al 30.09.2014.
En el caso que corresponda, Oficio del Jefe de Servicio, indicando que la poltica de
riesgos no tuvo modificaciones. En este caso se debe adjuntar la poltica de riesgos
vigente al 30.09.2014.
Resolucin de aprobacin o modificacin de roles y responsabilidades remitida al
Consejo de Auditora la Resolucin al 30.09.2014.
En el caso que el Consejo de Auditora haya recibido conforme los productos antes sealados,
no ser necesario enviarlos nuevamente.
2.- FASE IDENTIFICACIN DE RIESGOS
a.- Consideraciones
Para el Objetivo Gubernamental N 2 - 2014, esta fase se cumple con el levantamiento de
informacin a nivel de los procesos crticos (al menos un 40% del total de los procesos
institucionales), su desagregacin en subprocesos, etapas y actividades, para finalmente
identificar los riesgos crticos que afectan los objetivos operativos de las etapas de cada
proceso y los controles mitigantes asociados.
En esta fase corresponde:
Identificar los procesos crticos y desagregarlos en subprocesos, etapas y determinar

sus objetivos.
Clasificar los procesos en procesos transversales, de acuerdo a la presente Gua
Tcnica.
______________________________________________________________________________________________
52

_________________________________________________________________________________________________
Es necesario ponderar subprocesos, segn su relevancia para el proceso y para el

Servicio.
Identificar los riesgos y oportunidades para el Servicio o entidad.
Se deben clasificar los riesgos por origen y tipologa.
Se deben identificar los controles claves y describirlos en trminos de qu se hace,
cmo se hace, quin lo hace y cundo lo hace.
Se debe analizar el control clave existente en relacin a su diseo, su nivel de
documentacin y segregacin de funciones para valorar su efectividad.
Identificacin de oportunidades a nivel de procesos de negocio. En este tema debern
individualizarse las oportunidades que se identifiquen por cada proceso de negocio del
Servicio (no en los de soporte), en base a nuevos lineamientos de Gobierno,
considerando la asignacin de responsabilidades y modificaciones presupuestarias que
afecten al Servicio.
Todo lo que se desarrolla en esta fase, deber ser insumo para la fase de anlisis de riesgos y
para la confeccin de la Matriz de Riesgos Estratgica del Servicio o entidad.
Los respaldos del levantamiento de informacin de la fase de identificacin de riesgos y
controles, como actas de reunin y otros documentos, no se remitirn al Consejo de Auditora,
sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador
de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado
aleatoriamente por el Consejo de Auditora.
3.- FASE ANLISIS DE RIESGOS
a.- Consideraciones
Esta fase se cumple con la construccin de la Matriz de Riesgos Estratgica actualizada del
Servicio o entidad, incorporando los conceptos de tipologa de riesgos, procesos transversales
y de ponderacin estratgica por subproceso, que contiene la valuacin de los riesgos,
controles y la determinacin del nivel de exposicin al riesgo en base a las categoras definidas
en las escalas de clasificacin definidas por el Consejo de Auditora.
Para cumplir el Objetivo Gubernamental N 2 - 2014, debe actualizarse la Matriz de Riesgos
Estratgica del Servicio o entidad, en base a la metodologa definida en esta Gua Tcnica,
incorporando todas las mejoras y ajustes derivados de la revisin de la Matriz de aos
anteriores, y especialmente incorporando todas las observaciones y sugerencias del Auditor
Interno en sus diversas actividades de aseguramiento.
En esta fase corresponde valorar los riesgos en consideracin a su probabilidad e impacto,

obteniendo su nivel de severidad. Por otra parte, tambin ser necesario valorar el diseo
del control clave en cuanto a su efectividad para mitigar el riesgo al cual se asocia.
______________________________________________________________________________________________
53

_________________________________________________________________________________________________
En esta fase se debe elaborar la Matriz de Riesgos Estratgica del Servicio o entidad
actualizada, segn formato dispuesto en Anexo N 11 del presente documento.
Debe remitirse al Consejo de Auditora la Matriz de Riesgos Estratgica, firmada y aprobada

por el Jefe de Servicio, que considere los riesgos crticos identificados en el marco del Proceso
de Gestin de Riesgos. La Matriz de Riesgos deber remitirse al Consejo de Auditora al
30.12.2014.
4.- FASE VALORACIN DE RIESGOS
a.- Consideraciones
Para el ao 2014, la organizacin debe construir un ranking de riesgos en base a procesos con
mayor exposicin al riesgo, y dentro de stos, por subprocesos, clasificados por exposicin al
riesgo ponderada, de acuerdo al procedimiento dispuesto en los cuadros N 11 y N 12 de esta
Gua Tcnica.
En base al anlisis de los rankings, deben definirse las prioridades para tratar los riesgos para
mantener el nivel de exposicin al riesgo dentro del nivel del riesgo aceptado.
Ranking de riesgos por procesos de acuerdo al formato definido en el Cuadro N 11 de

este documento.
Ranking de riesgos por subprocesos de acuerdo al formato definido en el Cuadro N 12
de este documento.
Debe remitirse al Consejo de Auditora el ranking a nivel de procesos y de subprocesos,

firmado y aprobado por el Jefe de Servicio, de acuerdo al anlisis derivado de la matriz de
Riesgos Estratgica. Estos productos deben enviarse al 30.12.2014.
5. FASE TRATAMIENTO DE RIESGOS
a.- Consideraciones
El Servicio deber una vez identificados los riesgos crticos que lo afectan, comprometer
estrategias para tratarlos sealando las medidas que se adoptarn para la gestin de esos
riesgos.
Para el Objetivo Gubernamental de Auditora N 2 - 2014, el Servicio deber elaborar un Plan
de Tratamiento sobre los riesgos crticos emanados de los rankings de riesgos elaborados en
______________________________________________________________________________________________
54

_________________________________________________________________________________________________
base a la Matriz de Riesgos. El Plan de Tratamiento debe contener estrategias, acciones,

indicadores y metas que se orienten a obtener que el riesgo a tratar sea efectivamente
mitigado, a travs del manejo de su probabilidad e impacto o mediante el mejoramiento de los
controles asociados.
El Plan de Tratamiento de Riesgos debe presentarse al Consejo de Auditora al 30.12.2014 y
debe considerar los riesgos crticos identificados por el Servicio o entidad de acuerdo a la
Matriz de Riesgos Estratgica, utilizando el formato definido en el cuadro N 15 de este
documento.
6.- FASE MONITOREO Y REVISIN
a.- Consideraciones
Deben establecerse estructuras de reportes y mantener su registro. Esto implica obtener
informacin relevante, en forma oportuna y peridica sobre el estado de los riesgos en
cualquier etapa del proceso con la finalidad de reportar a la direccin oportunamente.
Para el cumplimiento del Objetivo Gubernamental N 2 2014, se debe realizar el monitoreo al
Plan de Tratamiento, de acuerdo a los plazos establecidos en el punto b siguiente.
b.1.- Plan de Tratamiento presentado al 30.12.2014, debe enviarse el reporte del monitoreo y
revisin al 30.04.2015 y se debe utilizar el cuadro N 16 de este documento.
7.- FASE COMUNICACIN Y CONSULTAS
a.- Consideraciones
En relacin con esta fase se solicitar la entrega de una propuesta de comunicacin y consulta
o el anlisis y mejoramiento de la propuesta de comunicacin y consulta entregada
anteriormente al Consejo de Auditora. Adems deber desarrollarse la propuesta de reporte de
la informacin de la Matriz de Riesgos Estratgica al Jefe de Servicio.
Elaboracin de una propuesta de sistema de comunicacin y consulta, actualizacin y mejora.
Este sistema de comunicacin y consulta, debe contener a lo menos los siguientes
antecedentes:
______________________________________________________________________________________________
55

_________________________________________________________________________________________________
Qu tipo de informacin se espera recopilar en el proceso.

Cundo se recogera la informacin, periodicidad.
Qu tipo de instrumentos recogern esa informacin.
Qu tipo de reportes podra tener el proceso.
Qu tipo de anlisis podran contener los reportes.
Qu informacin se contendra en instrumentos, con que cobertura y amplitud.
Roles y responsables de la calidad y confiabilidad de la informacin.
Sistemas para manejar la informacin de Gestin de Riesgos al interior del Servicio,
soportes y sistemas.
Niveles organizacionales y personas a quienes se comunicar la informacin, diferencia de
comunicacin por acceso.
Cmo se realizar la comunicacin, identificar los soportes y tecnologas requeridas.
Cundo se realizar la comunicacin de la informacin, indicar periodicidad.
Cmo y quines tendrn acceso a la comunicacin, sealar los criterios para definir perfiles
por tipo de informacin.
Cmo se recolectarn opiniones que genere la comunicacin, espacios de participacin,
forma como se har efectiva la participacin.
Sealar roles y responsables de la comunicacin y la participacin.
Reporte de Anlisis de la Matriz de Riesgos al Jefe de Servicio de acuerdo a lo definido en
el cuadro N 17 de la presente Gua Tcnica.
La propuesta del sistema deber remitirse al Consejo de Auditora al 30.12.2014. Los

resultados de la aplicacin de esta propuesta debern remitirse al Consejo de Auditora al
30.04.2015. El Reporte de Anlisis de la Matriz de Riesgos debe ser presentado al 30.12.2014.
8.- REGISTRO DEL PROCESO DE GESTIN DE RIESGOS
Gubernamental de Auditora N 2 2014
a.- Consideraciones
En relacin con esta fase se solicitar la entrega de una propuesta sobre los registros que el
servicio llevar para documentar el Proceso de Gestin de Riesgos.
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio deber realizar una propuesta
sobre los registros que el Servicio llevar con la finalidad de documentar el Proceso de Gestin
de Riesgos, indicando:
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
______________________________________________________________________________________________
56

_________________________________________________________________________________________________
Por cunto tiempo se deben almacenar y quien puede destruirlos y reemplazarlos.

Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho
caso.
La propuesta del o los registros del Proceso de Gestin de Riesgos deber remitirse al Consejo
de Auditora al 30.12.2014.
______________________________________________________________________________________________
57

_________________________________________________________________________________________________
9.- ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIN DE RIESGOS Y

REQUERIMIENTOS ESPECFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO
Presentacin Modelo Gestin
de Riesgos al CAIGG, si
corresponde.
Modelo de Gestin de Riesgos del Servicio
Entrega al
30.09.14
Fase Establecimiento contexto
Resolucin de Poltica de Riesgos y de Roles y

Responsabilidades.
Entrega al
30.09.14
Fase Identificacin de Riesgos

y Oportunidades
Levantamiento de los procesos crticos del Servicio y

sus riesgos. Identificacin de riesgos segn tipologa.
Identificacin oportunidades a nivel de procesos.
Matriz de Riesgos Estratgica del Servicio o entidad
aplicando, entre otros:
Fase Anlisis de Riesgo
Fase Valoracin de Riesgos
Fase Tratamiento de Riesgos
Fase Monitoreo y Revisin
Clasificacin en procesos transversales.

Ponderacin por subproceso
Tipologa de riesgos.
Justificacin de ponderacin estratgica.
Ranking por proceso y por subproceso.
Plan de Tratamiento de Riesgos, con medidas,

plazos, responsables e indicadores de logro.
Reporte monitoreo para compromisos con fecha de

revisin el ao 2014.
Entrega al
30.12.14
Entrega al
30.12.14
Entrega al
30.04.15
Propuesta y Resultado del Sistema de Comunicacin

y Consulta.
Propuesta
30.12.14
Resultado
30.04.2015
Reporte de Anlisis de la Matriz de Riesgos

Estratgica (Indicadores).
Resultado
30.12.14
Propuesta de Registros del Proceso de Gestin de

Riesgos.
Propuesta
30.12.14
Fase Comunicacin y Consulta
Registro del Proceso
Entrega al
30.12.14
______________________________________________________________________________________________
58

_________________________________________________________________________________________________
9.1.- Plazos de Entrega de Informes y Productos Solicitados

El Servicio puede presentar al Consejo de Auditora, un modelo Gestin de Riesgos basado
principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos aceptados, que
estn adaptados a las caractersticas y particularidades especficas de la organizacin. La
entrega del modelo es al 30 de septiembre de 2014.
Los Servicios que hayan presentado el modelo de gestin de riesgos y que haya sido aprobado
por parte del Consejo de Auditora, debern enviar, al menos, los siguientes productos en los
plazos que se estipulan a continuacin:
Poltica de riesgos y definicin de roles y responsabilidades: Entrega al 30 de septiembre

de 2014.
Matriz de Riesgos Estratgica que contiene los procesos crticos y riesgos relevantes del
Servicio: Entrega al 30 de diciembre de 2014.
Ranking de Riesgos: Entrega al 30 de diciembre de 2014.
Plan de Tratamiento de Riesgos 2014, con los riesgos crticos identificados en la Matriz de
Riesgos Estratgica: Entrega al 30 de diciembre de 2014.
Informe Monitoreo del Plan de Tratamiento de Riesgos 2014: Entrega al 30 de abril de
2015.
Comunicacin y Consulta: La propuesta del Sistema de Comunicacin y Consulta debe
remitirse al 30 de diciembre de 2014. El resultado de la aplicacin de la propuesta debe
remitirse al 30 de abril de 2015.
Reporte de Anlisis de la Matriz de Riesgos. Entrega al 30 de diciembre de 2014.
Propuesta de Registros del Proceso de Gestin de Riesgos. Entrega al 30 de diciembre de
2014.
Para los Servicios que no hayan presentado un modelo de gestin de riesgos o que el modelo
presentado no haya sido aprobado por el Consejo de Auditora y, en consecuencia, utilicen la
presente Gua Tcnica para implementar el Proceso de Gestin de Riesgos, se requiere las
siguientes entregas de Productos al Consejo de Auditora:
Poltica de riesgos y definicin de roles y responsabilidades: Entrega al 30 de septiembre

de 2014.
Matriz de Riesgos Estratgica que contiene los procesos crticos y riesgos relevantes del
Servicio: Entrega al 30 de diciembre de 2014.
Ranking por Proceso y Subproceso: Entrega al 30 de diciembre de 2014.
Plan de Tratamiento de Riesgos 2014, con los riesgos crticos identificados en la Matriz de
Riesgos Estratgica: Entrega al 30 de diciembre de 2014.
Informe Monitoreo del Plan de Tratamiento de Riesgos 2014: Entrega al 30 de abril de
2015.
Comunicacin y Consulta: La propuesta del Sistema de Comunicacin y Consulta debe
remitirse al 30 de diciembre de 2014. El resultado de la aplicacin de la propuesta debe
remitirse al 30 de abril de 2015.
Reporte de Anlisis debe remitirse al 30 de diciembre de 2014.
Propuesta de Registros del Proceso de Gestin de Riesgos: Entrega al 30 de diciembre de
2014.
______________________________________________________________________________________________
59

_________________________________________________________________________________________________
9.2.- Formatos Exigidos - Planillas u Otros

Los formatos exigidos para envo de la informacin, son aquellos que el documento contiene,
esto es:
Formato
Matriz de Riesgos
Estratgica
Descripcin
Plazo entrega
Cuadro N 15
Identificacin de los riesgos de los procesos que desarrolla el

Servicio, con aprobacin del Jefe de Servicio y/o Comit de
Riesgos.
Plan Tratamiento de Riesgos.
30.12.2014
Cuadro N 16
Monitoreo y Seguimiento Plan Tratamiento 2014.
30.04.2015
30.12.2014
La Matriz de Riesgos Estratgica del Servicio debe trabajarse en la planilla Excel entregada por
el Consejo de Auditora lnea a lnea, ello implica que debern repetirse los conceptos y no
utilizarse celdas combinadas. Esta planilla una vez completa deber validarse en la aplicacin
informtica que para tal efecto disponga el Consejo de Auditora.
9.3.- Forma de Envo
La Matriz de Riesgos del Servicio o entidad validada a travs de la aplicacin informtica
dispuesta por el Consejo de Auditora, deber remitirse a este organismo a travs de un correo
electrnico creado al efecto, u otra forma que el Consejo de Auditora disponga. Los dems
cuadros deben remitirse en un formato y medio a definir por el Consejo de Auditora.
______________________________________________________________________________________________
60

_________________________________________________________________________________________________
VIII.- BIBLIOGRAFA
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 41 Gestin de
Riesgos, 2009.
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 45 Gestin de
Riesgos, 2010.
Instituto de Auditores Internos (IIA), Practice Guide: Assessing the Adequacy of Risk
Management Using ISO 31000, 2010.
Instituto de Auditores Internos (IIA), International Professional Practices Framework (IPPF),
EEUU, 2011.
International Organization for Standardization, ISO 31000:2009 - Principios y Orientaciones
para la Gestin de Riesgos, 2009.
International Organization for Standardization, Internacional ISO/TR 31004:2013. Risk
management - Guidance for the implementation of ISO 31000, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31000:2012 - Principios y Directrices
para la Gestin de Riesgos, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO Gua 73:2012 - Gestin del Riesgo
Vocabulario, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31010:2013 - Gestin del Riesgo Tcnicas de Evaluacin del Riesgo, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31004:2014 Gestin del Riesgo
Orientacin para la implementacin de ISO 31000.
Instituto de Auditores Internos de Espaa, Definicin e Implantacin de Apetito de Riesgo,
2013.
Organizacin para la Cooperacin y el Desarrollo Econmicos - Principios de Gobierno
Corporativo de la OCDE, 2004.
Open Compliance & Ethics Group, OCEG Red Book GRC Capability Model, 2013.
Sponsoring Organizations of the Treadway Commission (COSO), Gestin de Riesgos
Corporativos, Marco Integrado Resumen Ejecutivo Marco, Espaa, 2004.
Sponsoring Organizations of the Treadway Commission (COSO), Internal Control Integrated Framework, 2013.
______________________________________________________________________________________________
61

_________________________________________________________________________________________________
ANEXO N 1
EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
La gestin de riesgos proporciona a nuestro Servicio la capacidad para identificar, evaluar y
gestionar todo el espectro de riesgos y posibilitar que todo el personal mejore su comprensin
del riesgo, lo que permite obtener:
Aceptacin responsable del riesgo.

Apoyo a la direccin.
Mejoras en los resultados.
Responsabilidad reforzada.
Liderazgo superior.
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
Como elementos importantes en la Gestin de Riesgos se considerarn:
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para
la gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos
asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
Prevalecer el enfoque PREVENTIVO y PROACTIVO.
El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos:
La existencia de un ambiente controlado de gestin de riesgos que, definido por la

Direccin, establezca estrategias corporativas y una estructura de supervisin adecuada
que garantice su operatividad.
La definicin y documentacin de la exposicin al riesgo a lo largo de los procesos y
lineamientos, de acuerdo con los criterios de las Normas de Calidad.
La cuantificacin del impacto y probabilidad de ocurrencia para cada uno de los riesgos
identificados.
Evaluacin y seguimiento permanente de eventos que generen perjuicios a la entidad.
Nuestra Misin como Servicio consiste en entregar apoyo a la mujer microempresaria,

entregndole soporte a la mujer emprendedora con instrumentos de fomento, crditos flexibles
y capacitacin para los negocios. Lo anterior implica importantes riesgos pero tambin
oportunidades. Por una parte, la mujer ha tomado un papel de importancia en la sociedad y ha
escalado posiciones de poder y empresariales de relevancia. Adems, la mujer en general, es
______________________________________________________________________________________________
62

_________________________________________________________________________________________________
puntual en el pago de sus obligaciones y en el cumplimiento de sus compromisos. Sin

embargo, tambin surgen riesgos relacionados con la vulnerabilidad del sector al que est
orientado el Servicio, ya que se trata de mujeres de bajos ingresos y nivel cultural. Adems la
expansin del comercio electrnico obliga a capacitar a nuestras usuarias en el uso y manejo
de las tecnologas que les permitan insertarse en el mundo de los negocios.
Consideramos que enfrentamos un gran desafo y estamos conscientes que debemos capacitar
a nuestras usuarias para que enfrenten el complejo mundo de los negocios, esto implicar una
gran inversin en recursos humanos y tecnolgicos y una constante medicin de nuestros
resultados, para determinar nuestros avances y retrocesos.
Para el Proceso de Gestin de Riesgos, se incorporarn todos los procesos que desarrolla el
Servicio, tanto aquellos de negocio, esto es, los que se relacionan directamente con el
cumplimiento de su Misin, como los de soporte.
En el marco del proceso de Gestin de Riesgos, la Direccin Ejecutiva utilizar la metodologa
del Consejo de Auditora esto es, se levantarn estos procesos, desagregndose por
subproceso, etapas, actividades y riesgos y priorizar los procesos y subprocesos en funcin
de la importancia relativa de cada uno de ellos en el cumplimiento de la misin institucional y
objetivos estratgicos, para luego ser administrados, utilizando alguna de las siguientes
estrategias genricas, que no se excluyen necesariamente unas a otras, ni son apropiadas en
todas las circunstancias., adecuadas a la realidad del Servicio:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo;
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad;
Eliminar la fuente del riesgo;
Modificar la probabilidad;
Modificar las consecuencias;
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo);
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
La Direccin del Servicio se compromete peridicamente a realizar una revisin de la poltica
de riesgos aqu establecida.
______________________________________________________________________________________________
63

_________________________________________________________________________________________________
ANEXO N 2
EJEMPLO DE DEFINICIN DE ROLES
______________________________________________________________________________________________
64

_________________________________________________________________________________________________
ANEXO N 3
ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE RIESGOS EN EL
SECTOR GUBERNAMENTAL
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Por lo tanto, en base a normas de auditora interna20 y en la experiencia que se ha obtenido en
el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol
fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer
aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de
gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo
gestionados apropiadamente y que el sistema de control interno est siendo operado
efectivamente.
En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la
responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y
motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de
riesgo.
Estas directrices21 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la
direccin.
Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de
Gestin de Riesgos.
Evaluar los procesos de gestin de riesgos.
20
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
21
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
______________________________________________________________________________________________
65

_________________________________________________________________________________________________
Revisin del manejo y evaluacin de reportes de riesgos claves.

Evaluar la elaboracin de informes sobre los riesgos clave.
Revisar la gestin de riesgos clave.
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
Facilitacin, identificacin y evaluacin de riesgos.

Entrenamiento a la alta direccin sobre respuesta a riesgos.
Coordinacin de actividades del Proceso de Gestin de Riesgos.
Mantenimiento y desarrollo del marco del Proceso de Gestin de Riesgos.
Defender el establecimiento del Proceso de Gestin de Riesgos.
Desarrollo de estrategias de gestin de riesgo para aprobacin de Jefatura del Servicio.
Asesorar a la direccin para responder a los riesgos.
Coordinar actividades del Proceso de Gestin de Riesgos.
Consolidar la elaboracin de informes sobre riesgos.
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
Establecer el nivel de Riesgo Aceptado.

Imponer Procesos de Gestin de Riesgo.
Manejar el aseguramiento sobre los riesgos.
Tomar decisiones en respuesta a los riesgos.
Implementar respuestas a riesgos.
Tener roles y responsabilidad de la gestin de los riesgos.
______________________________________________________________________________________________
66

_________________________________________________________________________________________________
ANEXO N 4
GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS PROCESOS Y
MODELAMIENTO DE RIESGOS
Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos
crticos del Servicio y la identificacin de stos, sus subprocesos y etapas, es posible sealar
que un proceso, como concepto, es un conjunto de actividades, tareas, eventos y
responsabilidades que se realizan o suceden con un determinado fin, que recibe uno o ms
insumos o pasos (inputs) y crea un producto de valor para otro usuario o cliente, formando una
cadena orientada a obtener un resultado final (outputs). De su diseo y documentacin
depende el xito de la gestin en la organizacin.
Por consiguiente podemos identificar que los elementos bsicos de un proceso son:
Existencia de un objetivo para el proceso.

La existencia de un conjunto de actividades, tareas, eventos y responsabilidades.
Todas ellas se realizan con un determinado fin.
Reciben uno o ms insumos, pasos o inputs.
Crean un producto de valor para otro usuario o cliente.
Forman una cadena orientada a obtener un resultado final u output.
Para realizar un adecuado anlisis es necesario identificar y describir detalladamente, al mayor

nivel posible, como se conforman los procesos en la institucin.
Un proceso puede descomponerse en un nmero determinado de subprocesos que se
relacionan en que los outputs de unos son los inputs de los siguientes, hasta que el ltimo
subproceso genera como output el producto o servicio final del proceso.
En todo caso, perfectamente podran existir procesos crticos en que, por su naturaleza y
caractersticas particulares, no sea posible desagregarlos en subprocesos. En estos casos, el
anlisis se debe realizar en razn de las etapas que componen el proceso, ya que este
corresponde al mayor nivel de detalle posible de desagregacin.
Las etapas son las principales fases que componen un subproceso o proceso. stas se
conforman por una serie de actividades que se realizan con la finalidad de lograr el objetivo
perseguido en la etapa y que est directamente relacionado con los objetivos de los
subprocesos y el proceso.
El mecanismo de anlisis recomendado por este Consejo de Auditora considera, en primer
lugar, identificar y comprender, entre otros, los siguientes elementos en cada proceso crtico
(Informacin obtenida de la Fase Genrica: Obtencin de Informacin del Servicio y del
Contexto Externo y de la Fase Genrica: Comprensin de los Procesos de la Institucin y del
Contexto Externo):
El tipo de proceso; estratgico o de soporte.

l o los responsables de la gestin.
______________________________________________________________________________________________
67

_________________________________________________________________________________________________
Determinar si existen subprocesos y cules son las etapas que lo componen.

Determinar las actividades que conforman las etapas.
El inicio y fin de cada proceso, subproceso y etapa.
Las personas implicadas que desarrollan el conjunto de actividades, tareas y eventos.
El objetivo o misin del proceso, subprocesos y etapas.
Las entradas o recursos requeridos y los requisitos de calidad de los subprocesos y
procesos.
Las salidas o resultados esperados y los requisitos de calidad de los subprocesos y
procesos.
Los clientes y sus requerimientos (valoracin de las salidas).
Los proveedores y los requerimientos.
Los controles existentes para las entradas y actividades desarrolladas en cada etapa.
La documentacin de apoyo.
Los registros que se generan y que se analizan.
Los indicadores de desempeo que existen para partes o para el total del proceso (de
eficacia y/o eficiencia).
Las metas asociadas a la gestin en los procesos.
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema
explicativo a continuacin:
______________________________________________________________________________________________
68

_________________________________________________________________________________________________
Esquema Grfico para Desagregacin y Anlisis de Procesos Crticos
PROCESO CRTICO
T
SUBPROCESO 1
SUBPROCESO n
S
T
ETAPA 1
.
S
Objetivos
operativos de la
etapa 1
Objetivos
operativos de la
etapa n
Riesgos
operativos de la
etapa 1
Riesgos
Operativos de la
etapa n
Controles
Mitigantes de los
riesgos
Controles
Mitigantes de los
riesgos
Actividad n
Actividad n
ETAPA n
Actividad 1
Actividad 2
Actividad 1
Actividad 2
Entrada o inputs: Recursos necesarios para producir la salida.

Transformacin: Tareas, actividades y responsabilidades.
Salidas u outputs: Producto, servicio y finalidad del subproceso o proceso.
______________________________________________________________________________________________
69

_________________________________________________________________________________________________
ANEXO N 5
TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
1.-
SEVERIDAD DEL RIESGO
1.1.-
Cuadro N 1: Categoras de Probabilidad:
Categora
Valor
Descripcin
Casi certeza
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado
de seguridad que ste se presente en el ao en curso. (90% a 100%).
Probable
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
de seguridad que ste se presente en el ao en curso.
Moderado
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a

65% de seguridad que ste se presente en el ao en curso.
Improbable
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30%
de seguridad que ste se presente en el ao en curso.
Muy improbable
Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a

10% de seguridad que ste se presente en el ao en curso.
1.2.-
Cuadro N 2: Categoras de Impacto:
Categora
Valor
Catastrficas
Mayores
Moderadas
Menores
Insignificantes
Descripcin
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen
pblica de la institucin y del Gobierno. Su materializacin daara gravemente el
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que
estos se logren en el ao en curso.
impacto importante en el presupuesto y/o comprometen fuertemente la imagen
pblica de la institucin y del Gobierno. Su materializacin daara significativamente
el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se
desarrollen total o parcialmente en forma normal en el ao en curso.
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
pblica de la institucin y del Gobierno. Su materializacin causara un deterioro en
el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos,
impidiendo que ste se desarrolle parcialmente en forma normal en el ao en curso.
impacto menor en el presupuesto y/o comprometen de forma menor la imagen
pblica de la institucin y del Gobierno. Su materializacin causara un bajo dao en
el desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao en
curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la institucin y del Gobierno. Su materializacin
puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no
afectara el cumplimiento de los objetivos en el ao en curso.
______________________________________________________________________________________________
70

_________________________________________________________________________________________________
1.3.- Cuadro N 3: Nivel de Severidad del Riesgo

NIVEL PROBABILIDAD
(P)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
NIVEL IMPACTO
(I)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)

S = (P x I)
EXTREMO ( 25)
EXTREMO (20 )
EXTREMO (15 )
ALTO (10)
ALTO (5)
EXTREMO (20)
EXTREMO (16 )
ALTO (12)
ALTO (8)
MODERADO (4)
EXTREMO (15 )
EXTREMO (12 )
ALTO (9)
MODERADO (6)
BAJO (3)
EXTREMO (10 )
ALTO (8)
MODERADO (6)
BAJO (4)
BAJO (2)
ALTO (5)
ALTO (4)
MODERADO (3)
BAJO (2)
BAJO (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
______________________________________________________________________________________________
71

_________________________________________________________________________________________________
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD
(P)
muy improbable (1)
Probable
(4)
Probable
(4)
Moderado
(3)
NIVEL IMPACTO
(I)
Mayores
(4)
Insignificantes (1)
Moderadas
(3)
Mayores
(4)

S = (P x I)
ALTO (4)
MODERADO (4)
ALTO (12)
EXTREMO (12 )
2.- CLASIFICACIN DEL CONTROL CLAVE

2.1.
Diseo del control
Cuadro N 4: Oportunidad de la Aplicacin del Control (O):

Clasificacin
Descripcin
Preventivo (Pv)
Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr)
Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt)
Controles claves que slo actan una vez que el proceso ha terminado.
Cuadro N 5: Periodicidad en la Aplicacin del Control (PD):

Clasificacin
Permanente (Pe)
Descripcin
Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd)
Controles claves aplicados en forma constante slo cuando ha transcurrido un

perodo especfico de tiempo.
Ocasional (Oc)
Controles claves que se aplican slo en forma ocasional en un proceso.
Cuadro N 6: Automatizacin en la Aplicacin del Control (A):

Clasificacin
Descripcin
100% automatizado (At)
Controles claves incorporados en el proceso, cuya aplicacin es

completamente informatizada. Estn incorporados en los sistemas
informatizados.
______________________________________________________________________________________________
72

_________________________________________________________________________________________________
2.2.-
Semi automatizado (Sa)
Controles claves incorporados en el proceso, cuya aplicacin es

parcialmente desarrollada mediante sistemas informatizados.
Manual (Ma)
Controles claves incorporados en el proceso, cuya aplicacin no

considera uso de sistemas informatizados.
Cuadro N 7: Escala de Clasificacin de la Efectividad de los Controles
CUMPLIMIENTO CON
NORMAS O
REQUISITOS DE
CONTROL
CARACTERSTICAS DISEO CONTROL

CLAVE/FUNDAMENTAL
PERIODICIDAD
(PD)
OPORTUNIDAD
(O)
AUTOMATIZACIN
(A)
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
PERMANENTE
PERMANENTE
PERMANENTE
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
INSUFICIENTE
NO
DETERMINADO
NO
DETERMINADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CLASIFICACIN
VALOR DEL
DISEO DEL
CONTROL
OPTIMO
BUENO
MAS QUE
REGULAR
REGULAR
INFORMATIZADO
SEMI INFORMAT
MANUAL
DEFICIENTE
NO
DETERMINADO
INEXISTENTE
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
______________________________________________________________________________________________
73

_________________________________________________________________________________________________
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el
esquema presentado, asignndole el valor respectivo segn la escala.
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en
el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que
ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del
riesgo.
Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control
examinado de 1, de acuerdo con la escala contenida en el esquema presentado.
Para ver mayores detalles de los requisitos de control adecuado considerados en este modelo
ver Anexo N 9.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
3.-
NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL
RIESGO
NIVEL SEVERIDAD DEL RIESGO

NIVEL EFICIENCIA DEL CONTROL
VALOR
NIVEL DE EXPOSICIN
AL RIESGO
8,0 25,0
NO ACEPTABLE (Na)
4,0 7,99
MAYOR (Ma)
3,0 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
______________________________________________________________________________________________
74

_________________________________________________________________________________________________
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones
entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel
de efectividad slo de Regular.
Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las
combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con
niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con
severidad altas, pero con controles con nivel de efectividad ptimo o Bueno.
Por ejemplo, en el cuadro N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel
de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo,
Extremo = 20 y un nivel de efectividad de control, Regular = 2.
En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est
conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control,
Ms que Regular = 3.
Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est
conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control,
ptimo = 5.
______________________________________________________________________________________________
75

_________________________________________________________________________________________________
Cuadro N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que
Determinan la Escala del Nivel de Exposicin al Riesgo
______________________________________________________________________________________________
76

_________________________________________________________________________________________________
ANEXO N 6
EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
A continuacin se presenta un ejemplo de levantamiento de informacin del subproceso
Compra de bienes y servicios, que forma parte del proceso crtico denominado Compras y
Abastecimiento en una entidad ficticia.
Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de
los riesgos y controles para las etapas de Seleccin y Adjudicacin.
Cuadro N 1: Levantamiento de Informacin de cada Proceso
Proceso
Compras y
abastecimiento
Entradas del
subproceso o
proceso
.
.
.
Salidas del
subproceso o
proceso
.
.
.
Plan Operativo
de compras.
Bienes y servicios
(insumos)
de
calidad
que
satisfagan
los
requerimientos
para produccin
del Servicio.
....
.
.
.
.
.
.
Subprocesos
Etapas
Planificacin operativa
anual de compras.
.
.
.
Definicin naturaleza del
proceso.
Confeccin y publicacin
de Bases.
Compra de bienes y
servicios.
Seleccin.
Adjudicacin.
Recepcin y evaluacin
de bienes y servicios
adquiridos.
.
.
Cuadro N 2: Levantamiento de Informacin de las Etapas Seleccin y Adjudicacin

Etapas
Objetivo
operativo de la
etapa
Etapa
Definicin de la
naturaleza del
proceso de
compras a utilizar
(convenio marco,
licitacin pblica,
privada, trato
directo).
Definir de acuerdo a
las caractersticas
del bien o servicio a
comprar, la forma
de adquirirlo en el
mercado,
de
conformidad a la
normativa
de
compras.
Etapa Confeccin
y publicacin de
bases.
Actividades de la etapa
De gestin
De control
1.- El Comit de Compras, en

base a lo establecido en el
Plan de Compras define cmo
se realizar cada adquisicin
(licitacin pblica, privada o
trato directo).
Comit de Compras
2.- El Jefe de Finanzas

y de la Unidad Jurdica
visan la definicin del
Comit.
1.- Se realiza la definicin de
especificaciones
tcnicas
(caractersticas,
plazos,
volmenes, calidades, etc.).
Responsables
Jefe Finanzas
Jefe Unidad Jurdica
Encargado
de
especificaciones
tcnicas de compras
______________________________________________________________________________________________
77

_________________________________________________________________________________________________
Etapas
Objetivo
operativo de la
etapa
De gestin
De control
2.-Validan y visan la
definicin tcnica.
3.- Confeccionar bases de

licitacin
oportunas
y
completas (de acuerdo con el
procedimiento
formal
del
Servicio).
Establecer
formalmente bases
administrativas
y
tcnicas adecuadas
a la especificacin
tcnica
de
lo
requerido y que
respeten
la
transparencia
e
igualdad de los
oferentes.
Etapa
Seleccin
Realizar una
seleccin
transparente,
garantizando la
participacin
igualitaria de los
oferentes.
4.Aprobacin
oportuna de las Bases
de Licitacin.
5.- Publicar en diarios en
forma completa, oportuna y
legal
6.- Aclarar en forma completa
e igualitaria las dudas de los
oferentes.
Responsables
Jefe de
Abastecimiento
y Jefe Unidad
solicitante
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Jefe de la Unidad
Jurdica
Jefe de Servicio
Jefe de Finanzas
Jefe de Finanzas
Jefe de la Unidad
Jurdica
7.- Verificacin que

todas las compras
cuenten
con
una
carpeta
con
antecedentes
de
licitacin,
bases
y
publicacin.
Licitaciones privada y pblica
1.- Recepcin de todas las
ofertas remitidas (igualdad de
oferentes).
2.Chequeo
automatizado
de
cumplimiento
de
Plazos.
Encargado de
anlisis del rea de
compras
Comit de Compras
Encargado Sistema
de Informacin de
Compras
Comit de Compras
3.- Apertura de acuerdo a la

normativa de compras, a
travs
del
sistema
de
Chilecompras.
4.- Participacin de
Ministro de Fe en la
apertura.
5.- Confeccin de acta
de
recepcin
de
ofertas, especificando
da y hora de las
ofertas recibidas.
6.- Confeccin de acta
de apertura con todos
los participantes que
cumplen requisitos.
7.- Entrega de reportes
del sistema al comit
de compras.
Encargado del
Sistema de
Informacin de
Compras
Funcionario de la
Unidad Jurdica
Encargado Of. de
Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
sistema de compras
y supervisor
______________________________________________________________________________________________
78

_________________________________________________________________________________________________
Etapas
Objetivo
operativo de la
etapa
De gestin
De control
Responsables
Compra directa
1.- Se designan cotizadores al
interior del Servicio.
2.- Cruces de datos
entre
funcionarios
participantes
del
proceso de compras y
proveedores.
Jefe de Finanzas y
Comit de Compras
Jefe de
Abastecimiento
3.- Obtencin de a lo menos

tres cotizaciones en el caso
de trato directo.
Cotizadores
designados.
1.- Evaluacin tcnica,
de acuerdo a criterios
previos y objetivos
dispuestos
en
procedimiento.
2.- Se levanta un acta de

proposicin de adjudicacin
con el fundamento de la
decisin segn desarrollo del
proceso.
Etapa
Adjudicacin
Comit de Compras.
3.- Revisin de la
adjudicacin
para
determinar
su
conformidad
al
procedimiento
y
Bases.
4.- Revisin de la
consistencia
y
legalidad del proceso.
5.- Se verifica que el
proveedor adjudicado
no
tengan
inhabilidades respecto
de funcionarios del
Servicio y cumplan
obligaciones laborales.
6.- Visacin de la
adjudicacin
Adjudicar la compra
al
oferente
que
presente la oferta
ms
conveniente
para el servicio.
7.Aprobacin
Adjudicacin
Comit de Compras.
de
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas.
Jefe de Recursos
Humanos.
Jefe de la Unidad
Jurdica
Jefe de Servicio o
delegatario.
Cuadro N 3: Ejemplo de Identificacin de Riesgos Asociados a las Actividades Realizadas para Lograr los
Objetivos Operativos de las Etapas Seleccin y Adjudicacin
Etapa
Etapa
Etapa
Objetivo operativo
de la etapa
Riesgos asociados a la
realizacin de las actividades
Licitaciones privada y pblica

Realizar una seleccin
transparente,
garantizando
la
participacin igualitaria
de los oferentes.
1.- Recepcin de todas las ofertas

remitidas. (Igualdad de oferentes).
2.- Apertura de acuerdo a la

normativa de compras a travs del
sistema de Chilecompras.
Recepcin de ofertas fuera de plazo.

Recepcin de ofertas en forma
distinta a la sealada en las bases.
La apertura no se realiza a travs
del sistema y no se cumple el
procedimiento aprobado.
La apertura se realiza en da y hora
distinta al establecido en las bases.
______________________________________________________________________________________________
79

_________________________________________________________________________________________________
Etapa
Objetivo operativo
de la etapa
3.- Participacin de Ministro de Fe
en la apertura.
Etapa Seleccin
realizacin de las actividades
4.- Confeccin de acta de

recepcin de ofertas, especificando
da y hora de las ofertas recibidas.
Ministro
de
Fe
con
incompatibilidades.
En caso de recepcin en papel, no
se confecciona Acta de recepcin o
sta es incompleta o errnea.
5.- Confeccin de acta de apertura

con todos los participantes que
cumplen con lo requisitos.
Las actas se firman posteriormente

por las personas que no asisten a la
apertura.
6.- Entrega de reportes del sistema

al comit de compras.
No se entregan reportes en forma

oportuna o tienen datos errneos.
Compra directa
1.- Se designan cotizadores al
interior del Servicio.
2.- Cruces de datos entre
funcionarios
participantes
del
proceso de compras y proveedores
3.- Obtencin de a lo menos tres
cotizaciones en el caso de trato
directo.
1.- Evaluacin tcnica, de acuerdo

a criterios previos y objetivos
dispuestos en procedimientos.
Etapa
Adjudicacin
Adjudicar la compra al
oferente que presente la
oferta ms conveniente
para el Servicio.
2.- Se levanta un acta de

proposicin de adjudicacin con el
fundamento de la decisin segn
desarrollo del proceso.
3.- Revisin de la adjudicacin para
determinar su conformidad al
procedimiento y Bases.
4.- Revisin de la consistencia y
legalidad del proceso.
Designacin de cotizadores con

incompatibilidades.
No se realizan cruces de datos entre
funcionarios y proveedores
No se cuenta con la informacin
para cruzar datos
Falta de tres cotizaciones para trato
directo sin fundamento.
Cotizaciones
manejadas
favorecer a un proveedor.
para
Errores en evaluacin tcnica.

Adjudicacin con criterios distintos a
los establecidos en la ley, las bases
y los procedimientos.
Adjudicacin no es consistente con
el proceso de evaluacin.
La adjudicacin no es consisten con
las Bases o con el procedimiento
establecido.
El proceso presenta deficiencias
legales de forma o fondo
5.- Se verifica que el proveedor

adjudicado no tenga inhabilidades
respecto de funcionarios del
Servicio y cumplan obligaciones
laborales.
Inexistencia de antecedentes para

realizar la verificacin
Funcionarios
que
realizan
verificacin no cuentan con las
competencias necesarias.
6.- Visacin de Adjudicacin.
No se cuenta con
antecedentes
para
operacin.
7.- Aprobacin de la adjudicacin.
todos
visar
los
la
El funcionario que aprueba no tiene

la facultades delegadas
______________________________________________________________________________________________
80

_________________________________________________________________________________________________
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o Proceso
Etapas que afecta
Etapa Seleccin
Objetivo operativo de
la etapa
Realizar una seleccin

transparente,
garantizando
la
participacin igualitaria de
los oferentes.
Entradas al subproceso o
proceso
Plan Operativo de Compras.
Riesgos asociados a las

entradas del subproceso o
proceso
1.- Deficiencias tcnicas en la
formulacin del Plan.
El Plan no representa las
necesidades de compra del
Servicio.
2.- Falta de aprobacin o
autorizacin del Plan.
______________________________________________________________________________________________
81

_________________________________________________________________________________________________
Cuadro N 5: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Asociado a las Actividades
Realizadas en las Etapas de Seleccin y Adjudicacin
Etapas
realizacin de las
actividades
Controles operativos mitigantes clave
Responsables
Licitacin privada y pblica
Recepcin de ofertas fuera

de plazo.
Etapa Seleccin
Recepcin de ofertas en
forma distinta a la sealada
en las bases.
La apertura no se realiza a
travs del sistema y no se
cumple
el
procedimiento
aprobado.
La apertura se realiza en da
y hora distinta al establecido
en las bases.
Ministro
de
Fe
incompatibilidades.
con
Qu: Chequeo automatizado de plazo.

Cmo: El sistema de informacin ADBG,
contiene un algoritmo que controla y chequea
la hora y la fecha de la apertura.
Cundo: Lo anterior se realiza por cada
apertura para todas las ofertas.
Quin: Este chequeo lo hace el Encargado de
Sistema de Informacin de Compras.
Qu: Chequeo manual de plazo y confeccin
de Acta de Recepcin.
Cmo: En caso de ofertas no recibidas por el
sistema, el encargado de la Oficina de Partes,
levanta un acta con individualizacin de da y
hora de las ofertas recibidas, que es visada por
el Jefe de Finanzas.
Cundo: Esto se hace en cada licitacin para
todos los oferentes.
Quin: Encargado oficina de Partes / Jefe de
Finanzas.
Qu: Chequeo de recepcin y confeccin de
Acta de Apertura.
Cmo: El comit de compras controla el
proceso de recepcin y levanta un Acta de
todas las ofertas recibidas, con participacin de
un Ministro de Fe.
El sistema o el encargado (si son extra
sistema) mantiene los antecedentes de las
consultas y respuestas a los oferentes, con
fecha.
Quin: Comit de Compras / Encargado
Sistema de Compras / Ministro de Fe.
Qu: Revisin uso del sistema.
Cmo: La recepcin y apertura de las ofertas
deben realizarse a travs del portal de
Chilecompras. Este procedimiento es verificado
diariamente, por el Encargado del Sistema de
Informacin mediante un reporte que se emite
en el rea abastecimiento, visado por el
supervisor
Cundo: Diariamente.
Quin: Encargado sistema / supervisor.
Qu: Verificacin de la apertura.
Cmo: Si es una apertura extra sistema, se
debe realizar en dependencias del Servicio con
la asistencia de un Ministro de Fe, abogado de
la Unidad Jurdica, que certifica que el da y
hora corresponde a las Bases.
Quin: Funcionario unidad jurdica como
Ministro de Fe.
Sin control
Encargado Sistema
de Informacin de
Compras
Encargado Oficina
de Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
Sistema de
Compras
Encargado
Sistema
Informacin
supervisor
de
de
su
Funcionario de la
Unidad Jurdica
______________________________________________________________________________________________
82

_________________________________________________________________________________________________
Etapas
realizacin de las
actividades
Las
actas
se
firman
posteriormente
por
las
personas que no asisten a la
apertura.
No se entregan reportes en
forma oportuna o tienen datos
errneos.

Qu: Chequeo de asistencia y visto bueno.
Cmo: En el caso de apertura en soporte de
papel, existe un Acta elaborada por el Comit
de Compras que da cuenta de la apertura
firmada por la entidad y los oferentes presentes
en la apertura, con la asistencia de un Ministro
de Fe.
Cundo: Esto se hace en cada apertura en
soporte papel para todos los oferentes.
Quin: Comit de Compras / Ministro de Fe.
Qu: Revisin de reportes y autorizacin.
Cmo: La informacin se revisa por el
Encargado del Sistema de Compras y se
autoriza por el supervisor.
Cundo: Cada vez que se emite un reporte por
el sistema, y al menos mensualmente.
Quin: Supervisor del Sistema de Informacin
/ Encargado Sistema de Compras.
Responsables
Comit de Compras
Ministro de Fe
Encargado Sistema
de Compras
Supervisor
Compra directa
Designacin de cotizadores
con incompatibilidades.
Falta de tres cotizaciones

para
trato
directo
sin
fundamento.
Cotizaciones manejadas para
favorecer a proveedor.
Errores en
tcnica.
Etapa
Adjudicacin
la
evaluacin
Adjudicacin con criterios

distintos a los establecidos en
la Ley y las bases.
Adjudicacin no es
consistente con el proceso de
evaluacin.
Inexistencia de antecedentes
para realizar la verificacin.
Qu: Cruce de datos.

Cmo: Se realiza un cruce de datos de los
funcionarios involucrados en el proceso de
compras y los con poder de decisin y los
proveedores frecuentes del Servicio.
Cundo: Semestralmente.
Quin: Jefe de Recursos Humanos.
Sin control
Sin control
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
requisitos establecidos en la Ley, las bases y el
procedimiento, emitiendo un informe tcnico,
con visto bueno del Jefe de Abastecimiento.
Cundo: Esto se realiza por cada proceso de
licitacin.
Quin: El Comit de Compras y Jefe de
Abastecimiento.
Qu: Examen de criterios y aplicacin de
check list.
Cmo: Se revisa cada adjudicacin en contra
de los requisitos de las bases (check list) y
pone visto bueno slo si se cumplen todos los
requisitos.
Cundo: Esto se realiza por cada proceso de
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
Qu: Chequeo de consistencia.
Cmo: Se revisa y se da visto bueno a la
resolucin de adjudicacin antes de la firma del
Jefe Superior y revisa la consistencia del
proceso.
Cundo: Cada resolucin es revisada y
chequeada.
Quin: Unidad Jurdica.
Qu: Examen a las competencias y
herramientas de verificacin.
Jefe de Recursos
Humanos
Comit de Compras
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas
______________________________________________________________________________________________
83

_________________________________________________________________________________________________
Etapas
realizacin de las
actividades
Responsables
Cmo: Hay un encargado de mantener y

conseguir las herramientas necesarias para
realizar los cruces de datos (bases de datos
pblicas, declaraciones de inters y otros
antecedentes) y de capacitar a los funcionarios
que realizan esta labor en el manejo de bases
de datos y consultas, y en el manejo de la
normativa y jurisprudencia administrativa
asociadas a temas de probidad.
Cundo: El examen de herramientas y la
determinacin de competencias se hace al
menos una vez al ao.
Quin: Jefe de Recursos Humanos
Jefe de Recursos
Humanos
No se cuenta con todos los

antecedentes para visar la
operacin.
Sin control
El funcionario que aprueba no

tiene
las
facultades
delegadas.
Qu: Chequeo de facultades.

Cmo: se visa la aprobacin, revisando los
aspectos de forma y fondo y las atribuciones
del firmante.
Cundo: Cada adjudicacin y resolucin que
la apruebe es revisada por la unidad Jurdica
del Servicio.
Quin: La Unidad Jurdica previa a la
aprobacin.
Funcionarios que realizan

verificacin no cuentan con
las competencias necesarias.
Jefe Unidad Jurdica
______________________________________________________________________________________________
84

_________________________________________________________________________________________________
Cuadro N 6: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Identificado Asociado a las
Entradas del Subproceso o Proceso
Etapa que
afecta
Etapa
Seleccin
Riesgos
asociados a las
entradas del
subproceso o
proceso
1.- Deficiencias
tcnicas en la
formulacin del Plan.
El Plan no representa
las necesidades del
Servicio.
2.Falta
de
aprobacin
o
autorizacin del Plan.
Controles operativos mitigantes claves
Responsables
Qu: Revisin del Plan.

Cmo: Existe informacin histrica acerca del gasto y
adquisiciones del Servicio que maneja el Jefe de
Finanzas.
Cundo: Cada Unidad hace llegar a la Comisin de
Planificacin, al 15 de noviembre de cada ao, un
programa operativo anual con los requerimientos y
necesidades para el prximo ao, calendarizadas y
presupuestadas.
Quin: Jefe de Finanzas.
Jefe de Finanzas
Qu: Participacin en distintos niveles.

Cmo:
Existen
procedimientos
formales
con
participacin de las diversas instancias para definir el
Plan (Comisin de Planificacin), que se revisa y
aprueba anualmente por el Jefe de Servicio previo
informe de la Comisin de Planificacin y del Jefe de
Finanzas.
Cundo: Anualmente.
Quin: Comisin de Planificacin / Jefe de Servicio.
Qu: Aprobacin del Plan.
Cmo: Se revisa el Plan y se consideran los anlisis de
la Comisin de Planificacin y del Jefe de Finanzas
para aprobar, rechazar o modificar el Plan propuesto.
Cundo: Hasta el 30 de diciembre de cada ao.
Quin: Jefe de Servicio.
Jefe de Cada
Unidad Operativa
Jefe de Servicio
Comisin de
Planificacin
Jefe de Servicio
Comisin de
Planificacin
______________________________________________________________________________________________
85

_________________________________________________________________________________________________
ANEXO N 7
EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
La metodologa de evaluacin de riesgos (identificacin, anlisis y valoracin) de una entidad
puede comprender una combinacin de tcnicas, junto con herramientas de apoyo. Por
ejemplo, para la identificacin de riesgos la direccin puede usar talleres interactivos de trabajo
como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica
para ayudar a los participantes.
Entre los factores que influyen en la seleccin de las tcnicas de evaluacin del riesgo se
cuentan los siguientes:
-
La complejidad del problema y de los mtodos que se necesitan para analizarlo.

La naturaleza y el grado de incertidumbre de la evaluacin del riesgo, basados en la
cantidad de informacin disponible y que se requiere para satisfacer los objetivos.
La amplitud de los recursos requeridos en funcin del tiempo y del nivel de
conocimientos tcnicos, de las necesidades de datos o de los costos.
Si el mtodo puede proporcionar un resultado cuantitativo.
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
1.- Ejemplos de Tcnicas de Identificacin de Riesgos:
1.1.- Matriz de Consecuencias/Probabilidad
Es un medio de combinar clasificaciones cualitativas o semicuantitativas de consecuencia y
probabilidad para producir un nivel de riesgo o una clasificacin del riesgo. El formato de la
matriz y las definiciones que se apliquen dependen del contexto en el que se usa, y es
importante que se utilice un diseo apropiado a las circunstancias.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orgenes de riesgo o
tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una
herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir
cules son los riesgos que necesitan anlisis adicionales o ms detallados, cules son los que
se han de tratar primero, o cules se han de referenciar a un nivel de gestin ms elevado.
______________________________________________________________________________________________
86

_________________________________________________________________________________________________
1.2.- Tormenta de Ideas

Esta tcnica implica el estmulo y el fomento de conversaciones fluidas entre un grupo de
personas competentes, con objeto de identificar los posibles modos de falla y los peligros
asociados, los riesgos, los criterios para la toma de decisiones, y/o las opciones de tratamiento.
El trmino "tormenta de ideas" se utiliza frecuentemente de forma muy imprecisa cuando se
aplica a cualquier tipo de debate en grupo. Sin embargo, la tormenta de ideas verdadera
implica tcnicas particulares para tratar de garantizar que se fuerza la imaginacin de las
personas mediante las ideas y declaraciones de otras personas del grupo.
En esta tcnica es muy importante la facilitacin eficaz e incluye la estimulacin del debate
desde el principio, las indicaciones peridicas del grupo sobre otras reas importantes, y la
aceptacin de los resultados obtenidos en el debate (que normalmente suele ser bastante
animado).
1.3.- Tcnica Delphi
Un medio de combinar las opiniones de expertos que puede apoyar la identificacin del origen
y de la influencia, la estimacin de la probabilidad y de la consecuencia, y la valoracin del
riesgo. Es una tcnica de colaboracin para crear el consenso entre expertos. Implica el
anlisis independiente y la votacin de los expertos.
2.- Ejemplos de Tcnicas de Anlisis de Riesgos:
2.1.- Estructura Y SI? (SWIFT)
Es un sistema para ayudar a un equipo en la identificacin de riesgos. Normalmente se utiliza
dentro de un taller de trabajo dirigido. Por lo general est relacionado con una tcnica de
anlisis y valoracin del riesgo.
2.2.- Anlisis de Modos y Efectos de Fallas (FMEA)
Es una tcnica que identifica los modos y mecanismos de falla y sus efectos.
Existen varios tipos de anlisis FMEA: FMEA del Diseo (o del producto), que se aplica a
componentes y a productos; FMEA del Sistema, que se aplica a sistemas; FMEA del Proceso,
que se aplica a procesos de fabricacin y de montaje; FMEA del Servicio y FMEA del Software.
El FMEA puede ir seguido por un anlisis de criticidad que defina la importancia de cada modo
de falla de forma cualitativa, semicuantitativa o cuantitativa (FMECA2). El anlisis de criticidad
se puede basar en la probabilidad de que el modo de falla provocar la falla del sistema, o en
el nivel de riesgo asociado al modo de falla, o en un nmero de prioridad del riesgo.
______________________________________________________________________________________________
87

_________________________________________________________________________________________________
3.- Ejemplos de Tcnicas de Valoracin de Riesgos:

3.1.- Anlisis de Peligros y de Puntos Crticos de Control (HACCP)
Es un sistema metdico, proactivo y preventivo para asegurar la calidad del producto, la
fiabilidad y seguridad de los procesos, mediante la medicin y monitoreo de las caractersticas
especficas que se requiere que estn dentro de unos lmites definidos.
3.2.- Anlisis de la Causa Raz (RCA)
El anlisis de una prdida importante para prevenir que vuelva a ocurrir se conoce como
Anlisis de la Causa Raz (RCA), Anlisis de Falla de la Causa Raz (RCFA) o anlisis de
prdida. El anlisis RCA se centra en las prdidas de activos debido a diversos tipos de fallas,
mientras que el anlisis de prdidas se aplica principalmente a las prdidas financieras o
econmicas debidas a factores externos o a catstrofes. Este anlisis intenta identificar las
causas raz u originales en vez de tratar nicamente los sntomas inmediatamente obvios. Se
reconoce que la accin correctiva no siempre puede ser totalmente eficaz y que puede ser
necesaria una mejora continua. El anlisis RCA se aplica con bastante frecuencia para la
evaluacin de una prdida importante, pero tambin se puede utilizar para analizar prdidas
sobre una base ms global para determinar donde se pueden realizar mejoras.
Para mayor informacin se recomienda leer la norma NCh-ISO 31010:2013, emitida por el
Instituto Nacional de Normalizacin, INN (www.inn.cl).
______________________________________________________________________________________________
88

_________________________________________________________________________________________________
ANEXO N 8
EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL GOBIERNO
ELECTRNICO
Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con
Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones
generales:
1) Fragilidad de los Sistemas de Informacin
Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que
tener presente que los sistemas de informacin informatizados son vulnerables a una
diversidad de amenazas y atentados por parte de:
Personas tanto internas como externas de la organizacin.

Desastres naturales.
Servicios, suministros y trabajos no confiables e imperfectos.
Incompetencia y las deficiencias cotidianas.
Abuso en el manejo de los sistemas informticos.
Desastres a causa de intromisin, robo, fraude, sabotaje o interrupcin de las
actividades de cmputos.
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
Riesgos de Integridad: Este riesgo abarca todos aquellos relacionados con la

autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organizacin. Estos riesgos existen en cada aspecto de
un sistema de soporte de procesamiento de negocio y estn presentes en la Interfase
del usuario, procesamiento de errores y administracin de cambios.
Riesgos de Usabilidad: Se refiere a los riesgos relacionados al uso oportuno de la
informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la
informacin de toma de decisiones (Informacin y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
Riesgos de Acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos
e informacin. Abarcan los riesgos de segregacin inapropiada de trabajo, los riesgos
asociados con la integridad de la informacin de sistemas de bases de datos y los
riesgos asociados a la confidencialidad de la informacin.
Riesgos de Recuperabilidad: Relacionados con las deficiencias en las tcnicas de
recuperacin/restauracin usadas para minimizar la ruptura de los sistemas y los
______________________________________________________________________________________________
89

_________________________________________________________________________________________________
Backups y planes de contingencia que controlan desastres en el procesamiento de la

informacin, entre otros.
Riesgos en la Infraestructura: Estos riesgos se refieren a que en las organizaciones
no existe una estructura de informacin tecnolgica efectiva (hardware, software, redes,
personas y procesos) para soportar adecuadamente las necesidades futuras y
presentes de los negocios con un costo eficiente.
Riesgos de Seguridad General: Referidos a los Riesgos de choque de elctrico,
riesgos de incendio, de niveles inadecuados de energa elctrica, de radiaciones,
mecnicos, etc.
3) Riesgos Relacionados con los Documentos Electrnicos

Por ltimo, es importante destacar que en las organizaciones, cuyas actividades constan en
documentos electrnicos y stos son el respaldo de las transacciones y operaciones que
desarrolla la institucin, pueden presentarse algunos riesgos relacionados con stos
documentos, que deben ser considerados:
Riesgos de Autorizacin: Relacionados al hecho que la informacin electrnica haya

sido creada, procesada, grabada, corregida, enviada, archivada, accesada y destruida
slo por personas autorizadas y responsables.
Riesgo de Autenticacin: Referidos a los medios para verificar la identidad declarada
de un usuario y la autorizacin o denegacin del acceso al sistema, y la forma como la
autenticacin permite a cada lado de la comunicacin asegurarse de que el otro es
quien dice ser.
Riesgo de Integridad: Son aquellos que se relacionan con la exactitud, completitud y
oportunidad de los datos, referidos a la modificacin de la informacin, por error o
intencionalmente.
Riesgos de Confidencialidad: Referidos la capacidad de mantener un documento
electrnico protegido y accesible para su divulgacin o revelacin slo a una lista
determinada de personas autorizadas y responsables.
Riesgos de No Repudio: Relativo a la capacidad del sistema de permitir a cada lado
de la comunicacin, probar fehacientemente que el otro lado ha participado; de tal forma
que el origen no pueda negar haberlo enviado y el destino no pueda negar haberlo
recibido.
Riesgos de Accesibilidad: Relativo a la mantencin de datos disponibles
permanentemente para cumplir con su misin y con sus obligaciones legales,
tributarias y para propsitos de auditora.
Para identificar los controles, se debe tener presente que en el caso de sistemas de
informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual
a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados
y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de
funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento,
accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la
administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse
como controles generales los contratos con proveedores de servicios de tecnologas de
______________________________________________________________________________________________
90

_________________________________________________________________________________________________
informacin, la capacitacin y generacin de competencias, las instrucciones sobre correo

electrnico seguro, el monitoreo del cumplimiento de los procedimientos establecidos y la
tecnologa basada en encriptacin de datos, firmas electrnicas y certificados digitales.
Por otra parte, es necesario considerar que pueden existir controles especficos para los
riesgos especficos, a saber:
Controles para Riesgos de Autenticacin: Smart card o tokens, Password, Biometra,

PKI Infraestructura de clave pblica, certificados digitales, Firewalls, etc.
Controles para Riesgos de Integridad: Control de acceso a aplicaciones, funciones
automticas que permitan segregacin de funciones, validacin de datos, reportes de
excepciones, controles de secuencia numrica y de coincidencia, control de rastros de
correcciones, firma electrnica, firewalls entre otros.
Controles para Riesgos de No Repudio: Tcnicas criptogrficas, certificados digitales,
firma electrnica avanzada, time stamping, entre otros.
Controles para Riesgos de Autorizacin: Controles de acceso, definicin de perfiles
de usuario en redes, aplicaciones y sistemas; firma electrnica, certificados digitales,
etc.
Controles para Riesgos de Disponibilidad: Controles asociados a la adquisicin,
desarrollo y mantenimiento de sistemas, mecanismos de recuperacin de prdida de
datos, planes de contingencia, polticas de respaldo peridico de la informacin, y otros.
Controles para Riesgos de Confiabilidad: Cifrado o encriptacin, controles de acceso
lgico y fsicos a los sistemas y servidores, procedimientos de manipulacin de copiado,
almacenamiento, transmisin y destruccin, documentos reservados con niveles de
acceso determinados, protocolos de seguridad sobre Internet (SSL), firewalls, entre
otros.
______________________________________________________________________________________________
91

_________________________________________________________________________________________________
ANEXO N 9
CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL ADECUADO
CONSIDERADOS EN EL MODELO
1. Definicin de Control Interno
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento22.
Esta definicin refleja ciertos conceptos fundamentales. El control interno:
Est orientado a la consecucin de objetivos en una o ms categorasoperaciones,

informacin y cumplimiento.
Es un proceso que consta de tareas y actividades continuases un medio para llegar a un
fin, y no un fin en s mismo.
Es efectuado por las personasno se trata solamente de manuales, polticas, sistemas y
formularios, sino de personas y las acciones que stas aplican en cada nivel de la
organizacin para llevar a cabo el control interno.
Es capaz de proporcionar una seguridad razonableno una seguridad absoluta, al consejo y
a la alta direccin de la entidad.
Es adaptable a la estructura de la entidadflexible para su aplicacin al conjunto de la
entidad o a una filial, divisin, unidad operativa o proceso de negocio en particular.
Esta definicin es intencionadamente amplia. Incluye conceptos importantes que son

fundamentales para las organizaciones respecto a cmo disear, implantar y desarrollar el
control interno, constituyendo as una base para su aplicacin en entidades que operen en
diferentes estructuras organizacionales, sectores y regiones geogrficas.
Respecto de los Procesos de Control se pueden decir que corresponden a las polticas,
procedimientos (manuales y automticas) y actividades, los cuales forman parte de un enfoque
de control, diseados y operados para asegurar que los riesgos estn contenidos dentro del las
tolerancias establecidas por el proceso de evaluacin de riesgos nivel que una organizacin
est dispuesta a aceptar23.
Por su parte, el Control se puede considerar como cualquier medida que tome la direccin, el
Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los
objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los
objetivos y metas24.
22
COSO I
COSO I
24
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
23
______________________________________________________________________________________________
92

_________________________________________________________________________________________________
Se pueden complementar estas definiciones sealando que el control ha sido definido bajo dos
grandes puntos de vista, un punto de vista limitado y un punto de vista amplio.
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
2. Requisitos del Control Adecuado
Un control adecuado es el que est presente si la direccin ha planificado y organizado
(diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de
que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y
econmica25.
En consideracin a lo anterior, un control, para poder ser declarado como adecuado debe tener
propiedades como las siguientes:
Permitir la correccin de fallas y errores: El control debe detectar e indicar errores de

planeacin, organizacin o direccin.
Contribuir a la previsin de fallas o errores futuros: el control, al detectar e indicar errores
actuales, debe prevenir errores futuros, ya sean de planeacin, organizacin o direccin.
3. Importancia del Control

El control es importante toda vez que permite medir el desempeo organizacional y cmo se
van cumpliendo los objetivos de una entidad. Hasta el mejor de los planes se puede desviar. El
control se emplea entre otros propsitos para:
25
Mejorar la calidad de los procesos y actividades: Las fallas se detectan y el proceso se

corrige para eliminar errores.
Enfrentar el cambio: Este forma parte ineludible del ambiente de cualquier organizacin.
Las directrices de gobierno cambian, el comportamiento de los usuarios de los servicios o
beneficios se modifica, surgen exigencias nuevas, aparecen tecnologa emergentes, se
aprueban o modifican leyes y reglamentos, etc. La funcin del control sirve a la direccin
para responder a las amenazas o las oportunidades de todo ello, porque les ayuda a
Normas Internacionales para el Ejercicio de la Profesin de Auditora Interna - IIA
______________________________________________________________________________________________
93

_________________________________________________________________________________________________
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
4. Secuencia Tpica de Control Adecuado
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
5. Elementos Bsicos Considerados en el Modelo para Determinar un Control Adecuado

Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control.
Comprenden las polticas especficas, los procedimientos, los planes de la organizacin
(incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas
contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben
proporcionar una seguridad razonable de que se logren continuamente los objetivos del control
interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema
integrado y no individualmente.
Los controles, para que sean adecuados, deben cumplir con el propsito previsto en la
aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual
no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben
cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su
eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un
______________________________________________________________________________________________
94

_________________________________________________________________________________________________
esfuerzo adecuado. Los controles que se examinen para verificar su adecuacin deben ser los
que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su
aplicacin constante en la prevencin de riesgos.
Los elementos que se presentan a continuacin son los que se utilizan generalmente en una
estructura de control interno adecuada. Los mtodos y procedimientos especficos que se
describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser
considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el
registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las
transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y
responsabilidad ante los mismos.
a) Documentacin en Papel y/o Medios Electrnicos
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes
de las transacciones y hechos significativos. Asimismo, la documentacin en papel y
electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal
apropiado y los auditores.
La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y
procedimientos de control. Esta informacin debe figurar en documentos tales como planes o
guas, las polticas administrativas y los manuales de operacin y de contabilidad.
La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y
facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin.
La documentacin de las estructuras de control interno, de las transacciones y de hechos
importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la
institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar
dichas operaciones.
En los casos en que existen sistemas informticos integrados en la institucin, que generen
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin.
b) Registro Oportuno y Adecuado de las Transacciones y Hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente
clasificados.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
informacin siga siendo relevante y til para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una
transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
______________________________________________________________________________________________
95

_________________________________________________________________________________________________
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda
la documentacin con objeto de mantener su validez.
Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de
garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin
pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los
informes, los planes y los estados financieros y presupuestarios.
El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la
oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y
en la adopcin de decisiones.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o
registro.
c) Autorizacin y Ejecucin de las Transacciones y Hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o
electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus
competencias.
La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos
para atender metas especficas en condiciones particulares. La autorizacin es la principal
forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo
previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y
ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y
condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad
con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les
han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias
establecido por la direccin o la legislacin.
se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la
informacin.
d) Segregacin de Funciones
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y
revisin de las transacciones y hechos deben ser asignadas a personas diferentes.
Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las
funciones y responsabilidades deben asignarse sistemticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
______________________________________________________________________________________________
96

_________________________________________________________________________________________________
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos
y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o
eliminar la eficacia de esta tcnica de control interno.
Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica
plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotacin del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el
uso del perodo vacacional anual para ayudar a reducir estos riesgos.
e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la
comprensin y cumplimiento de las directrices especificas de la direccin.
La asignacin, revisin y aprobacin del trabajo del personal exige:
Indicar claramente las funciones y responsabilidades del trabajo del empleado.

Examinar sistemticamente el trabajo de cada empleado, en la medida que sea necesario.
Aprobar el trabajo en puntos crticos del desarrollo para asegurarse de que avanza segn lo
previsto.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
______________________________________________________________________________________________
97

_________________________________________________________________________________________________
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
Mantenindolos en una caja fuerte.

Asignando a cada documento un nmero de serie.
Encargando su custodia a personas responsables.
Al determinarse la vulnerabilidad de un activo, debe considerarse tambin su costo, la
facilidad de transporte y el riesgo de prdida o de utilizacin indebida.
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
6.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento26.
El Marco COSO versin 1992 fue mejorado en el 201327 a travs de la ampliacin de la
categora de objetivos de la informacin financiera, incluyendo otras formas importantes de
reporting, como por ejemplo la informacin no financiera y el reporting interno. Asimismo, el
Marco COSO I, versin 2013 refleja los cambios en el entorno empresarial y operativo de las
ltimas dcadas, entre los que se incluyen:
Las expectativas de supervisin del gobierno corporativo.

La globalizacin de los mercados y las operaciones.
Los cambios y el aumento de la complejidad de las actividades empresariales.
Demandas y complejidades de las leyes, reglas, regulaciones y normas.
Expectativas de las competencias y responsabilidades.
Uso y dependencia de tecnologas en evolucin.
Expectativas relacionadas con la prevencin y deteccin del fraude.
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
Objetivos operativos. Hacen referencia a la efectividad y eficiencia de las operaciones de la

entidad, incluidos sus objetivos de rendimiento financiero y operacional, y la proteccin de
sus activos frente a posibles prdidas.
26
COSO I
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
27
______________________________________________________________________________________________
98

_________________________________________________________________________________________________
Objetivos de informacin. Hacen referencia a la informacin financiera y no financiera interna

y externa y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia, u otros
conceptos establecidos por los reguladores, organismos reconocidos o polticas de la propia
entidad.
Objetivos de cumplimiento. Hacen referencia al cumplimiento de las leyes y regulaciones a
las que est sujeta la entidad.
El control interno consta de cinco componentes integrados: Entorno de Control, Evaluacin de
Riesgos, Actividades de Control, Informacin y Comunicacin y Actividades de Supervisin.
Existe una relacin directa entre los objetivos, que es lo que una entidad se esfuerza por
alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la
estructura organizacional de la entidad (las unidades operativas, entidades jurdicas y dems).
La relacin puede ser representada en forma de cubo.
Las tres categoras de objetivos operativos, de informacin y de cumplimiento estn
representadas por las columnas.
Los cinco componentes estn representados por las filas
La estructura organizacional de la entidad est representada por la tercera dimensin.
Adems de este Marco, la organizacin COSO public simultneamente el documento Control
Interno sobre la Informacin Financiera Externa: un compendio de mtodos y ejemplos para
proporcionar enfoques prcticos y ejemplos que ilustran cmo los componentes y principios
enunciados en el Marco se pueden aplicar en la preparacin de los estados financieros.
Otra de las publicaciones emitidas por la organizacin COSO es la Gestin de riesgos
Corporativos - Marco Integrado (Marco ERM). Este y el Marco COSO I son complementarios y
no se sustituyen entre s. Sin embargo, aunque estos marcos son diferentes y proporcionan
enfoques distintos, abordan determinadas reas comunes. El Marco ERM abarca tambin el
control interno, y reproduce varias partes del texto del Control Interno - Marco Integrado original
(COSO I).
En consecuencia, el Marco ERM sigue siendo un marco viable y adecuado para el diseo, la
implementacin, la ejecucin y la evaluacin de la gestin de riesgos corporativos.
El Marco COSO I, versin 2013, establece un total de diecisiete principios que representan los
conceptos fundamentales asociados a cada uno de los cinco componentes integrados. Dado
que estos diecisiete principios proceden directamente de los Componentes, una entidad puede
alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios
son aplicables a los objetivos operativos, de informacin y de cumplimiento. A continuacin se
enumeran los principios que soportan los componentes del control interno.
Componentes y Principios del Control Interno
Entorno de Control
1. La organizacin demuestra compromiso con la integridad y los valores ticos.
2. El consejo de administracin demuestra independencia de la direccin y ejerce la supervisin
del desempeo del sistema de control interno.
______________________________________________________________________________________________
99

_________________________________________________________________________________________________
3. La direccin establece, con la supervisin del consejo, las estructuras, las lneas de reporte y
los niveles de autoridad y responsabilidad apropiados para la consecucin de los objetivos.
4. La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes, en alineacin con los objetivos de la organizacin
5. La organizacin define las responsabilidades de las personas a nivel de control interno para
la consecucin de los objetivos.
Evaluacin de Riesgos
6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados.
7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cmo se deben
gestionar.
8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la
consecucin de los objetivos.
9. La organizacin identifica y evala los cambios que podran afectar significativamente al
sistema de control interno.
Actividades de Control
10. La organizacin define y desarrolla actividades de control que contribuyen a la mitigacin
de los riesgos hasta niveles aceptables para la consecucin de los objetivos.
11. La organizacin define y desarrolla actividades de control a nivel de entidad sobre la
tecnologa para apoyar la consecucin de los objetivos.
12. La organizacin despliega las actividades de control a travs de polticas que establecen
las lneas generales del control interno y procedimientos que llevan dichas polticas a la
prctica.
Informacin y Comunicacin
13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica la informacin internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control
interno.
15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisin
16. La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o independientes
para determinar si los componentes del sistema de control interno estn presentes y en
funcionamiento.
17. La organizacin evala y comunica las deficiencias de control interno de forma oportuna a
las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el
consejo, segn corresponda.
______________________________________________________________________________________________
100

_________________________________________________________________________________________________
Para mayor informacin se recomienda leer el Marco Integrado de Control Interno COSO I,
versin 2013, emitido por la organizacin COSO (www.coso.org).
7.-
Identificacin y Anlisis de Controles Claves
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se
aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u
ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y
evaluados en trminos del cumplimiento de normas especficas de control.
Los controles deben ser identificados con una descripcin del mismo que contenga al menos
los siguientes antecedentes:
Qu se realiza.
Cmo se realiza el control.
Quin lo realiza.
Cundo lo ejecuta.
Por ejemplo, para describir un control de acceso a los servidores del Servicio, se sugiere:
Restricciones de Acceso (Qu).

Existe una restriccin de acceso a la sala de servidores, ya que slo pueden ingresar
quienes cuentan con tarjeta especial y clave de acceso, la cual slo se entrega a tres
funcionarios responsables de la Divisin de Sistemas (Cmo).
La emisin de tarjeta de autorizacin para el acceso y la entrega de claves se realizan
por el Jefe de la Divisin de Sistemas, previa aprobacin del Jefe de Servicio de los
funcionarios habilitados (Quin).
Las autorizaciones se revisan mensualmente por el Jefe de la Divisin de Sistemas, que
emite un reporte al Jefe de Servicio (Cundo).
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
______________________________________________________________________________________________
101

_________________________________________________________________________________________________
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de
efectividad de los controles en base al diseo del control y cumplimiento de los elementos de
un control adecuado. Nivel definido por los atributos periodicidad, oportunidad y nivel de
automatizacin del control, en base al esquema que se presenta en la pgina siguiente.
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el
grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si stos
adems de cumplir con los elementos de un control adecuado, estn diseados con la finalidad
de mitigar los efectos que se puedan producir ante la materializacin del riesgo.
A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Cuadro N 1: Anlisis de Controles Claves
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
Importancia del control presente para

mitigar los riesgos al interior del proceso
Clave/Fundamental
No es Fundamental
______________________________________________________________________________________________
102

_________________________________________________________________________________________________
Ejemplo de determinacin de una evaluacin de la efectividad de los controles claves:

i.-
Cuadro N 2: Ejemplo para Identificacin de Controles Claves en la Etapa

Clculo de Horas Extraordinarias
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
Qu: Registro automatizado.

Cmo: El sistema de control
biomtrico registra las horas
trabajadas y calcula aquellas que
Clculo de
exceden de las 44 horas
horas
ordinarias.
extraordinarias
Cundo: Diariamente registra las
horas y calcula semanalmente
Errores
o
Quin:
responsable
sistema
irregularidades
biomtrico.
en el clculo de
Qu: Visacin
las
horas
Cmo: Se revisa y aprueba el
extraordinarias
clculo de horas para su pago.
Cundo: mensualmente
Quin: Jefe de la Unidad de
remuneraciones
El encargado de remuneraciones
lleva un archivador con el detalle
del las horas extras por
funcionario
Importancia del control

presente para mitigar los
riesgos al interior del
proceso
Clave/
No es
fundamental fundamental
En este caso, se identifican tres controles mitigantes asociados directamente o indirectamente

al riesgo Errores o irregularidades en el clculo de las horas extraordinarias, por lo que debe
realizarse en primer lugar un anlisis de la importancia de cada control para mitigar el riesgo,
es decir, determinar si se trata de un control clave.
El resultado del anlisis muestra en el ejemplo que, el control descrito como El encargado de
remuneraciones lleva un archivador con el detalle del las horas extras por funcionario, no es
un control clave, por lo que no se analizar en cuanto al nivel de cumplimiento con los
requisitos o normas que considera el modelo.
______________________________________________________________________________________________
103

_________________________________________________________________________________________________
ii.- Cuadro N 3: Ejemplo de Anlisis del Cumplimiento de Requisitos del Modelo de

Control en los Controles Mitigantes Examinados
Nivel de cumplimento de los elementos de control adecuado asociado
Niveles de cumplimiento: adecuado, regular, insuficiente
Riesgo Relevante
Documentacin
Registro
Errores
o
irregularidades en
Nivel
Nivel adecuado
el clculo de las
adecuado
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
iii.-
Autorizacin
Divisin o
Segregacin
Supervisin
Acceso
Nivel adecuado
Nivel
adecuado
Nivel
adecuado
Nivel
regular
Cuadro N 4: Ejemplo Determinacin de la Efectividad de los Controles Claves
Controles
Claves/fundament
ales
Nivel de
Cumplimiento
de los
elementos de
control
adecuado
El
sistema
biomtrico
de
control
horario,
contiene
un
Adecuado
algoritmo
que
r
e
specto a los
calcula las horas
elementos de
trabajadas,
control del
indicando en forma
modelo
precisa
aquellas
que exceden de las
44 semanales.
Caractersticas en el diseo de los controles

claves/fundamentales
Oportunidad
Periodicidad
Automatizacin
Clasificacin
Valor
Preventivo
(previene
errores y se
encuentra al
principio del
proceso)
Peridico
(a la fecha de
corte mensual
para pago)
Automatizado y
Manual
ptimo
El
jefe
de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
8.- Limitaciones de un Sistema de Control Interno

Si bien el control interno proporciona una seguridad razonable acerca de la consecucin de los
objetivos de la entidad, existen limitaciones. El control interno no puede evitar que se aplique
un deficiente criterio profesional o se adopten malas decisiones, o que se produzcan
acontecimientos externos que puedan hacer que una organizacin no alcance sus objetivos
operacionales. Es decir, incluso en un sistema de control interno efectivo puede haber fallos.
Las limitaciones pueden ser el resultado de:
______________________________________________________________________________________________
104

_________________________________________________________________________________________________
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
Estas limitaciones impiden que la direccin de la entidad gubernamental tenga la seguridad

absoluta de la consecucin de los objetivos de la entidad, es decir, el control interno
proporciona una seguridad razonable, pero no absoluta. A pesar de estas limitaciones
inherentes, la direccin debe ser consciente de ellas cuando seleccione, desarrolle y
despliegue los controles que minimicen, en la medida de lo posible, estas limitaciones.
9.- Descripcin de Controles Claves
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema). Adems como ya se
seal, al describir los controles siempre se deben responder las preguntas, qu?, cmo?,
quin? y cundo?, esto es, debera especificarse qu se hace, cmo o de qu forma se lleva
a efecto el control, quin lo ejecuta y cundo.
______________________________________________________________________________________________
105

_________________________________________________________________________________________________
ANEXO N 10
EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Ranking
Proceso
de
transversal Proceso
procesos Subproceso
(1)
(2)
(3)
(4)
Crditos
Crdito
de
Recuperaci fomento a
n de
mujeres
prestamos microemp
resarias
Recuperaci
n del crdito
Etapa
(5)
Fuente
Riesgo
del
Especfic riesgo
o (6)
(7)
Ejecucin
Falta de
de
garantas
Garantas
Interna
Tipo de
riesgo
(8)
Procesos
Periodo
Efecto potencial
Medicin
en la severidad Responsable
Estrategia Descripcin de la
Indicador
Meta
del
de riesgo y/o
de la
Plazo
genrica estrategia a aplicar
de logro Indicador (16)
efectividad del
estrategia
(13)
(9)
(10)
(14)
(15)
control (11)
(12)
Reducir
Se establecer una Las

acciones
instancia de revisin tienden a mejorar
Porcentaj
del
Comit
de el
control
del
e
Crdito que deber riesgo que es
crditos
revisar cada crdito dbil
sin
y cotejar la garanta estableciendo una
garanta
de acuerdo al tipo instancia
que
de crdito
controle al Comit
(N total
de Crdito y una
Jefe de
6
de
mensual
Se adicionar un aplicacin
al Operaciones meses
crditos
mdulo al sistema sistema.
mensuale
de informacin de Tambin
se
s / N de
crditos, para que si espera disminuir
crditos
un crdito no tiene la
probabilidad
sin
incorporado
el que se concrete la
garanta)
nmero de pliza de falta de garantas
* 100
garanta no permita
cursar el crdito
Evidencia
que se
observar
(17)
Carpeta del
crdito
- 3%
______________________________________________________________________________________________
106
Informacin
del sistema
Actas
Comit
Actas de
revisin

_________________________________________________________________________________________________
ANEXO 11 - 1/2
MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE AUDITORA - N 2
LEVANTAMIENTO DE INFORMACIN DE PROCESOS
Proceso
Transversal
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Proceso
Crtico
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Recursos
Humanos
Capacitacin
Subproceso
Pd.
(1)
Etapas
Objetivos
RIESGOS CRTICOS
Descripcin
Riesgos
Especficos
Probabilidad
Fuente de
Riesgos
Impacto
Severidad del
Riesgo
Tipo de
Riesgo
Clasif.
valor
Clasif
valor
Clasif
valor
Postulacin
10%
Evaluacin
35%
Entrega de
crditos
20%
..
Procesos
Moderado
Moderado
Alto
Econmico
Improb.
Mayores
Alto
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Ingreso
fondos
Recuperacin
del crdito
35%
Recuperacin
del crdito
35%
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Falta
acciones
oportunas
cobranza
de
de
Interna
Insolvencia de
los deudores
Externa
Falta
garantas
Ingreso
inoportuno
incompleto
pagos
de
o
de
Errores en la
digitacin
de
los montos
Interna
Procesos
Muy
improb.
Mayores
Alto
Personas
Probable
Moderado
Alto
12
Personas
Moderado
Mayores
Extremo
12
Tecnolgico
Improb.
Mayores
Alto
Interna
Interna
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Problemas en
la
transformacin
de
la
informacin del
sistema
del
Servicio
al
SIGFE
Interna
(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras
variables relevantes.
______________________________________________________________________________________________
107
C
o
n
T
i
n
a
e
n
l
a
p
g
i
n
a
s
i
g
u
i
e
n
t
e

_________________________________________________________________________________________________
ANEXO 11 - 2/2
MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE AUDITORA - N 2
VALOR Y CLASIFICACIN DE LA EXPOSICIN AL RIESGO Y EXPOSICIN AL RIESGO PONDERADA
CONTROLES CLAVES EXISTENTES
Riesgo
Descripcin
Controles
(Norma, quin lo realiza,
qu actividades
desarrolla, cmo las
ejecuta y cundo y cmo
se evidencia su
cumplimiento)
V
i
e
n
e
d
e
l
a
p
g
i
n
a
a
n
t
e
r
i
o
r
Cumple
Elementos
de Control
Adecuado
Nivel de
Eficiencia
PD
Etapa
Valor
Nivel
ER
(3)
Valor
ER
(3)
Mayor
Subproceso
Nivel
ER
(3)
Valor ER
(3)
Nivel ER
(3)
Mayor
Mayor
Valor
ER
(3)
Proceso
Valor
Ranking
ERP (4)
0,6
Nivel
ER
(3)
Valor
ER
(3)
Media
3,8
Media
3,8
Ranking
Media
Media
Media
1,05
menor
2,5
menor
2,5
menor
2,5
0,5
Media
3,8
Qu: Aviso automtico:

Cmo: El Sistema avisa
los vencimiento al Jefe
de Cobranzas
Quin y Cundo: El
Jefe finanzas revisa
mensualmente
las
cobranzas.
Pd
Cr
Media
Mayor
medio
3,8
1,33
Media
3,8
Sin control.
No
aceptable
Mayor
medio
3,8
1,33
Media
3,8
No
Mayor
Mayor
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pd
Cr
Menor
2,7
Menor
2,5
medio
3,8
1,33
Media
3,8
.
.
.
.
.
.
2
3
.
El Comit de crdito no
puede entregar crdito
sin garanta.
Qu:
Validacin
de
pagos:
Cmo y quin: El
Tesorero ingresa los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas
Qu:
Validacin
de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu:
Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
(3) ER= Nivel de Exposicin al Riesgo.

(4) ERP= Nivel de Exposicin al Riesgo Ponderada.
______________________________________________________________________________________________
108

GUIA TECNICA No 59 2014 PROCESO DE GESTION DE RIESGOS PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GUIA TECNICA No 59 2014 PROCESO DE GESTION DE RIESGOS PDF

Cargado por

Copyright:

Formatos disponibles

GUA TCNICA N 59

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

II.- OBJETIVO GENERAL DEL DOCUMENTO

III.- RELACIN CON EL ASEGURAMIENTO

IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2014

V.- PROCESO DE GESTIN DE RIESGOS

1.- Conceptos Generales sobre Riesgos

2.- Conceptos Generales sobre Gestin de Riesgos

3.- Modelos para la Gestin de Riesgos

4.- Marco de Trabajo de la Norma NCh ISO 31000:2012

5.- Fases Genricas en el Proceso de Gestin de Riesgos

VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

A.- Marco de Trabajo de la Gestin de Riesgos

B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos

1.- Fase Establecimiento del Contexto

2.- Fase Identificacin de Riesgos

3.- Fase Anlisis de Riesgos

4.- Fase Valoracin de Riesgos

5.- Fase Tratamiento de Riesgos

6.- Fase Monitoreo y Revisin

7.- Fase Comunicacin y Consultas

8.- Registro del Proceso de Gestin de Riesgos

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

VII.- RESUMEN DE REQUERIMIENTOS ESPECFICOS

1.- Fase Establecimiento del Contexto

2.- Fase Identificacin de Riesgos

3.- Fase Anlisis de Riesgos

4.- Fase Valoracin de Riesgos

5.- Fase Tratamiento de Riesgos

6.- Fase Monitoreo y Revisin

7.- Fase Comunicacin y Consultas

8.- Registro del Proceso de Gestin de Riesgos

ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS

ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES

ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE

ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS

ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS

ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO

ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS

ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL

ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL

ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS

ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos aceptados, que

Finalmente, se adjuntan anexos que contienen: en el Anexo N 1, un ejemplo de poltica de

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

informacin adecuada para la Presidencia de la Repblica, para la coordinacin y gestin

OBJETIVO GENERAL DEL DOCUMENTO

Documentar los procedimientos y facilitar a las entidades del Estado, la implementacin y

RELACIN CON EL ASEGURAMIENTO

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO

PROCESO DE GESTIN DE RIESGOS

1.- Conceptos Generales Sobre Riesgos

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

En forma complementaria, el documento Risk Assessment in Practice Thought Paper de la

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para reponerse

La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora

Objetivo Gubernamental de Auditora N 2 - Proceso de Gestin de Riesgos

Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos