Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OBJETIVO GUBERNAMENTAL DE
AUDITORA N 2 - 2014
MANTENCIN Y MEJORAMIENTO DE
LAS ACTIVIDADES ASOCIADAS AL
PROCESO DE GESTIN DE RIESGOS EN
EL ESTADO
Esta Gua Tcnica incluye un enfoque metodolgico basado
principalmente
en
la
Norma
Chilena
NCh-ISO
31000:2012,Gestin del Riesgo - Principios y Orientaciones. Es
de utilidad para que la Direccin realice el levantamiento de
procesos en la institucin, la identificacin, anlisis y valorizacin
de los riesgos crticos y sus controles, y para la formulacin de
medidas de tratamiento de dichos riesgos.
SEPTIEMBRE 2014
MINISTERIO
SECRETARA
GENERAL DE LA
PRESIDENCIA
TABLA DE CONTENIDOS
____________________________________________________________________________
MATERIAS
PGINA
I.- INTRODUCCIN
11
13
16
16
16
16
33
37
39
42
47
48
50
______________________________________________________________________________________________
1
PARA
EL
OBJETIVO
51
51
52
53
54
54
55
55
56
9.- Esquema de Todas las Fases del Proceso de Gestin de Riesgos y Requerimientos
Especficos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 2 - 2014
58
VIII.- BIBLIOGRAFA
61
62
64
65
67
70
77
86
89
92
106
107
______________________________________________________________________________________________
2
I.-
INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que los Servicios y entidades del Estado mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
se ha definido como Objetivo Gubernamental de Auditora N 2 para el ao 2014, la mantencin
y mejoramiento de las actividades del Proceso de Gestin de Riesgos. Lo anterior,
considerando el levantamiento de procesos de la institucin o la revisin del mismo; la
identificacin, anlisis y valorizacin de los riesgos crticos y sus controles y, en especial, la
formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
gubernamental, los Servicios podrn previa solicitud y aprobacin por parte del Consejo de
Auditora, proponer e implementar, si corresponde, un modelo de gestin de riesgos basado
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.
______________________________________________________________________________________________
3
Como punto I esta introduccin; en el punto II se seala el objetivo general del documento;
en el punto III, la relacin con el Objetivo Gubernamental de Auditora de Aseguramiento
del Proceso de Gestin de Riesgos; en el punto IV, el marco metodolgico para el Proceso
de Gestin de Riesgos bajo NCh-ISO 31000:2012; en el punto V, se establecen conceptos
bsicos y fundamentales de la Gestin de Riesgos; en el punto VI se seala el anlisis de
las fases del Proceso de Gestin de Riesgos que deben ser aplicadas por las entidades
gubernamentales; en el punto VII se muestra un detalle los requerimientos para cumplir con
el Objetivo Gubernamental y, en el punto VIII, se presenta la Bibliografa que sustenta el
presente documento.
Hay que relevar, que cada Servicio o entidad del Estado debe tener implementado un Proceso
de Gestin de Riesgos que sea til para identificar y gestionar aquellos eventos que puedan
afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse
todas las fases que se definen en la presente gua tcnica, con la finalidad de tener una gestin
de riesgos slida. Durante el ao 2014, el Consejo de Auditora solicitar algunos reportes
derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes el servicio
debe ejecutar la metodologa contenida en la presente gua, para conseguir por una parte un
PGR robusto funcionando en el Servicio y por otra, reportes de calidad, que entreguen
______________________________________________________________________________________________
4
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento
del Proceso de Gestin de Riesgos en la entidad.
Este Objetivo Gubernamental estar regulado por la presente gua tcnica y por las dems
normativas e instrucciones que el CAIGG determine en forma complementaria.
III.-
Durante los aos 2010 al 2013, las entidades del Sector Gubernamental cumplieron con un
Proceso de Gestin de Riesgos abreviado, que consideraba informar al Consejo de Auditora,
al menos, sus 20 riesgos crticos. Estos riesgos fueron clasificados y valorados en una Matriz
de Riesgos Abreviada, basada en la Matriz de Riesgos Estratgica del Servicio. De acuerdo a
la metodologa del ao 2014, deben tratarse por el Servicio o entidad los riesgos crticos
levantados e identificados en la Matriz de Riesgos Estratgica del Servicio, considerando las
correspondientes actividades de anlisis, valoracin, priorizacin y formulacin de planes para
la mitigacin de cada uno de los riesgos crticos.
En este marco, es necesario que los Auditores Internos entreguen aseguramiento razonable a
sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de tratamiento de los
riesgos identificados y presentados al Consejo de Auditora al 27.12.2013. De esta manera, el
auditor interno entregar su opinin acerca del tratamiento de los riesgos crticos priorizados en
el Servicio y si los planes formulados han logrado mitigar los riesgos hasta un nivel aceptable
para la entidad o si por el contrario se requiere reformular dichas medidas.
______________________________________________________________________________________________
5
IV.-
El modelo metodolgico para la Gestin de Riesgos en las entidades del Estado estar basado
principalmente en las disposiciones de las Normas Chilenas ya mencionadas anteriormente:
NCh-ISO 31000:2012 - Gestin del Riesgo - Principios y Orientaciones, NCh-ISO 31010:2013 Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo, NCh-Gua ISO 73:2012 Gestin del
Riesgo - Vocabulario, y NCh-ISO 31004:2014 Gestin del Riesgo Orientacin para la
implementacin de ISO 31000 y, en menor medida, en otros marcos de gestin de riesgos
corporativos2.
El presente documento se entender como el marco tcnico para el Objetivo Gubernamental N
2 - 2014, y en general como marco de referencia para el funcionamiento y mantencin del
Proceso de Gestin de Riesgos en el Estado.
V.-
2
3
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.
www.coso.org
______________________________________________________________________________________________
6
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.
______________________________________________________________________________________________
7
La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe
adecuarse a la entidad y al sector que sta pertenece.
La gestin de riesgos debe considerar al definir los criterios de riesgo, el Apetito del Riesgo de
la entidad o Servicio. Este concepto se ha definido en algunos marcos de control interno y de
gestin de riesgos como: la cantidad de riesgo, desde un punto de vista amplio, que una
organizacin est dispuesta o desea aceptar en la persecucin de valor7; el riesgo que se est
dispuesto a aceptar en la bsqueda de la misin/visin de la entidad8 o la cantidad y tipo de
riesgo que una organizacin desea retener o perseguir9. Esto es, cuanto riesgo se puede
aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar un
servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El
apetito de riesgo debe ser revisado por la Direccin por lo menos una vez al ao, junto con la
estrategia de la organizacin y los procesos de planificacin.
Tambin hay que considerar el concepto de Tolerancia al Riesgo, que es el nivel aceptable de
la variacin alrededor del logro de un objetivo de negocio especfico, el que debe alinearse con
el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en
el cumplimiento de los objetivos y la atencin a los ciudadanos. Dicho de otra forma, la
tolerancia al riesgo es la cantidad mxima de un riesgo que una organizacin pblica est
dispuesta a aceptar para lograr sus objetivos.
Otro concepto importante que se debe considerar al definir los criterios, es la Capacidad de
Riesgo, que hace referencia a la cantidad y tipo de riesgo mximo que una organizacin
pblica es capaz de soportar en la persecucin de sus objetivos.
Los conceptos antes sealados deben ser considerados al implementar el Proceso de Gestin
de Riesgos, especialmente cuando las entidades gubernamentales formulen y presenten para
su aprobacin al Consejo de Auditora, un modelo adaptado a sus caractersticas y
necesidades especficas. Lo anterior, teniendo en cuenta que hay entidades del Estado que
7
______________________________________________________________________________________________
8
manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo social potencialmente
son ms riesgosas por el tipo de usuario vulnerable) y cada una tiene niveles distintos de
tolerancia y capacidad de riesgos.
3.- Modelos para la Gestin de Riesgos
Si bien existe una diversidad de modelos o framework para la gestin de riesgos, en principio
su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz
distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO
31000:2012.
Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren
continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general
en la gobernanza de la organizacin, la estrategia y la planificacin, la gestin, los procesos de
informacin, las polticas, los valores y la cultura, de manera que sea un proceso integrado en
toda la entidad.
La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en
cualquier momento, as como a las funciones especficas, proyectos y actividades.
Para que la gestin del riesgo sea eficaz, las organizaciones deberan cumplir en todos sus
niveles con los principios siguientes:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeo. Por ejemplo, en lo referente a la salud y seguridad de las personas, al
cumplimiento de los requisitos legales y reglamentarios, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficiencia en las
operaciones, y a su gobernanza y reputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin
La gestin del riesgo no es una actividad independiente separada de las actividades y procesos
principales de la organizacin. La gestin del riesgo es parte de las responsabilidades de
gestin y una parte integral de todos los procesos de la organizacin, incluyendo la
planificacin estratgica y todos los procesos de la gestin de proyectos y de cambios.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas,
a priorizar las acciones y a distinguir entre planes de accin alternativos.
d) La gestin del riesgo trata explcitamente la incertidumbre
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa
incertidumbre, y la manera en que se puede tratar.
______________________________________________________________________________________________
9
______________________________________________________________________________________________
10
______________________________________________________________________________________________
11
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
4.1.- Mandato y Compromiso
La introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la organizacin gubernamental, as como
establecimiento de una planificacin estratgica y rigurosa para lograr el compromiso a todos
los niveles.
4.2.- Diseo del Marco de Trabajo de la Gestin del Riesgo
4.2.1.- Comprensin de la Organizacin y de su Contexto. Antes de iniciar el diseo y la
implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender
el contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir
significativamente en el diseo del marco de trabajo.
4.2.2.- Establecimiento de la Poltica de Gestin del Riesgo. La poltica de gestin del
riesgo debera indicar claramente los objetivos y el compromiso de la organizacin en materia
de la gestin del riesgo
4.2.3.- Obligacin de Rendir Cuentas (Accountability). La organizacin se debera asegurar
que la obligacin de rendir cuentas, la autoridad y las competencias apropiadas para gestionar
el riesgo estn establecidas, incluyendo la implementacin y la mantencin del proceso de
gestin del riesgo y asegurando la idoneidad, eficacia y eficiencia de todos los controles.
4.2.4.- Integracin en los Procesos de la Organizacin. La gestin del riesgo debera estar
integrada en todas las prcticas y procesos de la organizacin, de una manera que sea
pertinente, eficaz y eficiente. El proceso de gestin del riesgo debera formar parte de los
procesos de la organizacin, y no ser independiente de ellos. En particular, la gestin del riesgo
debera estar integrada en el desarrollo de la poltica, en la planificacin y revisin de la
actividad y la estrategia, y en los procesos de gestin de cambios.
4.2.5.- Recursos. La organizacin debera proporcionar los recursos adecuados para gestin
del riesgo.
4.2.6.- Establecimiento de los Mecanismos Internos de Comunicacin y de Reporte. La
organizacin debera establecer mecanismos internos de comunicacin y de reporte con objeto
de apoyar y fomentar la obligacin de rendir cuentas y la propiedad del riesgo.
4.2.7.- Establecimiento de los Mecanismos Externos de Comunicacin y de Reporte. La
organizacin debera desarrollar e implementar un plan para comunicarse con las partes
interesadas externas.
4.3.- Implementacin del Marco de Trabajo de la Gestin del Riesgo y del Proceso de
Gestin del Riesgo
4.3.1.- Implementacin del Marco de Trabajo de la Gestin del Riesgo. Para esta actividad
la organizacin debera:
______________________________________________________________________________________________
12
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
______________________________________________________________________________________________
14
Como una fuente de informacin para el establecimiento del contexto interno y externo, se
sugiere utilizar como insumo los anlisis que se han realizado en el Servicio, en el marco del
control de gestin, en las Definiciones Estratgicas (ver Instrucciones para la Formulacin Formulario A1 Ficha de Definiciones Estratgicas Ao 2014-DIPRES), ya que en ese mbito,
se han examinado y definido la misin ministerial e institucional, visin, ley orgnica,
programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos que pueden
utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de Programas, la
Evaluacin de Impacto, entre otros antecedentes.
En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de
gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos.
i) Establecer la Poltica de Riesgos: Corresponde a la declaracin de las intenciones y
orientaciones globales de una organizacin en relacin con la gestin del riesgo10. La poltica
de riesgos se debe definir y documentar, aprobndose por la direccin y debe contener al
menos los siguientes elementos:
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad del Servicio, y que sea publicada y comunicada a travs de todos los niveles del
Servicio, estableciendo responsables de las comunicaciones. En Anexo N 1 se entrega un
ejemplo de poltica de gestin de riesgos.
Acciones Ao 2014
Durante el ao 2014 debe definirse la poltica o revisarse en caso de estar dictada, para
determinar su consistencia con las polticas y objetivos estratgicos del Servicio o entidad,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta el Servicio y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
10
______________________________________________________________________________________________
17
11
______________________________________________________________________________________________
18
i.- Metodologa
Paso N 1: Identificacin y Priorizacin de Procesos Crticos en la Institucin
Para efectos de este documento, se entender como proceso un conjunto de actividades
ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene uno o
ms clientes y proveedores, internos y/o externos a la organizacin en que opera. Podemos
agregar a esta definicin, que aquellos identificados como claves para el logro de la misin
institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos.
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
los Servicios deberan tener realizada y respaldada a travs de documentos formales, tales
como; bases tcnicas, trminos de referencia, reglamentos y normativas internas de los
programas y servicios que entregan las instituciones.
______________________________________________________________________________________________
19
______________________________________________________________________________________________
20
Objetivo
Objetivo
Objetivo
Objetivo
Nivel
de
Proceso
Estratgico Estratgico Estratgico Estratgico Contribucin
seleccionado
Procesos
1
2
...
n
Promedio
del
(2,0 3,0)
institucionales
Proceso
al
Cumplimiento de
los Objetivos
Proceso 1
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 1
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 2
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 2
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 3
Alto (3),
Alto (3),
Alto (3),
Alto (3),
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio Aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso 3
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
Proceso 4
..........
..........
..........
..........
..........
Proceso 5
..........
..........
..........
..........
..........
Proceso 6
..........
..........
..........
..........
..........
.......
..........
..........
..........
..........
..........
Proceso n
Alto (3),
Alto (3),
Alto (3),
Alto (3),
X
Medio(2),
Medio(2),
Medio(2),
Medio(2),
Promedio aritmtico
Bajo(1),
Bajo(1),
Bajo(1),
Bajo(1),
Proceso n
Nulo(0)
Nulo(0)
Nulo(0)
Nulo(0)
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la institucin. Se analiza cada proceso en relacin con el nivel en que aporta al
cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o Nulo, de acuerdo con
la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2.0 y 3.0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
______________________________________________________________________________________________
21
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
Ejemplo: Seleccin de procesos crticos en una organizacin que cuenta con tres objetivos
estratgicos:
Misin Institucional : xxxxxxxx
Objetivos
Procesos
institucionales
Abastecimiento
Financiero
Crediticio
Recursos Humanos
Comercializacin
Objetivo
Objetivo
Objetivo
Nivel
Estratgico Estratgico Estratgico contribucin
1
2
3
promedio
proceso
cumplimiento
los objetivos
3
2
3
2,6
2
1
0
1
1
2
1
1,6
3
2
1
2
1
2
1
1,3
de
del
al
de
Proceso
seleccionado
(2,0 3,0)
x
x
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
En todo caso, independiente de la clasificacin previamente explicada, el Servicio debe
seleccionar al menos un 40% de los procesos institucionales como de carcter crtico.
Paso N 2: Identificacin de Subprocesos en los Procesos Crticos
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales del Servicio). Los subprocesos corresponden
a aquellos componentes principales en el desarrollo de los procesos. Al igual que los procesos,
los subprocesos que los componen pueden ser de diversa importancia y tener distinta
influencia en la generacin de los productos o servicios.
Paso N 3: Identificacin de Etapas en cada Subproceso
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la institucin, entre
otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada Servicio o Institucin.
______________________________________________________________________________________________
22
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
Paso N 4: Identificacin de Objetivos Operativos
Se entender por objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso; si la
desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los
objetivos del proceso, subproceso o etapa estn establecidas a travs de documentos formales
(bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en
forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin
regulatoria y de soporte en los procesos.
Paso N 5: Identificacin de Riesgos Operativos Relevantes
Una vez identificados los objetivos operativos correspondientes a etapas o subprocesos
relevantes, segn sea la mxima desagregacin de los procesos donde se realizar el
levantamiento, es necesario identificar los riesgos relevantes que se presentan asociados a los
objetivos en cada proceso crtico o subproceso o etapa, entendiendo como tales a la
incertidumbre sobre los objetivos operativos, as como a la posibilidad (probabilidad) de que un
acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecucin total
o parcial de los objetivos operativos.
Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del
riesgo, de acuerdo con la escala presentada en el Anexo N 5 de este documento). Evaluando
en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su
impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del
riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la
matriz de impacto y probabilidad que se expone ms adelante en este documento12.
Adicionalmente, debe calificarse la fuente y tipologa de los riesgos de acuerdo a lo sealado al
punto 1.2.4 de este documento.
Paso N 6: Reconocimiento y Levantamiento de los Controles Claves
El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene el
Servicio y que se orientan a mitigar los riesgos operativos identificados. En este punto, debe
hacerse un anlisis de los controles relevando slo aquellos claves, cuyo objetivo es la
mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de acuerdo a su nivel de
cumplimiento con los elementos de un control adecuado especificados en el modelo y segn su
oportunidad, periodicidad y automatizacin, utilizando para ello la metodologa del Consejo de
Auditora (tablas para valuacin se presentan en el Anexo N 5).
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
______________________________________________________________________________________________
23
Luego, debe calcularse el nivel de exposicin al riesgo, que corresponde al nivel de riesgo una
vez considerada la calificacin de los controles. El nivel de exposicin al riesgo, se determinar
por riesgo, por etapa, por subproceso y por proceso (tablas para valuacin se presentan en el
Anexo N 5). Debe calcularse el riesgo ponderado por subproceso.
Paso N 7: Formulacin de la Matriz de Riesgos Estratgica
De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos
Estratgica del Servicio o Entidad al momento del anlisis de los procesos crticos, la que
contendr los siguientes elementos:
h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa
o subproceso segn corresponda. Para esta identificacin se pueden utilizar diversas
herramientas como los talleres o la lluvia de ideas (Anexo N 7).
i) Clasificar los riesgos por tipo y origen definidos en esta Gua Tcnica.
j) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad
(tablas consideradas en Anexo N 5).
k) Identificar los controles claves asociados a los riesgos identificados, respondiendo las
preguntas qu control se realiza?; cmo se realiza?; quin los realiza?, cundo o
en qu oportunidad se ejecuta el control?
l) Valuar los controles claves en relacin a la efectividad de su diseo.
m) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso, segn
corresponda.
En el caso de haberse trabajado en la implementacin de procesos de gestin de riesgos con
anterioridad en el Servicio, es necesario revisar nuevamente la desagregacin de procesos, y
subprocesos, as como los objetivos, riesgos y controles, determinando si esta desagregacin y
la identificacin de riesgos y controles son adecuadas y corresponde a la realidad del Servicio.
Otro punto en los que debe tenerse especial consideracin, son en los cambios que hayan
enfrentado los lineamientos del Servicio, considerando que las nuevas autoridades, en los
casos que as sean, aportarn nuevos enfoques y nfasis que hay que tener en cuenta en la
Gestin de Riesgos.
1.2.2.- Procesos Transversales en la Administracin del Estado
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos especficos informados por los
Servicios con distintas denominaciones, pero que responden a una misma raz.
Acciones Ao 2014
Para el desarrollo de este Objetivo Gubernamental N 2 - 2014, los Servicios, debern clasificar
sus procesos en los procesos transversales definidos en la presente Gua Tcnica. Las
categoras vigentes para el ao 2014, se sealan en el siguiente cuadro N 3.
Cuadro N 3: Clasificacin
Administracin del Estado
Procesos Transversales
en la Administracin del
Estado
Subsidios
fomento
privados
de
privados
y Descripcin
de
Procesos
Transversales
en
la
Descripcin
Procesos de Negocio
Se entienden aquellos cuyo objetivo es promover,
incentivos econmicos, que los particulares realicen por
actividades productivas.
Se entienden como tales los procesos cuyo objetivo es la
de ciertos objetivos sociales como la integracin, etc.
Consisten en procesos cuya finalidad es entregar
subsistencia a particulares.
mediante
s mismos
promocin
ayuda de
______________________________________________________________________________________________
25
recuperacin
Almacenamiento y distribucin
Infraestructura
Asesora a infraestructura
Estudios para marco cultural
Estudios para regulaciones,
normativa y fijacin tarifaria
Administracin
de
bienes
estratgicos
Otorgamiento
y/o
reconocimiento de derechos
Mejoramiento de la gestin
Estudios e investigaciones
Legal estratgico
Control de outsourcing
Seguridad y Control
Personas y/o Recintos
Calificacin ambiental
de
Descripcin
Son procesos en que, por ley o convenios, se entregan o reciben
recursos de otro organismo del Estado.
Procesos que se orienten a servir a todos los ciudadanos a travs de
la entrega de atencin, servicios o productos.
Procesos que se orienten a prestar una atencin de salud,
previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Se refiere a procesos de entrega de prstamos, incluyndose los
procesos de planificacin, ejecucin y cobranzas.
Procesos que consistan en bodegaje, mantenimiento de stock y
distribucin de materiales o bienes.
Procesos que se refieran a los bienes muebles e inmuebles del
servicio que se utilizan para cumplimiento del rol del Servicio.
Procesos que impliquen estudios y acciones que apoyen decisiones
sobre la infraestructura.
Procesos de estudios culturales que releven las artes, literatura,
pintura y todo lo relacionado a temas culturales.
Procesos de estudios que sirvan o puedan servir de base para la
emisin de normativa, regulaciones, tarifas, etc.
Proceso a travs del cual el servicio gestiona aquellos bienes que
son indispensables para el cumplimiento de su funcin; que son de la
esencia de su negocio.
En el caso de aquellos servicios que entregan derechos o beneficios
a personas naturales como ser parte de un registro, derechos de
aguas, etc.
Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Aquellos estudios cuyo sentido es investigar un tema econmico,
financiero, de mercado u otra situacin determinada importante para
el Servicio.
Desarrollo de acciones legales y/o judiciales como negocio del
Servicio.
Equivalen a la gestin y monitoreo de los contratos que externalizan
funciones propias del Servicio.
Proceso relacionado con seguridad que realizan determinados entes
del estado en relacin a las personas en distintas calidades:
victimas, imputados, reos, reclutas y la ciudadana en general. Esto
podra incluir operaciones de distinta naturaleza como vigilancia,
traslados, control u otros de ndole distinta, relacionados con la
seguridad.
Procesos relacionados con seguridad operacional y respuestas ante
situaciones de emergencias de los servicios de transporte terrestre,
martimo y areo, as como de las instalaciones portuarias y
aeroportuarias o de cualquier otra ndole, en donde exista trfico de
pasajeros o carga.
Procesos relacionados a anlisis, autorizaciones y permisos medio
ambientales.
______________________________________________________________________________________________
26
Planificacin presupuestaria
Planificacin estratgica
Coordinacin entre instancias
Gobierno Electrnico
Iniciativas de inversin
Mercado financiero
Sistemas
de
administrativos
informacin
Sistemas informticos
Fiscalizacin
Evaluacin y control de
substancias
Control de gestin
Financiero
Legal
Comunicaciones
Adquisiciones
abastecimiento
Descripcin
______________________________________________________________________________________________
27
Auditora Interna
Recursos materiales
Descripcin
Incluye todos los procesos relacionados al personal, su capacitacin,
remuneraciones, feriados y bienestar.
Procesos de gestin de los recursos materiales del servicio,
inventario, baja y traslado.
Procesos de administracin, direccin, manejo, registro, archivo y
almacenamiento de documentacin del Servicio, con o sin apoyo de
sistemas informticos, referido tanto a documentacin interna como
externa del Servicio.
Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza el Servicio para cumplimiento de sus objetivos.
Es necesario relevar que los Servicios deben clasificar sus procesos slo en una de las
categoras antes definidas, basados en las caractersticas organizacionales y en los objetivos
de stos. Cuando existan dudas o diferencias respecto de la clasificacin de uno o ms
procesos dentro de la categora de procesos transversales, deber consultarse y discutirse con
el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un nuevo proceso
transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir Servicios cuyos procesos de
negocio correspondan a los que generalmente para las dems instituciones son de soporte,
como los procesos de contabilidad, de seleccin de recursos humanos, entre otros.
En el cuadro siguiente se entrega un ejemplo de dicha clasificacin.
Cuadro N 4: Ejemplo de Clasificacin de Procesos Crticos
Proceso Transversal
Proceso
Subproceso
Etapas
Objetivos
Entrega de crditos de
fomento
Programa de beneficios
econmicos
para
mujeres emprendedoras
Subsidios
para
capacitacin
Entrega de bonos para
produccin de leche
Personal
Proceso
de
alerta
temprana
Compras
y
contrataciones
Subproceso 1
Subproceso 2
Etapa 1
.
.
.
---.
.
______________________________________________________________________________________________
28
______________________________________________________________________________________________
29
Crdito
de
fomento para
mujeres
microempresar
ias
Capacitacin
para los
negocios
Descripcin
Subprocesos
Postulacin
crdito
Evaluacin
crdito
Entrega crdito
13
10%
30%
25%
Recuperacin
crdito
35%
Postulacin
20%
Capacitacin
Evaluacin
13
Pond.
50%
30%
Justificacin de la ponderacin
La ponderacin baja considera que la postulacin
es una accin externa, propia de las usuarias.
Este subproceso es importante para el xito del
proceso por cuanto las deficiencias en la
evaluacin del crdito afectan la recuperacin del
mismo y la imagen del Servicio, por otra parte se
trata de una labor altamente especializada, para
la cual no siempre se cuenta con personal idneo.
Una mala evaluacin puede dejar sin crdito a
una mujer que perdi su negocio en el sismo.
Su nivel de complejidad es medio, pero se le
pondera con este porcentaje puesto que una mala
entrega podra afectar a otros usuarios
beneficiarios de los incentivos.
La baja recuperacin repercute en el presupuesto
del Servicio, afectando directamente a las otras
usuarias y la imagen del Servicio, adems en la
actualidad se hace manualmente y los errores en
su registro son frecuentes.
Se trata de un beneficio conocido por la poblacin
objetivo, del cual se realiza difusin desde hace
seis aos con buena respuesta de las usuarias. El
personal tiene experiencia y se cuenta con un
sistema de informacin para el ingreso y
validacin de datos de los postulantes.
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
______________________________________________________________________________________________
30
Descripcin
Presupuesto y
Contabilidad
Pond.
Subprocesos
13
Planificacin
40%
Pagos
30%
Registro
30%
Justificacin de la ponderacin
Su importancia se debe a la complejidad de
realizar una planificacin adecuada con
antecedentes efectivos de los recursos que se
utilizarn en el ao.
Un pago mal realizado afecta la planificacin y el
registro, sin embargo, la adecuada planificacin
facilita el control de los pagos.
..
Financieros
Econmicos
Se
relacionan
con
elementos
financieros,
comerciales
y
presupuestarios
14
______________________________________________________________________________________________
31
Tipos de Riesgos
Sociales
Se
relacionan
con
elementos de comunidad
social, cultural, demogrfica,
comportamientos sociales.
Tecnolgicos
Estratgicos
Medioambientales
Procesos
Legal
Personas
Imagen
______________________________________________________________________________________________
32
Tipos de Riesgos
Sistemas
Bienes muebles e
inmuebles
Relacionado
con
los
sistemas de informacin del
Servicio, las tecnologas que
posee y los datos que
maneja.
Se
relacionan
con
elementos asociados a los
recursos
materiales
muebles o bienes races
que utiliza el Servicio para el
cumplimiento
de
sus
objetivos institucionales.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, el Servicio debe calificar los
riesgos identificados de acuerdo a esta tipologa de riesgos. La definicin de estos criterios
debe ser aplicada en la siguiente Fase de Identificacin del Riesgo. La clasificacin y/o la
revisin de las tipologas de riesgo deben tener en consideracin los siguientes puntos:
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo
con el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn
sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y
ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la
imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
2.- FASE IDENTIFICACIN DE RIESGOS
La metodologa del Consejo de Auditora, considera la identificacin, anlisis y valoracin de
riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos del
Servicio. Las oportunidades y riesgos, son eventos, que se definen como un incidente que
emana de fuentes internas o externas que afectan la implementacin de la estrategia o logro de
los objetivos.
______________________________________________________________________________________________
33
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
Como puede apreciarse, la identificacin de eventos consta de dos aspectos, oportunidades y
riesgos.
2.1.- Identificacin de Oportunidades
Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos
que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da
el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor
apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin
de los mismos a la opinin pblica.
La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en
la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que
stas deben ser conocidas y evaluadas oportunamente por la direccin.
A continuacin, en el cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a
travs de eventos.
Cuadro N 7: Ejemplo de Identificacin de Oportunidades por Proceso
Entidad
Misin
Procesos
Sistema Crediticio
de Fomento
Servicio Apoyo
al Microcrdito
(ficticio).
Entregar apoyo
crediticio de
fomento a
grupos
vulnerables, de
mujeres y
jvenes.
Apoyo a la
Capacitacin
Recursos
Humanos
Sistemas de
Informacin
Contabilidad y
Presupuesto
15
Eventos/Oportunidades
Est dentro de los lineamientos del nuevo Gobierno.
Cambios sociales que apuntan a un papel protagnico de la
mujer.
La mujer estadsticamente es ms cumplidora y responsable con
sus deudas y compromisos.
Se han aumentado los fondos para apoyar a microempresarias
afectadas por el terremoto
La mujer en general, es responsable en asistencia a los cursos.
Los jvenes reclaman alternativas de mejoramiento.
En los ltimos aos ha existido una gran demanda por
capacitacin.
Existen muchos organismos tcnicos en el mercado que ofrecen
diversas alternativas.
El presupuesto de este ao contempla ms recursos que el ao
anterior para este proceso.
..
..
..
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la
consecucin de los objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se
denominan oportunidades y las que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
______________________________________________________________________________________________
34
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, se debe identificar
oportunidades a nivel global de procesos de negocio. Es importante la realizacin de esta
actividad, puesto que las oportunidades sirven a la institucin para retroalimentar las
estrategias, en especial para incorporar los nuevos nfasis de Gobierno.
2.2.- Identificacin del Riesgo
La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los
objetivos es fundamental en un Proceso de Gestin de Riesgos. En el Anexo N 7 se
acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y
oportunidades.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio debe identificar los riesgos o
revisar y mejorar su identificacin de riesgos, poniendo especial nfasis en los siguientes
puntos:
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del
control realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin
lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es
distinta a la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la
efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin.
______________________________________________________________________________________________
35
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante
clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto
estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las
entidades.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, se debe sealar, de acuerdo a
la tipologa entregada, a qu tipo genrico de riesgo corresponde el riesgo operativo
determinado y cul es su fuente (externa o interna), como se seala a continuacin en el
ejemplo del cuadro N 8. Lo anterior implica poner un especial cuidado en dilucidar si el riesgo
identificado, tiene su origen al interior de la entidad, por lo tanto es manejable por sta, o si, en
caso contrario se origina externamente y slo pueden tomarse acciones paliativas que afecten
indirectamente el riesgo. Por ejemplo, cuando se trata de decisiones que son de
responsabilidad de otras reparticiones del Estado, tales como la Direccin de Presupuestos
(modificaciones presupuestarias), Ministerio de Planificacin (RS de inversiones), entre otros
casos.
Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa
Proceso
Transversal
Proceso
Subproceso
Pond.
Etapas
Objetivos
Recuperar
oportunamente
crditos
los
Cobranza
Contar
garantas
crditos
Crditos
Recuperacin
de prstamos
Crditos
de
fomento a
mujeres
microempr
esarias
Recuperaci
n del crdito
con
los
Falta
de
acciones
oportunas de cobranza
Insolvencia
de
los
deudores
Falta de garantas
Ingreso
inoportuno
incompleto de pagos
25%
Ingreso
fondos
recuperados
de
Fuente de
Riesgos
Riesgos especficos
Errores en la digitacin de
los montos
Problemas
en
la
transformacin
de
la
informacin del sistema
del Servicio al SIGFE
Tipo de
riesgo
Prob.
Cons.
Interna
Procesos
Externa
Econmico
Interna
Procesos
Interna
Personas
Interna
Personas
Interna
Tecnolgico
b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua
tcnica. Para ello, debe considerarse principalmente la causa del mismo. Por ejemplo, si
se identifica un riesgo de corrupcin o de falta de probidad en el personal, nos
encontramos con un riesgo que se clasifica en la tipologa personas an cuando sus
consecuencias afectan tambin a la imagen del Servicio.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora.
3.- FASE ANLISIS DE RIESGOS
3.1.- Anlisis General de Riesgos
Los Servicios despus de desarrollar la identificacin de riesgos operativos, deben analizarlos,
examinando los riesgos en relacin a su probabilidad y consecuencias. A su vez, los controles
deben ser analizados en trminos de efectividad, para finalmente identificar el nivel de
exposicin al riesgo por proceso, subproceso, etapa y riesgo especfico.
Existen dos elementos que deben considerarse en esta fase:
3.1.1.- Anlisis de los Riesgos: Los Servicios debern poner al da su anlisis de riesgos, en
base a los criterios definidos en esta Gua Tcnica, actualizando la Matriz de Riesgos
Estratgica del Servicio o entidad y considerando en forma especial todos aquellos procesos
nuevos que desarrolle el Servicio, con sus respectivos riesgos y controles, analizando
especialmente los riesgos nuevos y los nuevos nfasis de Gobierno que han definido los Jefes
de Servicio y otras autoridades.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, y en general para un buen desempeo del
Proceso de Gestin de Riesgos, el Servicio debe analizar los riesgos y oportunidades,
poniendo especial nfasis en los siguientes puntos:
______________________________________________________________________________________________
37
Analizar y/o actualizar los riesgos del Servicio, considerando los nuevos enfoques y
lineamientos del Gobierno, as como los cambios que experimentan los riesgos
identificados en aos anteriores.
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma
directa, de tal manera que los riesgos identificados impidan o dificulten el resultado
esperado por el Servicio al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que
hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos,
eliminacin de programas, entre otras situaciones); determinando si estos controles
estn documentados y si existe segregacin de funciones. Ver Anexo N 9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y
cundo lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu
se hace) a travs de comparar una muestra de al menos 30% de los contratos firmados
con las resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza
por el Jefe de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo
hace) emitiendo un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los
riesgos y controles.
Proceso
Proceso
Transversal
1
Proceso
1
Proceso
Transversal
2
Proceso
2
Proceso
Transversal
3
Proceso
3
Subproceso
Subproceso
1
Subproceso
2
Subproceso
3
Subproceso
4
Subproceso
5
Subproceso
6
Pond.
18
70%
30%
60%
40%
50%
50%
Etapas
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Etapa 7
Etapa 8
Etapa 9
Etapa 10
Riesgo
Especfico
3
3
3
2
5
2
2
6
2
2
Etapa 11
Etapa 12
Etapa 13
2
4
4
Etapa
3
3
3
2
5
2
2
6
2
2
2
4
4
Subproceso
3
Proceso
2,8
2,5
3,5
Subproceso
3 x 70% = 2,1
3,8
2 x 50% = 1
2
2,7
3,3
Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.
17
______________________________________________________________________________________________
38
Acciones Ao 2014
Para el Objetivo Gubernamental N 2 - 2014, el Servicio debe definir las ponderaciones o
revisarlas y mejorarlas, de acuerdo a lo sealado en el punto 1.2.3 de este documento,
teniendo presente que los cambios de polticas de Gobierno, las modificaciones
presupuestarias y la orientacin en los lineamientos de la Direccin, las afectan directamente.
En especial, debe considerarse el enfoque de los directivos y la relacin de los procesos con el
cumplimiento de la misin institucional del Servicio y los recursos financieros involucrados.
4- FASE VALORACIN DE RIESGOS
La Fase de Valoracin de los Riesgos considera dos pasos. Primero la confirmacin del criterio
que se escoger (definido en la Fase de Definicin del Contexto de la Gestin de Riesgos) y
segundo la confeccin de un ranking de riesgos en la organizacin.
4.1.- Definicin y Confirmacin de Criterios
En el caso de los Procesos se utilizar como criterio para la confeccin del Ranking, el nivel de
exposicin al riesgo de los mismos. En cuanto a los subprocesos, se utilizar el criterio
asociado al nivel de exposicin al riesgo ponderada, esto es, el riesgo residual que subsiste
despus de aplicados todos los controles claves existentes. Para el desarrollo del Objetivo
Gubernamental, el nivel de exposicin al riesgo debe considerar la ponderacin estratgica de
subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica que el criterio
considerado para la evaluacin del riesgo es el de exposicin al riesgo ponderada para los
subprocesos (exposicin al riesgo x ponderacin estratgica). Esta evaluacin se determina
considerando los niveles de exposicin al riesgo de las etapas de acuerdo al promedio
aritmtico de los riesgos especficos de contiene cada una de las etapas del Subproceso.
En el cuadro N 10 que se presenta a continuacin, se muestra la relacin entre los distintos
componentes del anlisis de riesgos.
Cuadro N 10: Relacin entre Severidad del Riesgo y Exposicin al Riesgo
SEVERIDAD DEL
RIESGO
(Probabilidad X
Consecuencias)
EXPOSICIN AL
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
______________________________________________________________________________________________
39
Nivel de Exposicin al
Riesgo
4
3,5
3
.
1
2
3
.
De lo anterior, se deduce que el Servicio comenzar a definir y aplicar estrategias para efectuar
el tratamiento de los riesgos asociados al proceso con mayor nivel en el ranking, es decir, en el
ejemplo comenzar por el Proceso de Entrega de Crditos, seguir con el de Capacitacin y
as sucesivamente.
b.- Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado (ponderacin
estratgica)
Una vez identificados los procesos crticos dnde se aplicarn primero las estrategias para
tratar los riesgos, se deben identificar en base al nivel de exposicin al riesgo ponderado, los
subprocesos que componen los procesos crticos donde se aplicarn en forma prioritaria las
estrategias.
Dentro de los subprocesos priorizados deben ser tratados los riesgos, correspondientes a las
actividades que se desarrollan al interior de todas las etapas que los componen, priorizados de
acuerdo al nivel de exposicin al riesgo para cada etapa.
De esta manera, en el ejemplo el Ranking podra aparecer como sigue:
______________________________________________________________________________________________
40
Procesos
Subprocesos
Subproceso 1
1
Entrega
Crditos
Subproceso 2
1,7
Subproceso 1
1,0
Subproceso 2
1,8
Ranking para
priorizar
estrategias de
tratamiento en
los
subprocesos
1,0
2
Capacitacin
Nivel de
Exposicin al
Riesgo
Ponderado
por
Subproceso
Etapas
Ranking para
Nivel de
priorizar
Fundamentos
Exposicin estrategias de
para la
al Riesgo tratamiento de los Priorizacin
por Etapa
riesgos en las
etapas
Etapa 1
2,1
Etapa 2
1,9
Etapa 2
Etapa 1
A nivel de
Subproceso
y a nivel de
Etapa
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
Acciones Ao 2014
Para el cumplimiento del Objetivo Gubernamental N 2 - 2014, el Servicio debe hacer un
ranking de procesos, de subprocesos y etapas de acuerdo a los cuadros N 11 y N 12,
respectivamente.
Es importante que, en base la informacin proporcionada por los Ranking de Procesos y
Subprocesos (incluyendo el Ranking de Etapas), el Servicio o entidad determine qu etapas,
subprocesos y procesos sern abordados con acciones para tratar los riesgos especficos.
Dicha determinacin debe fundamentarse debidamente, en consideracin de aquellos riesgos
para los cuales no se tomarn acciones para disminuir los niveles de riesgo. Para una
adecuada fundamentacin, se debern considerar variables tales como la importancia
estratgica de los procesos y subprocesos, aspectos presupuestarios, nfasis de las
autoridades y todas aquellas variables que permitan justificar adecuadamente su tratamiento
versus las materias que no sern abordadas con planes de tratamiento.
Adicionalmente, para el cumplimiento del Objetivo Gubernamental N 2 - 2014, los Servicios y
entidades debern remitir al Sr. (a) Ministro (a) de la Cartera correspondiente para su
conocimiento y al Consejo de Auditora, la Matriz de Riesgos Estratgica del Servicio.
______________________________________________________________________________________________
41
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
______________________________________________________________________________________________
42
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM seala que existen cuatro
estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos, desde el
punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de la
exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no
afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta
estrategia en el sector pblico est muy limitada, ya que la mayora de su quehacer se
encuentra normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de
una actividad, generalmente no es una decisin que se pueda adoptar en forma
independiente.
Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias
del riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la
efectividad del control asociado al riesgo.
COMPARTIR
o
o
o
o
o
o
o
______________________________________________________________________________________________
43
o
o
o
o
o
ACEPTAR
o
o
o
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la
Severidad del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los
controles.
Deben considerarse una cantidad de opciones individualmente o combinadas. Es
posible que una estrategia de respuesta afecte a mltiples riesgos.
El costo de administrar un riesgo, necesariamente debe ser compensado con beneficios
relacionados, sean sociales y/o econmicos.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
El objetivo principal de la seleccin de las estrategias siempre debe ser el reducir la
severidad del riesgo y/o aumentar la efectividad del control existente, acciones que
finalmente repercuten en bajar el nivel de la exposicin al riesgo.
______________________________________________________________________________________________
44
Efecto potencial en
la Efectividad del
Control
Situacin esperada en
relacin con el Nivel de
Exposicin al Riesgo
Evitar
La probabilidad e impacto no se
reducen.
Reducir
Mejora su efectividad
Compartir
Mejora su efectividad
Aceptar
La probabilidad e impacto no se
reducen.
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de
manera de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deben ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy
limitada en el sector pblico.
______________________________________________________________________________________________
45
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que
se deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento, de acuerdo al formato del
cuadro N 15 siguiente y, que contendr las medidas a adoptarse ante los riesgos crticos del
Servicio o entidad.
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Proceso
Transversal
(1)
Proceso
(2)
Ranking
de
Procesos Subproceso
(3)
(4)
Etapa
(5)
Riesgo
Especfico
(6)
Fuente del
Riesgo
(7)
Tipo de
Riesgo
(8)
Estrategia
Genrica
(9)
Efecto
Periodo
Potencial en
Medicin
Evidencia
Descripcin
la Severidad Responsable
del
que se
de la
Indicador
Meta
de Riesgo y/o
de la
Plazo
Indicador
Observar
Estrategia a
de Logro
(16)
Efectividad
Estrategia
(13)
(15)
(17)
Aplicar
(14)
del Control
(12)
(10)
(11)
Significado
Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de acuerdo
a la clasificacin del documento (Cuadro N 3).
Denominacin especfica que el proceso tiene en el Servicio.
Prioridad de tratamiento del proceso, de acuerdo al nivel de exposicin al riesgo.
Subprocesos que conforman el proceso priorizado.
Etapas que conforman cada uno de los subprocesos del proceso priorizado.
Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a
cabo.
Origen externo o interno de los riesgos, de acuerdo al control que tiene el Servicio de la fuente que
los produce.
Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el cuadro N 6.
Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir,
compartir, aceptar).
Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que se
desarrollarn para llevar a cabo la estrategia genrica.
Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos)
y/o a potenciar el control y de qu manera.
Sealar quien es la persona y cargo responsable de la implementacin de las acciones especficas
de la estrategia.
Definir en qu plazo se debe implementar la estrategia.
Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la
estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia
mitiga el riesgo al cual se asocia.
______________________________________________________________________________________________
46
Acciones Ao 2014
Para el ao 2014, la institucin deber realizar el monitoreo en base al Plan de Tratamiento que
defini y acompa al Consejo de Auditora al 27.12.13, para ello deber utilizar el formato
definido por el Formato N 16 de esta Gua Tcnica19. Adems deber efectuar el monitoreo del
Plan de Tratamiento de 2014, durante el ao 2015 cmo se indica ms adelante en este
documento. El monitoreo de los Planes de Tratamiento, deber hacerse en base al Formato N
16 que se acompaa a continuacin:
19
______________________________________________________________________________________________
47
Cuadro N 16: Formato Bsico para Informar del Monitoreo de las Estrategias de
Tratamiento de los Riesgos
Proceso
transversal
Proceso
Subproceso
Etapa
Riesgo
especfico
Estrategia
genrica
Descripcin
de la
estrategia a
aplicar
Periodo de
Resultados
evaluacin de
de la
Evidencia del Proyecciones de
Recomendaciones
implementacin medicin de cumplimiento cumplimiento
(e)
de la estrategia
la metas
(c)
(d)
(a)
(b)
______________________________________________________________________________________________
48
Severidad
del Riesgo
Responsable
Plazos
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
______________________________________________________________________________________________
49
Exposicin
al Riesgo
Impacto al
Riesgo
Tipos de
Riesgos
Controles
Ranking
Responsable
Plazos
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
Encargado de Riesgos
en conjunto con los
coordinadores
de
riesgos.
En el mes de
enero de cada
ao.
En el mes de
enero de cada
ao.
El Servicio por tanto, deber informar qu anlisis realiza con la informacin derivada de la
Matriz de Riesgos, quin es el encargado y la oportunidad de remitir ese anlisis al Jefe de
Servicio. La idea es que se establezca un tipo de reporte que se remita al Jefe de Servicio con
un resumen de los principales puntos o temas de inters que arroja el examen y anlisis de la
Matriz de Riesgos Estratgica, por ejemplo: los procesos ms crticos de la institucin, los de
mayor severidad, los menos controlados, los que aparecen excesivamente controlados en
relacin a su severidad, etc. Este reporte debera ser elaborado por un funcionario que se
relacione con el Proceso de Gestin de Riesgos y ser remitido al Jefe de Servicio al menos una
vez en el ao.
8.- REGISTRO DEL PROCESO DE GESTIN DEL RIESGO
De acuerdo con la NCh-ISO 31000:2012, las actividades de gestin del riesgo deberan ser
trazables. En el proceso de gestin del riesgo los registros proporcionan la base para la mejora
de los mtodos y de las herramientas, as como del proceso en su conjunto.
Las decisiones relativas a la creacin de registros deberan tener en cuenta:
______________________________________________________________________________________________
50
El perodo de conservacin.
El carcter sensible de la informacin.
Acciones Ao 2014
Para cumplir el Objetivo Gubernamental N 2 - 2014, el Servicio deber realizar una propuesta
sobre los registros que llevar con la finalidad de documentar el Proceso de Gestin de
Riesgos, indicando:
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
Por cunto tiempo se deben almacenar y quin puede destruirlos y reemplazarlos.
Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho
caso.
PARA
EL
OBJETIVO
A continuacin, se resumen las actividades que se deben realizar los Servicios, para cada fase
del Proceso de Gestin de Riesgos, con la finalidad de dar cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014.
1.- FASE ESTABLECIMIENTO DEL CONTEXTO
1.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014
a.- Consideraciones
o
Poltica y Filosofa de Riesgos: Formular y/o revisar para luego aprobar la Poltica y
Filosofa de Gestin de Riesgos de la organizacin, en Anexo N 1 se presenta un ejemplo.
Debe ser aprobada por resolucin de la Jefatura Superior del Servicio.
La resolucin que formula y aprueba la poltica de riesgos debe remitirse al Consejo de
Auditora al 30.09.2014.
______________________________________________________________________________________________
51
Criterios para la Gestin del Riesgo: Los riesgos se evaluarn (severidad) de acuerdo a
su nivel de probabilidad e impacto. Se considerar el nivel de exposicin al riesgo y el nivel
de exposicin al riesgo ponderado como criterios para priorizar las reas ms relevantes.
En el caso que el Consejo de Auditora haya recibido conforme los productos antes sealados,
no ser necesario enviarlos nuevamente.
2.- FASE IDENTIFICACIN DE RIESGOS
2.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014
a.- Consideraciones
Para el Objetivo Gubernamental N 2 - 2014, esta fase se cumple con el levantamiento de
informacin a nivel de los procesos crticos (al menos un 40% del total de los procesos
institucionales), su desagregacin en subprocesos, etapas y actividades, para finalmente
identificar los riesgos crticos que afectan los objetivos operativos de las etapas de cada
proceso y los controles mitigantes asociados.
b.- Productos Solicitados
En esta fase corresponde:
______________________________________________________________________________________________
52
Todo lo que se desarrolla en esta fase, deber ser insumo para la fase de anlisis de riesgos y
para la confeccin de la Matriz de Riesgos Estratgica del Servicio o entidad.
Los respaldos del levantamiento de informacin de la fase de identificacin de riesgos y
controles, como actas de reunin y otros documentos, no se remitirn al Consejo de Auditora,
sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador
de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado
aleatoriamente por el Consejo de Auditora.
3.- FASE ANLISIS DE RIESGOS
3.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo
Gubernamental de Auditora N 2 - 2014
a.- Consideraciones
Esta fase se cumple con la construccin de la Matriz de Riesgos Estratgica actualizada del
Servicio o entidad, incorporando los conceptos de tipologa de riesgos, procesos transversales
y de ponderacin estratgica por subproceso, que contiene la valuacin de los riesgos,
controles y la determinacin del nivel de exposicin al riesgo en base a las categoras definidas
en las escalas de clasificacin definidas por el Consejo de Auditora.
Para cumplir el Objetivo Gubernamental N 2 - 2014, debe actualizarse la Matriz de Riesgos
Estratgica del Servicio o entidad, en base a la metodologa definida en esta Gua Tcnica,
incorporando todas las mejoras y ajustes derivados de la revisin de la Matriz de aos
anteriores, y especialmente incorporando todas las observaciones y sugerencias del Auditor
Interno en sus diversas actividades de aseguramiento.
b.- Productos Solicitados
______________________________________________________________________________________________
53
En esta fase se debe elaborar la Matriz de Riesgos Estratgica del Servicio o entidad
actualizada, segn formato dispuesto en Anexo N 11 del presente documento.
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
______________________________________________________________________________________________
56
La propuesta del o los registros del Proceso de Gestin de Riesgos deber remitirse al Consejo
de Auditora al 30.12.2014.
______________________________________________________________________________________________
57
Entrega al
30.09.14
Entrega al
30.09.14
Entrega al
30.12.14
Entrega al
30.12.14
Entrega al
30.04.15
Propuesta
30.12.14
Resultado
30.04.2015
Resultado
30.12.14
Propuesta
30.12.14
Entrega al
30.12.14
______________________________________________________________________________________________
58
Para los Servicios que no hayan presentado un modelo de gestin de riesgos o que el modelo
presentado no haya sido aprobado por el Consejo de Auditora y, en consecuencia, utilicen la
presente Gua Tcnica para implementar el Proceso de Gestin de Riesgos, se requiere las
siguientes entregas de Productos al Consejo de Auditora:
______________________________________________________________________________________________
59
Descripcin
Plazo entrega
Cuadro N 15
30.12.2014
Cuadro N 16
30.04.2015
30.12.2014
La Matriz de Riesgos Estratgica del Servicio debe trabajarse en la planilla Excel entregada por
el Consejo de Auditora lnea a lnea, ello implica que debern repetirse los conceptos y no
utilizarse celdas combinadas. Esta planilla una vez completa deber validarse en la aplicacin
informtica que para tal efecto disponga el Consejo de Auditora.
9.3.- Forma de Envo
La Matriz de Riesgos del Servicio o entidad validada a travs de la aplicacin informtica
dispuesta por el Consejo de Auditora, deber remitirse a este organismo a travs de un correo
electrnico creado al efecto, u otra forma que el Consejo de Auditora disponga. Los dems
cuadros deben remitirse en un formato y medio a definir por el Consejo de Auditora.
______________________________________________________________________________________________
60
VIII.- BIBLIOGRAFA
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 41 Gestin de
Riesgos, 2009.
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 45 Gestin de
Riesgos, 2010.
Instituto de Auditores Internos (IIA), Practice Guide: Assessing the Adequacy of Risk
Management Using ISO 31000, 2010.
Instituto de Auditores Internos (IIA), International Professional Practices Framework (IPPF),
EEUU, 2011.
International Organization for Standardization, ISO 31000:2009 - Principios y Orientaciones
para la Gestin de Riesgos, 2009.
International Organization for Standardization, Internacional ISO/TR 31004:2013. Risk
management - Guidance for the implementation of ISO 31000, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31000:2012 - Principios y Directrices
para la Gestin de Riesgos, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO Gua 73:2012 - Gestin del Riesgo
Vocabulario, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31010:2013 - Gestin del Riesgo Tcnicas de Evaluacin del Riesgo, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31004:2014 Gestin del Riesgo
Orientacin para la implementacin de ISO 31000.
Instituto de Auditores Internos de Espaa, Definicin e Implantacin de Apetito de Riesgo,
2013.
Organizacin para la Cooperacin y el Desarrollo Econmicos - Principios de Gobierno
Corporativo de la OCDE, 2004.
Open Compliance & Ethics Group, OCEG Red Book GRC Capability Model, 2013.
Sponsoring Organizations of the Treadway Commission (COSO), Gestin de Riesgos
Corporativos, Marco Integrado Resumen Ejecutivo Marco, Espaa, 2004.
Sponsoring Organizations of the Treadway Commission (COSO), Internal Control Integrated Framework, 2013.
______________________________________________________________________________________________
61
ANEXO N 1
EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
La gestin de riesgos proporciona a nuestro Servicio la capacidad para identificar, evaluar y
gestionar todo el espectro de riesgos y posibilitar que todo el personal mejore su comprensin
del riesgo, lo que permite obtener:
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
Como elementos importantes en la Gestin de Riesgos se considerarn:
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para
la gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos
asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
Prevalecer el enfoque PREVENTIVO y PROACTIVO.
El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo;
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad;
Eliminar la fuente del riesgo;
Modificar la probabilidad;
Modificar las consecuencias;
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo);
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
La Direccin del Servicio se compromete peridicamente a realizar una revisin de la poltica
de riesgos aqu establecida.
______________________________________________________________________________________________
63
ANEXO N 2
EJEMPLO DE DEFINICIN DE ROLES
______________________________________________________________________________________________
64
ANEXO N 3
ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE RIESGOS EN EL
SECTOR GUBERNAMENTAL
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Por lo tanto, en base a normas de auditora interna20 y en la experiencia que se ha obtenido en
el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol
fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer
aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de
gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo
gestionados apropiadamente y que el sistema de control interno est siendo operado
efectivamente.
En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la
responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y
motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de
riesgo.
Estas directrices21 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la
direccin.
Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de
Gestin de Riesgos.
Evaluar los procesos de gestin de riesgos.
20
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
21
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
______________________________________________________________________________________________
65
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
______________________________________________________________________________________________
66
ANEXO N 4
GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS PROCESOS Y
MODELAMIENTO DE RIESGOS
Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos
crticos del Servicio y la identificacin de stos, sus subprocesos y etapas, es posible sealar
que un proceso, como concepto, es un conjunto de actividades, tareas, eventos y
responsabilidades que se realizan o suceden con un determinado fin, que recibe uno o ms
insumos o pasos (inputs) y crea un producto de valor para otro usuario o cliente, formando una
cadena orientada a obtener un resultado final (outputs). De su diseo y documentacin
depende el xito de la gestin en la organizacin.
Por consiguiente podemos identificar que los elementos bsicos de un proceso son:
______________________________________________________________________________________________
67
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema
explicativo a continuacin:
______________________________________________________________________________________________
68
PROCESO CRTICO
T
SUBPROCESO 1
SUBPROCESO n
S
T
ETAPA 1
.
S
Objetivos
operativos de la
etapa 1
Objetivos
operativos de la
etapa n
Riesgos
operativos de la
etapa 1
Riesgos
Operativos de la
etapa n
Controles
Mitigantes de los
riesgos
Controles
Mitigantes de los
riesgos
Actividad n
Actividad n
ETAPA n
Actividad 1
Actividad 2
Actividad 1
Actividad 2
______________________________________________________________________________________________
69
ANEXO N 5
TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
1.-
1.1.-
Categora
Valor
Descripcin
Casi certeza
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado
de seguridad que ste se presente en el ao en curso. (90% a 100%).
Probable
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
de seguridad que ste se presente en el ao en curso.
Moderado
Improbable
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30%
de seguridad que ste se presente en el ao en curso.
Muy improbable
1.2.-
Categora
Valor
Catastrficas
Mayores
Moderadas
Menores
Insignificantes
Descripcin
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen
pblica de la institucin y del Gobierno. Su materializacin daara gravemente el
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que
estos se logren en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto importante en el presupuesto y/o comprometen fuertemente la imagen
pblica de la institucin y del Gobierno. Su materializacin daara significativamente
el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se
desarrollen total o parcialmente en forma normal en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
pblica de la institucin y del Gobierno. Su materializacin causara un deterioro en
el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos,
impidiendo que ste se desarrolle parcialmente en forma normal en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto menor en el presupuesto y/o comprometen de forma menor la imagen
pblica de la institucin y del Gobierno. Su materializacin causara un bajo dao en
el desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao en
curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la institucin y del Gobierno. Su materializacin
puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no
afectara el cumplimiento de los objetivos en el ao en curso.
______________________________________________________________________________________________
70
NIVEL IMPACTO
(I)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
______________________________________________________________________________________________
71
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD
(P)
muy improbable (1)
Probable
(4)
Probable
(4)
Moderado
(3)
NIVEL IMPACTO
(I)
Mayores
(4)
Insignificantes (1)
Moderadas
(3)
Mayores
(4)
Descripcin
Preventivo (Pv)
Correctivo (Cr)
Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt)
Controles claves que slo actan una vez que el proceso ha terminado.
Descripcin
Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd)
Ocasional (Oc)
Descripcin
______________________________________________________________________________________________
72
2.2.-
Manual (Ma)
CUMPLIMIENTO CON
NORMAS O
REQUISITOS DE
CONTROL
OPORTUNIDAD
(O)
AUTOMATIZACIN
(A)
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
PERMANENTE
PERMANENTE
PERMANENTE
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
INSUFICIENTE
NO
DETERMINADO
NO
DETERMINADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CLASIFICACIN
VALOR DEL
DISEO DEL
CONTROL
OPTIMO
BUENO
MAS QUE
REGULAR
REGULAR
INFORMATIZADO
SEMI INFORMAT
MANUAL
DEFICIENTE
NO
DETERMINADO
INEXISTENTE
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
______________________________________________________________________________________________
73
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el
esquema presentado, asignndole el valor respectivo segn la escala.
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en
el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que
ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del
riesgo.
Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control
examinado de 1, de acuerdo con la escala contenida en el esquema presentado.
Para ver mayores detalles de los requisitos de control adecuado considerados en este modelo
ver Anexo N 9.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
3.-
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL
RIESGO
VALOR
NIVEL DE EXPOSICIN
AL RIESGO
8,0 25,0
NO ACEPTABLE (Na)
4,0 7,99
MAYOR (Ma)
3,0 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
______________________________________________________________________________________________
74
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones
entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel
de efectividad slo de Regular.
Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las
combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con
niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con
severidad altas, pero con controles con nivel de efectividad ptimo o Bueno.
Por ejemplo, en el cuadro N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel
de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo,
Extremo = 20 y un nivel de efectividad de control, Regular = 2.
En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est
conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control,
Ms que Regular = 3.
Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est
conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control,
ptimo = 5.
______________________________________________________________________________________________
75
Cuadro N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que
Determinan la Escala del Nivel de Exposicin al Riesgo
______________________________________________________________________________________________
76
ANEXO N 6
EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
A continuacin se presenta un ejemplo de levantamiento de informacin del subproceso
Compra de bienes y servicios, que forma parte del proceso crtico denominado Compras y
Abastecimiento en una entidad ficticia.
Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de
los riesgos y controles para las etapas de Seleccin y Adjudicacin.
Cuadro N 1: Levantamiento de Informacin de cada Proceso
Proceso
Compras y
abastecimiento
Entradas del
subproceso o
proceso
.
.
.
Salidas del
subproceso o
proceso
.
.
.
Plan Operativo
de compras.
Bienes y servicios
(insumos)
de
calidad
que
satisfagan
los
requerimientos
para produccin
del Servicio.
....
.
.
.
.
.
.
Subprocesos
Etapas
Planificacin operativa
anual de compras.
.
.
.
Definicin naturaleza del
proceso.
Confeccin y publicacin
de Bases.
Compra de bienes y
servicios.
Seleccin.
Adjudicacin.
Recepcin y evaluacin
de bienes y servicios
adquiridos.
.
.
Objetivo
operativo de la
etapa
Etapa
Definicin de la
naturaleza del
proceso de
compras a utilizar
(convenio marco,
licitacin pblica,
privada, trato
directo).
Definir de acuerdo a
las caractersticas
del bien o servicio a
comprar, la forma
de adquirirlo en el
mercado,
de
conformidad a la
normativa
de
compras.
Etapa Confeccin
y publicacin de
bases.
Actividades de la etapa
De gestin
De control
Comit de Compras
Responsables
Jefe Finanzas
Jefe Unidad Jurdica
Encargado
de
especificaciones
tcnicas de compras
______________________________________________________________________________________________
77
Objetivo
operativo de la
etapa
Actividades de la etapa
De gestin
De control
2.-Validan y visan la
definicin tcnica.
Etapa
Seleccin
Realizar una
seleccin
transparente,
garantizando la
participacin
igualitaria de los
oferentes.
4.Aprobacin
oportuna de las Bases
de Licitacin.
5.- Publicar en diarios en
forma completa, oportuna y
legal
6.- Aclarar en forma completa
e igualitaria las dudas de los
oferentes.
Responsables
Jefe de
Abastecimiento
y Jefe Unidad
solicitante
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Jefe de la Unidad
Jurdica
Jefe de Servicio
Jefe de Finanzas
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Encargado de
anlisis del rea de
compras
Comit de Compras
Encargado Sistema
de Informacin de
Compras
Comit de Compras
Encargado del
Sistema de
Informacin de
Compras
Funcionario de la
Unidad Jurdica
Encargado Of. de
Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
sistema de compras
y supervisor
______________________________________________________________________________________________
78
Objetivo
operativo de la
etapa
Actividades de la etapa
De gestin
De control
Responsables
Compra directa
1.- Se designan cotizadores al
interior del Servicio.
2.- Cruces de datos
entre
funcionarios
participantes
del
proceso de compras y
proveedores.
Jefe de Finanzas y
Comit de Compras
Jefe de
Abastecimiento
Cotizadores
designados.
1.- Evaluacin tcnica,
de acuerdo a criterios
previos y objetivos
dispuestos
en
procedimiento.
Etapa
Adjudicacin
Comit de Compras.
3.- Revisin de la
adjudicacin
para
determinar
su
conformidad
al
procedimiento
y
Bases.
4.- Revisin de la
consistencia
y
legalidad del proceso.
5.- Se verifica que el
proveedor adjudicado
no
tengan
inhabilidades respecto
de funcionarios del
Servicio y cumplan
obligaciones laborales.
6.- Visacin de la
adjudicacin
Adjudicar la compra
al
oferente
que
presente la oferta
ms
conveniente
para el servicio.
7.Aprobacin
Adjudicacin
Comit de Compras.
de
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas.
Jefe de Recursos
Humanos.
Jefe de la Unidad
Jurdica
Jefe de Servicio o
delegatario.
Cuadro N 3: Ejemplo de Identificacin de Riesgos Asociados a las Actividades Realizadas para Lograr los
Objetivos Operativos de las Etapas Seleccin y Adjudicacin
Etapa
Etapa
Etapa
Objetivo operativo
de la etapa
Actividades de la etapa
Riesgos asociados a la
realizacin de las actividades
______________________________________________________________________________________________
79
Objetivo operativo
de la etapa
Actividades de la etapa
3.- Participacin de Ministro de Fe
en la apertura.
Etapa Seleccin
Riesgos asociados a la
realizacin de las actividades
Ministro
de
Fe
con
incompatibilidades.
En caso de recepcin en papel, no
se confecciona Acta de recepcin o
sta es incompleta o errnea.
Compra directa
1.- Se designan cotizadores al
interior del Servicio.
2.- Cruces de datos entre
funcionarios
participantes
del
proceso de compras y proveedores
3.- Obtencin de a lo menos tres
cotizaciones en el caso de trato
directo.
Etapa
Adjudicacin
Adjudicar la compra al
oferente que presente la
oferta ms conveniente
para el Servicio.
para
No se cuenta con
antecedentes
para
operacin.
todos
visar
los
la
______________________________________________________________________________________________
80
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o Proceso
Etapas que afecta
Etapa Seleccin
Objetivo operativo de
la etapa
Entradas al subproceso o
proceso
______________________________________________________________________________________________
81
Riesgos asociados a la
realizacin de las
actividades
Responsables
Etapa Seleccin
Recepcin de ofertas en
forma distinta a la sealada
en las bases.
La apertura no se realiza a
travs del sistema y no se
cumple
el
procedimiento
aprobado.
La apertura se realiza en da
y hora distinta al establecido
en las bases.
Ministro
de
Fe
incompatibilidades.
con
Encargado Sistema
de Informacin de
Compras
Encargado Oficina
de Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
Sistema de
Compras
Encargado
Sistema
Informacin
supervisor
de
de
su
Funcionario de la
Unidad Jurdica
______________________________________________________________________________________________
82
Riesgos asociados a la
realizacin de las
actividades
Las
actas
se
firman
posteriormente
por
las
personas que no asisten a la
apertura.
No se entregan reportes en
forma oportuna o tienen datos
errneos.
Responsables
Comit de Compras
Ministro de Fe
Encargado Sistema
de Compras
Supervisor
Compra directa
Designacin de cotizadores
con incompatibilidades.
Errores en
tcnica.
Etapa
Adjudicacin
la
evaluacin
Adjudicacin no es
consistente con el proceso de
evaluacin.
Inexistencia de antecedentes
para realizar la verificacin.
Sin control
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
requisitos establecidos en la Ley, las bases y el
procedimiento, emitiendo un informe tcnico,
con visto bueno del Jefe de Abastecimiento.
Cundo: Esto se realiza por cada proceso de
licitacin.
Quin: El Comit de Compras y Jefe de
Abastecimiento.
Qu: Examen de criterios y aplicacin de
check list.
Cmo: Se revisa cada adjudicacin en contra
de los requisitos de las bases (check list) y
pone visto bueno slo si se cumplen todos los
requisitos.
Cundo: Esto se realiza por cada proceso de
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
Qu: Chequeo de consistencia.
Cmo: Se revisa y se da visto bueno a la
resolucin de adjudicacin antes de la firma del
Jefe Superior y revisa la consistencia del
proceso.
Cundo: Cada resolucin es revisada y
chequeada.
Quin: Unidad Jurdica.
Qu: Examen a las competencias y
herramientas de verificacin.
Jefe de Recursos
Humanos
Comit de Compras
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas
______________________________________________________________________________________________
83
Riesgos asociados a la
realizacin de las
actividades
Responsables
Jefe de Recursos
Humanos
Sin control
______________________________________________________________________________________________
84
Etapa
Seleccin
Riesgos
asociados a las
entradas del
subproceso o
proceso
1.- Deficiencias
tcnicas en la
formulacin del Plan.
El Plan no representa
las necesidades del
Servicio.
2.Falta
de
aprobacin
o
autorizacin del Plan.
Responsables
Jefe de Finanzas
Jefe de Cada
Unidad Operativa
Jefe de Servicio
Comisin de
Planificacin
Jefe de Servicio
Comisin de
Planificacin
______________________________________________________________________________________________
85
ANEXO N 7
EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
La metodologa de evaluacin de riesgos (identificacin, anlisis y valoracin) de una entidad
puede comprender una combinacin de tcnicas, junto con herramientas de apoyo. Por
ejemplo, para la identificacin de riesgos la direccin puede usar talleres interactivos de trabajo
como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica
para ayudar a los participantes.
Entre los factores que influyen en la seleccin de las tcnicas de evaluacin del riesgo se
cuentan los siguientes:
-
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
1.- Ejemplos de Tcnicas de Identificacin de Riesgos:
1.1.- Matriz de Consecuencias/Probabilidad
Es un medio de combinar clasificaciones cualitativas o semicuantitativas de consecuencia y
probabilidad para producir un nivel de riesgo o una clasificacin del riesgo. El formato de la
matriz y las definiciones que se apliquen dependen del contexto en el que se usa, y es
importante que se utilice un diseo apropiado a las circunstancias.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orgenes de riesgo o
tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una
herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir
cules son los riesgos que necesitan anlisis adicionales o ms detallados, cules son los que
se han de tratar primero, o cules se han de referenciar a un nivel de gestin ms elevado.
______________________________________________________________________________________________
86
______________________________________________________________________________________________
87
______________________________________________________________________________________________
88
ANEXO N 8
EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL GOBIERNO
ELECTRNICO
Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con
Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones
generales:
1) Fragilidad de los Sistemas de Informacin
Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que
tener presente que los sistemas de informacin informatizados son vulnerables a una
diversidad de amenazas y atentados por parte de:
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
______________________________________________________________________________________________
89
Para identificar los controles, se debe tener presente que en el caso de sistemas de
informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual
a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados
y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de
funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento,
accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la
administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse
como controles generales los contratos con proveedores de servicios de tecnologas de
______________________________________________________________________________________________
90
______________________________________________________________________________________________
91
ANEXO N 9
CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL ADECUADO
CONSIDERADOS EN EL MODELO
1. Definicin de Control Interno
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento22.
Esta definicin refleja ciertos conceptos fundamentales. El control interno:
22
COSO I
COSO I
24
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
23
______________________________________________________________________________________________
92
Se pueden complementar estas definiciones sealando que el control ha sido definido bajo dos
grandes puntos de vista, un punto de vista limitado y un punto de vista amplio.
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
2. Requisitos del Control Adecuado
Un control adecuado es el que est presente si la direccin ha planificado y organizado
(diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de
que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y
econmica25.
En consideracin a lo anterior, un control, para poder ser declarado como adecuado debe tener
propiedades como las siguientes:
25
______________________________________________________________________________________________
93
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
esfuerzo adecuado. Los controles que se examinen para verificar su adecuacin deben ser los
que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su
aplicacin constante en la prevencin de riesgos.
Los elementos que se presentan a continuacin son los que se utilizan generalmente en una
estructura de control interno adecuada. Los mtodos y procedimientos especficos que se
describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser
considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el
registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las
transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y
responsabilidad ante los mismos.
a) Documentacin en Papel y/o Medios Electrnicos
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes
de las transacciones y hechos significativos. Asimismo, la documentacin en papel y
electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal
apropiado y los auditores.
La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y
procedimientos de control. Esta informacin debe figurar en documentos tales como planes o
guas, las polticas administrativas y los manuales de operacin y de contabilidad.
La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y
facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin.
La documentacin de las estructuras de control interno, de las transacciones y de hechos
importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la
institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar
dichas operaciones.
En los casos en que existen sistemas informticos integrados en la institucin, que generen
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin.
b) Registro Oportuno y Adecuado de las Transacciones y Hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente
clasificados.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
informacin siga siendo relevante y til para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una
transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
______________________________________________________________________________________________
95
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda
la documentacin con objeto de mantener su validez.
Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de
garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin
pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los
informes, los planes y los estados financieros y presupuestarios.
El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la
oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y
en la adopcin de decisiones.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o
registro.
c) Autorizacin y Ejecucin de las Transacciones y Hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o
electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus
competencias.
La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos
para atender metas especficas en condiciones particulares. La autorizacin es la principal
forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo
previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y
ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y
condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad
con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les
han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias
establecido por la direccin o la legislacin.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la
informacin.
d) Segregacin de Funciones
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y
revisin de las transacciones y hechos deben ser asignadas a personas diferentes.
Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las
funciones y responsabilidades deben asignarse sistemticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
______________________________________________________________________________________________
96
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos
y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o
eliminar la eficacia de esta tcnica de control interno.
Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica
plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotacin del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el
uso del perodo vacacional anual para ayudar a reducir estos riesgos.
e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la
comprensin y cumplimiento de las directrices especificas de la direccin.
La asignacin, revisin y aprobacin del trabajo del personal exige:
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
______________________________________________________________________________________________
97
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
6.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento26.
El Marco COSO versin 1992 fue mejorado en el 201327 a travs de la ampliacin de la
categora de objetivos de la informacin financiera, incluyendo otras formas importantes de
reporting, como por ejemplo la informacin no financiera y el reporting interno. Asimismo, el
Marco COSO I, versin 2013 refleja los cambios en el entorno empresarial y operativo de las
ltimas dcadas, entre los que se incluyen:
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
26
COSO I
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
27
______________________________________________________________________________________________
98
3. La direccin establece, con la supervisin del consejo, las estructuras, las lneas de reporte y
los niveles de autoridad y responsabilidad apropiados para la consecucin de los objetivos.
4. La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes, en alineacin con los objetivos de la organizacin
5. La organizacin define las responsabilidades de las personas a nivel de control interno para
la consecucin de los objetivos.
Evaluacin de Riesgos
6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados.
7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cmo se deben
gestionar.
8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la
consecucin de los objetivos.
9. La organizacin identifica y evala los cambios que podran afectar significativamente al
sistema de control interno.
Actividades de Control
10. La organizacin define y desarrolla actividades de control que contribuyen a la mitigacin
de los riesgos hasta niveles aceptables para la consecucin de los objetivos.
11. La organizacin define y desarrolla actividades de control a nivel de entidad sobre la
tecnologa para apoyar la consecucin de los objetivos.
12. La organizacin despliega las actividades de control a travs de polticas que establecen
las lneas generales del control interno y procedimientos que llevan dichas polticas a la
prctica.
Informacin y Comunicacin
13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica la informacin internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control
interno.
15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisin
16. La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o independientes
para determinar si los componentes del sistema de control interno estn presentes y en
funcionamiento.
17. La organizacin evala y comunica las deficiencias de control interno de forma oportuna a
las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el
consejo, segn corresponda.
______________________________________________________________________________________________
100
Para mayor informacin se recomienda leer el Marco Integrado de Control Interno COSO I,
versin 2013, emitido por la organizacin COSO (www.coso.org).
7.-
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se
aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u
ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y
evaluados en trminos del cumplimiento de normas especficas de control.
Los controles deben ser identificados con una descripcin del mismo que contenga al menos
los siguientes antecedentes:
Qu se realiza.
Cmo se realiza el control.
Quin lo realiza.
Cundo lo ejecuta.
Por ejemplo, para describir un control de acceso a los servidores del Servicio, se sugiere:
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
______________________________________________________________________________________________
101
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de
efectividad de los controles en base al diseo del control y cumplimiento de los elementos de
un control adecuado. Nivel definido por los atributos periodicidad, oportunidad y nivel de
automatizacin del control, en base al esquema que se presenta en la pgina siguiente.
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el
grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si stos
adems de cumplir con los elementos de un control adecuado, estn diseados con la finalidad
de mitigar los efectos que se puedan producir ante la materializacin del riesgo.
A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Cuadro N 1: Anlisis de Controles Claves
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
No es Fundamental
______________________________________________________________________________________________
102
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
______________________________________________________________________________________________
103
Registro
Errores
o
irregularidades en
Nivel
Nivel adecuado
el clculo de las
adecuado
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
iii.-
Autorizacin
Divisin o
Segregacin
Supervisin
Acceso
Nivel adecuado
Nivel
adecuado
Nivel
adecuado
Nivel
regular
Controles
Claves/fundament
ales
Nivel de
Cumplimiento
de los
elementos de
control
adecuado
El
sistema
biomtrico
de
control
horario,
contiene
un
Adecuado
algoritmo
que
r
e
specto a los
calcula las horas
elementos de
trabajadas,
control del
indicando en forma
modelo
precisa
aquellas
que exceden de las
44 semanales.
Periodicidad
Automatizacin
Clasificacin
Valor
Preventivo
(previene
errores y se
encuentra al
principio del
proceso)
Peridico
(a la fecha de
corte mensual
para pago)
Automatizado y
Manual
ptimo
El
jefe
de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
______________________________________________________________________________________________
105
ANEXO N 10
EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Ranking
Proceso
de
transversal Proceso
procesos Subproceso
(1)
(2)
(3)
(4)
Crditos
Crdito
de
Recuperaci fomento a
n de
mujeres
prestamos microemp
resarias
Recuperaci
n del crdito
Etapa
(5)
Fuente
Riesgo
del
Especfic riesgo
o (6)
(7)
Ejecucin
Falta de
de
garantas
Garantas
Interna
Tipo de
riesgo
(8)
Procesos
Periodo
Efecto potencial
Medicin
en la severidad Responsable
Estrategia Descripcin de la
Indicador
Meta
del
de riesgo y/o
de la
Plazo
genrica estrategia a aplicar
de logro Indicador (16)
efectividad del
estrategia
(13)
(9)
(10)
(14)
(15)
control (11)
(12)
Reducir
Evidencia
que se
observar
(17)
Carpeta del
crdito
- 3%
______________________________________________________________________________________________
106
Informacin
del sistema
Actas
Comit
Actas de
revisin
ANEXO 11 - 1/2
MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE AUDITORA - N 2
LEVANTAMIENTO DE INFORMACIN DE PROCESOS
Proceso
Transversal
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Proceso
Crtico
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Recursos
Humanos
Capacitacin
Subproceso
Pd.
(1)
Etapas
Objetivos
RIESGOS CRTICOS
Descripcin
Riesgos
Especficos
Probabilidad
Fuente de
Riesgos
Impacto
Severidad del
Riesgo
Tipo de
Riesgo
Clasif.
valor
Clasif
valor
Clasif
valor
Postulacin
10%
Evaluacin
35%
Entrega de
crditos
20%
..
Procesos
Moderado
Moderado
Alto
Econmico
Improb.
Mayores
Alto
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Ingreso
fondos
Recuperacin
del crdito
35%
Recuperacin
del crdito
35%
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Falta
acciones
oportunas
cobranza
de
de
Interna
Insolvencia de
los deudores
Externa
Falta
garantas
Ingreso
inoportuno
incompleto
pagos
de
o
de
Errores en la
digitacin
de
los montos
Interna
Procesos
Muy
improb.
Mayores
Alto
Personas
Probable
Moderado
Alto
12
Personas
Moderado
Mayores
Extremo
12
Tecnolgico
Improb.
Mayores
Alto
Interna
Interna
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Problemas en
la
transformacin
de
la
informacin del
sistema
del
Servicio
al
SIGFE
Interna
(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras
variables relevantes.
______________________________________________________________________________________________
107
C
o
n
T
i
n
a
e
n
l
a
p
g
i
n
a
s
i
g
u
i
e
n
t
e
ANEXO 11 - 2/2
MATRIZ DE RIESGOS ESTRATGICA OBJETIVO GUBERNAMENTAL DE AUDITORA - N 2
VALOR Y CLASIFICACIN DE LA EXPOSICIN AL RIESGO Y EXPOSICIN AL RIESGO PONDERADA
Riesgo
Descripcin
Controles
(Norma, quin lo realiza,
qu actividades
desarrolla, cmo las
ejecuta y cundo y cmo
se evidencia su
cumplimiento)
V
i
e
n
e
d
e
l
a
p
g
i
n
a
a
n
t
e
r
i
o
r
Cumple
Elementos
de Control
Adecuado
Nivel de
Eficiencia
PD
Etapa
Valor
Nivel
ER
(3)
Valor
ER
(3)
Mayor
Subproceso
Nivel
ER
(3)
Valor ER
(3)
Nivel ER
(3)
Mayor
Mayor
Valor
ER
(3)
Proceso
Valor
Ranking
ERP (4)
0,6
Nivel
ER
(3)
Valor
ER
(3)
Media
3,8
Media
3,8
Ranking
Media
Media
Media
1,05
menor
2,5
menor
2,5
menor
2,5
0,5
Media
3,8
Pd
Cr
Media
Mayor
medio
3,8
1,33
Media
3,8
Sin control.
No
aceptable
Mayor
medio
3,8
1,33
Media
3,8
No
Mayor
Mayor
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pd
Cr
Menor
2,7
Menor
2,5
medio
3,8
1,33
Media
3,8
.
.
.
.
.
.
2
3
.
El Comit de crdito no
puede entregar crdito
sin garanta.
Qu:
Validacin
de
pagos:
Cmo y quin: El
Tesorero ingresa los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas
Qu:
Validacin
de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu:
Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
______________________________________________________________________________________________
108