Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia - de - Autoev - de - Riesgos - en - El - Sec - Público ASF PDF
Guia - de - Autoev - de - Riesgos - en - El - Sec - Público ASF PDF
Introduccin................................................................................................................5
Objetivo ...................................................................................................................10
Alcance ...................................................................................................................10
4
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Introduccin
A lo largo de 2013 y 2014, la Auditora Superior de que se encuentren normadas en dicha esfera. A la vez
la Federacin (ASF) trabaj con las instituciones del ser una herramienta til para el establecimiento de
sector pblico federal con objeto de contribuir al tal actividad en las organizaciones que, aun sin estar
fortalecimiento de sus sistemas de control interno y sujetas a una regulacin especfica, se ven impelidas a
de sus programas de promocin de la integridad. Para gestionar sus riesgos como parte de una modernizacin
ello, utiliz un enfoque basado en la aplicacin de y mejora continua.
evaluaciones especializadas y la difusin de mejores
prcticas en la materia. Por ello, para la elaboracin de esta gua no slo
se analiz la legislacin federal y local respectiva, a
La ASF tiene la conviccin de que la mejora del control efecto de hacerla compatible; tambin se tomaron
interno es uno de los ejes indispensables para elevar la en consideracin las mejores prcticas internacionales
eficiencia y economa de la gestin pblica, as como en la materia, como son las Normas de las Entidades
un elemento imprescindible para reducir efectivamente Fiscalizadoras Superiores publicadas por la INTOSAI, las
la posibilidad de ocurrencia de actos corruptos desde normas del Instituto Internacional de Auditores Internos
un enfoque preventivo, disciplinado y sistemtico. y los lineamientos establecidos en la materia por el
Modelo COSO 2013, entre otras reconocidas fuentes
En las ms de 400 reuniones de facilitacin relativas al internacionales.
control interno y la salvaguarda de la integridad que
la ASF sostuvo en 2014 con ms de 190 instituciones Es importante observar que, adems de preparar esta
federales, se hizo patente la necesidad que existe gua, la ASF ha desarrollado la herramienta tecnolgica
en un nmero significativo de ellas de contar con Sistema Automatizado de Administracin de Riesgos,
herramientas metodolgicas especializadas, las cuales la cual tambin pone a disposicin de todas las
les permitan evaluar los riesgos que enfrentan en el instituciones gubernamentales.
logro de sus objetivos.
Dicha herramienta tiene como propsito que todo
Como respuesta a esa necesidad, expresada de ente del sector pblico est en posibilidad de realizar
manera recurrente por mltiples instituciones, y como el registro de los riesgos que enfrenta, evaluarlos
una contribucin al Sistema Nacional de Fiscalizacin conforme a su impacto y probabilidad de ocurrencia,
(SNF), la ASF presenta esta Gua de Autoevaluacin de asignar responsables especficos, obtener los mapas
Riesgos en el Sector Pblico, la cual est concebida respectivos y, en breve, hacer de la administracin
para ser utilizada por toda institucin de gobierno que de riesgos una realidad funcional en la operacin
as lo decida, independientemente del Poder en que se cotidiana de la institucin.
encuentre y el orden de gobierno al que pertenezca.
Debe sealarse que la legislacin vigente en materia de Desde la perspectiva de la fiscalizacin superior, muchas
administracin de riesgos no se encuentra homologada de las dificultades que enfrenta la gestin pblica y
a nivel nacional; incluso en el orden federal, los distintos que han sido un factor de erosin de la confianza en
Poderes cuentan con marcos regulatorios distintos y, la capacidad del Estado para resolver las demandas
en algunos casos, inexistentes. ciudadanas ms urgentes pueden ser abordadas
desde enfoques tcnicos que han demostrado su
Por esa razn, la presente gua ha sido preparada utilidad y eficacia en donde se han implantado.
tomando en consideracin el marco normativo que
s se encuentra vigente y es por tanto obligatorio Para la ASF, tanto las reuniones de facilitacin sostenidas,
para determinadas instituciones, al tiempo que es un como la preparacin de diversas guas especializadas
documento de orientacin para aquellas instituciones y la elaboracin de la herramienta automatizada para
que no cuentan con normas especficas en relacin la administracin de riesgos, representan una serie de
con la gestin de riesgos. contribuciones tcnicas y especializadas para la mejora
general de la gestin pblica, al tiempo que se traducen
En otras palabras, la puesta en prctica de esta gua en un ahorro sustantivo de recursos econmicos para
permitir a las instituciones cumplir cabalmente con sus las instituciones que decidan implementarlas.
obligaciones de administracin de riesgos en caso de
5
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Con la publicacin de esta gua, el rgano de gubernamental, y de que contine brindando beneficios
fiscalizacin superior federal respalda su compromiso de a sus miembros y a las instituciones del pas para trabajar
seguir consolidando el Sistema Nacional de Fiscalizacin con mayores niveles de control interno, integridad,
como una pieza clave para fortalecer el desempeo transparencia y rendicin de cuentas.
Resultados del Componente Evaluaccin de Riesgos en las instituciones del Poder Ejecutivo Federal
Procedimiento Evaluacin de
Programa/Plan Identificacacin para la Metodologa para Riesgos en Procesos
Nmero de Estratgico de Riesgos Administracin de la Administracin Susceptibles
Instituciones Institucionales Riesgos de Riesgos a Actos de
corrupcin
Si No Si No Si No Si No Si No
Cuadro 1. Fuente: Elaborado por la ASF con informacin del Estudio 1172.
6
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Tipologa de riesgos
Existen diferentes tipos de riesgos, los cuales se clasifican de acuerdo con su naturaleza, como se muestra en
el cuadro siguiente:
Tipologa de Riesgos
Discrecionales No discrecionales
Resultan de la toma de una posicin de riesgo Resultan de la operacin de la institucin
Presupuestal Estratgico o sustantivo
Crdito Integridad
Liquidez Operativo
Tecnolgico
Legal
Administrativo
Servicios
Seguridad
Obra pblica
Recursos Humanos
7
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Determinar un plan de accin para mitigar, principalmente, los riesgos evaluados con
alto impacto y probabilidad de ocurrencia (analizar diferentes opciones para determinar
Responder
la ms adecuada en funcin de las implicaciones, y caractersticas institucionales).
Definir fechas de implementacin del plan y sus responsables.
La administracin de riesgos, ayuda a los mandos sus objetivos y estar preparados para enfrentar cualquier
superiores, medios y operativos de las instituciones del contingencia.
sector pblico a tener control sobre aquellos eventos
que, en caso de materializarse, puedan afectar el Cabe sealar, que esta gua apunta a fortalecer los
desarrollo y funcionamiento de los procesos para sistemas de control interno, mediante la generacin
alcanzar los objetivos que persigue la institucin. de una visin sistmica sobre la administracin
y autoevaluacin de riesgos; asimismo, a un
Dada la pluralidad y particularidad de cada una direccionamiento estratgico que establezca
de las instituciones del sector pblico, por ejemplo, una orientacin precisa y planeada de la gestin,
respecto de las funciones que desempean, estructura proporcionando bases para el desempeo adecuado
organizacional, manejo presupuestario, contacto de actividades de control.
ciudadano y compromiso con la sociedad, es necesario
identificar las reas, procesos o actividades ms La administracin de riesgos se lleva a cabo mediante
vulnerables a la ocurrencia de riesgos que atenten el diseo de un programa destinado para tal objetivo,
contra el logro de sus objetivos. el cual, debe contener los procedimientos y formas
de identificar, evaluar y analizar, responder, controlar,
Las instituciones del sector pblico, deben contar con un supervisar y comunicar los riesgos institucionales.
proceso de adiministracin de riesgos tendiente a darles
un manejo adecuado, con el fin de lograr en trminos La ASF y los dems miembros del Sistema Nacional
de eficiencia, eficacia y economa el cumplimiento de de Fiscalizacin tenemos la firme conviccin de
8
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
que el proceso de fiscalizacin, rendicin de y protejan los bienes pblicos contra el desperdicio
cuentas y combate a la corrupcin se fortalecen y uso inadecuado.
en la medida en que los programas de gestin de
riesgos contribuyen favorablemente al cumplimiento Para implantar un programa de administracin de
eficaz y eficiente de los objetivos y metas de los riesgos exitoso se necesita incluir conceptos e ideas
planes, programas y proyectos relevantes; propician integradas en dicho programa, e involucrar a todos los
la generacin de informacin confiable y oportuna; niveles de la institucin, con el objetivo de identificar
transparentan la administracin y control de los los riesgos que podrian afectar potencialemente sus
recursos pblicos; facilitan que las atribuciones se logros y proporcionar una seguridad razonable del
ejerzan dentro del marco legal y normativo aplicable, cumplimiento de los objetivos estratgicos.
Resultados Objetivos
Controles a
Revisiones y
nivel entidad
validaciones
(generales)
Identificacin,
Diseo de evaluacin,
controles por priorizacin y
proceso mitigacin de
riesgos
La figura anterior muestra la interaccin del proceso de la comprensin del entorno institucional tanto interno
administracin de riesgos con la estrategia institucional, como externo facilita esta etapa del proceso de
al iniciar con la definicin de los objetivos estratgicos. administracin de riesgos.
Estos ltimos requieren la implantacin de controles
generales que deben observarse por todos los miembros El diseo, implantacin y medicin de la eficacia de
de la institucin, por ejemplo el establecimiento formal los controles a nivel proceso es el siguiente paso para
de una poltica de integridad, cdigo de tica, cdigo dar respuesta a los riesgos identificados. Es importante
de conducta, etctera. sealar que esta actividad es responsabilidad principal
de los dueos de los procesos operativos y, en un
Posteriormente, es necesario identificar, evaluar, corto plazo podr llevarse a cabo mediante la Gua
analizar, responder, controlar, supervisar y comunicar de Autoevaluacin de Controles correspondiente
los riesgos que amenazan el logro de los objetivos. La que pondr a disposicin del sector pblico el SNF.
9
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Objetivo
Desarrollar una Gua de Administracin de Riesgos que supervisin y comunicacin adecuada de esos posibles
permita a las instituciones del sector pblico gestionar eventos, con la finalidad de asegurar de forma razonable
los riesgos a los que se encuentran expuestos sus que se lograrn los objetivos institucionales en trminos
procesos sustantivos y adjetivos relevantes, mediante de eficacia, eficiencia y economa en un marco de
la identificacin, evaluacin, anlisis, respuesta, control, transparencia y rendicin de cuentas.
Alcance
La gua proporciona directrices para establecer y 2013, no obstante, derivado del estudio y anlisis de
mantener un marco tcnico para la administracin diversos documentos especializados en la materia,
general de riesgos, mismo que puede adoptarse por resulta compatible con otros modelos o estndares
cualquier institucin del sector pblico. de Control Interno internacionales, que se describen
en el siguiente apartado.
Esta gua se basa principalmente en los cinco
componentes del Marco de Control Interno COSO
1 Comit de Organizaciones Patrocinadoras de la Comisin Treadway, integrada por la Asociacin Americana de Contabilidad (AAA), el Instituto
Americano de Contadores Pblicos Certificados (AICPA), los Ejecutivos de Finanzas Internacionales (FEI), el Instituto de Contadores Administrativos
(IMA) y por el Instituto de Auditores Internos (IIA), por sus siglas en ingls.
10
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
El modelo Turnbull fue diseado por el Institute of para que asuman un nivel apropiado de compromiso
Chartered Accountants of England and Wales. Permite en el logro de los propsitos y objetivos en trminos de
a las instituciones contar con un sistema de control eficiencia y eficacia, legalidad y legitimidad.
interno que gestiona riesgos operacionales, financieros
y legales a los cuales est expuesta. Simultneamente, El Modelo Estndar de Control Interno (MECI), el
ofrece herramientas para garantizar la fiabilidad de los cual fue desarrollado en Colombia, tiene por objeto
informes financieros y asegurar el cumplimiento de la fortalecer el control interno con base en la tica
normativa aplicable a la organizacin. pblica, el fortalecimiento del proceso de informacin y
comunicacin, la generacin de informacin confiable
El modelo australiano ACC (Australian Control Criteria), da y oportuna y la promocin de la transparencia en las
importancia a los empleados y otros grupos de inters instituciones.
11
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Contexto estratgico
Identificacin de riesgos
Evaluacin de
Anlisis y evaluacin de riesgos
Riesgos
Polticas de administracin de riesgos
Tolerancia al riesgo
Sistemas de informacin
Informacin y
Anlisis e identificacin de informacin relevante
Comunicacin
Canales de comunicacin interna y externa
Auditora interna
Autoevaluacin
Supervisin
Evaluaciones independientes
Mejora continua
12
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
activa de los diferentes niveles de autoridad en la e innovador. Para conducir a las instituciones del sector
gestin de riesgos. pblico a cumplir con un estndar internacional de
administracin de riesgos, la presente gua observa
El riesgo est presente en todas las operaciones de las mejores prcticas establecidas en diferentes
cualquier institucin del sector pblico y se materializa documentos como COSO 2013 y COSO ERM, los cuales
mediante eventos adversos que detonan en prdidas estn enfocados principalmente en la identificacin
directas o indirectas, costos por dao reputacional o de de los objetivos de procesos, los riesgos implcitos a
imagen, ineficiencia de procesos internos, deficiencia en stos y su cuantificacin y, el registro histrico de los
la administracin de personas, y anomalas en sistemas materializados.
automatizados, entre otras consecuencias inesperadas.
La gua incluye la identificacin de riesgos, su
La administracin del riesgo operacional se distingue clasificacin y la determinacin de la probabilidad e
de otros tipos de riesgos, debido a que comprende impacto de manera cualitativa para definir los controles
cualquier limitacin, amenaza o problema intrnseco e indicadores correspondientes que permitan mitigar
de todas las actividades y procesos inherentes a las y supervisar tales riesgos. Para ello, se desarrollan
operaciones de los entes gubernamentales que, a e implementan programas de administracin de
travs de diversos mecanismos de sistemas de mejora riesgos, que tienen como fin asegurar la existencia de
de control interno y de prevencin del riesgo, busca mecanismos de control, principalmente en los procesos
proteger y fortalecer el patrimonio de las instituciones ms vulnerables a su ocurrencia.
ante posibles desviaciones o prdidas econmicas por
la exposicin al riesgo que se tiene. En este sentido, es Las actividades desarrolladas para la administracin
fundamental que la institucin desarrolle una efectiva del riesgo, son un complemento estratgico dentro
administracin de riesgos que le permita enfrentar o de la gestin integral de riesgos en las instituciones.
evitar prdidas econmicas, eficientar las operaciones, Trabajar en sinergia asegura que se identifiquen los
generar informacin financiera y no financiera y cumplir riesgos y se definan las respuestas para su mitigacin
con el marco legal y normativo aplicable. y otras acciones de vigilancia de su comportamiento,
segn las mejores prcticas internacionales.
Para el sector pblico mexicano, el desarrollo del
concepto del riesgo puede considerarse como actual
2.5 Supervisin
Busca asegurar que los controles operen como se requiere a fin de, cumplir con oportunidad y eficiencia las metas y
y que sean modificados apropiadamente de acuerdo objetivos previstos en sus respectivos programas, conforme
con los cambios en las condiciones de cada institucin a lo dispuesto en la normativa aplicable.
13
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
3 Metodologa de Administracin
de Riesgos
Las instituciones del sector pblico deben cumplir por la existencia de riesgos, razn por la cual se hace
su misin, mediante los objetivos institucionales, los necesario contar con acciones especficas para
cuales se desarrollan a partir del diseo y ejecucin administrarlos dentro de la institucin. El adecuado
de los diferentes planes, programas y proyectos. El manejo de los riesgos beneficia el desarrollo de
cumplimiento de los objetivos, puede verse afectado la institucin.
Conformacin del equipo: Es importante que la Capacitacin sobre la gua: Una vez que se cuenta con
institucin cuente con un equipo responsable de la el equipo responsable del proceso de administracin
implementacin del proceso de administracin de de riesgos, debe capacitarse a sus integrantes en la
riesgos, el cual cuente con un canal de comunicacin instrumentacin del presente documento.
directo con el Titular y mandos superiores de las unidades
administrativas. Es recomendable que los integrantes La figura 4 muestra de manera sintetizada el marco
de este equipo cuenten con conocimientos sobre la general de administracin de riesgos en el sector pblico:
14
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Objetivos estratgicos
Conocimiento puntual de
Definicin de metas y
los objetivos institucionales y
objetivos de cada Unidad
nacionales contenidos en el Objetivos de administracin
Administrativa alineados a los
Plan Estratgico o Programa de riesgos.
institucionales, sectoriales y
Sectorial y en el Plan
nacionales.
Nacional de Desarrollo.
Identificacin de Riesgos
Supervisin y Monitoreo
Qu y cmo puede pasar?
Comunicacin
Determinar probabilidad de
ocurrencia
Determinar impacto
15
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Para establecer un programa de administracin de Asimismo, deben considerarse los registros histricos
riesgos es fundamental que los servidores pblicos de de riesgos materializados o cercanos a materializarse,
los diferentes puestos que integran la institucin tengan opiniones de especialistas y expertos, informes de
conocimientos referentes a la estrategia institucional. evaluaciones de aos anteriores e indicadores
Dicho programa debe atenderse de manera sistmica; generados en la institucin. A continuacin se muestran
es decir, no debe funcionar de manera aislada, sino algunos ejemplos de factores internos y externos:
integral. Esto puede lograrse mediante comunicados y
16
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Internos
- Corrupcin -Recursos pblicos mal
Fallas en procesos,
Factores/causas
Riesgo potencial
17
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
1. Talleres de
autoevaluacin
9. Registros
de riesgos 2. Mapeo de
materializados procesos
3. Anlisis de
8. Anlisis entorno interno y
comparativo Tcnicas para externo
identificacin
de riesgos
7.Cuestionarios
dirigidos a SP de 4. Lluvia de ideas
mandos superiores
o medios
5. Anlisis de
indicadores de
6. Entrevistas gestin, desempeo
y riesgos
18
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
1. Talleres de autoevaluacin: Consisten en o debajo del rango normal, esto debe analizarse
reuniones de servidores pblicos de diferentes para determinar si esa desviacin se debe a algun
niveles jerquicos que dempeen actividades riesgo materializado o su comportamiento anormal
clave en la institucin; con el objetivo de tiene alguna explicacin diferente a un riesgo.
identificar los riesgos, analizar y evaluar su posible
impacto en el cumplimiento de los objetivos y 7. Cuestionarios: Consisten en una serie de preguntas
proponer acciones para su mitigacin. enfocadas a detectar las preocupaciones de los
servidores pblicos de mandos superiores, medios
2. Mapeo de procesos: Esta tcnica consiste en u operativos sobre riesgos que se perciben en las
revisar el diagrama del proceso operativo e actividades que desempean.
identificar los puntos crticos que podran implicar
un riesgo. Para efectuarla es necesario que se 8. Anlisis comparativo: Comprenden el anlisis
encuentren documentados todos los procesos entre instituciones que desarrollan actividades
de la institucin. similares, con el fin de identificar riesgos que
podran afectar a la institucin.
3. Anlisis de entorno: Consiste en la revisin de
cambios en el marco legal, entorno econmico 9. Registros de riesgos materializados: Consiste en
o cualquier factor externo que podra amenazar bases de datos con los riesgos materializados en
el cumplimiento de los objetivos. el pasado en la institucin. Estos registros deben
contener la descripcin del evento, fecha, monto
4. Lluvia de ideas: Se trata de una tcnica grupal de prdida, si se llev a cabo alguna recuperacin
en la que participan actores de diferentes niveles y qu control se estableci para mitigar el riesgo
jerrquicos para generar ideas relacionadas con y que cierta situacin vuelva a repetirse.
los riesgos, causas, eventos o impactos que
pueden poner en peligro el logro de los objetivos. Una de las herramientas que funciona de manera ms
adecuada para la identificacin de riesgos son los
5. Entrevistas: stas consisten en realizar una serie talleres; sin embargo, las otras tcnicas pueden utilizarse
de preguntas relacionadas con los eventos como complemento, de tal forma que mediante la
que amenazan el logro de los objetivos. Se combinacin de varias herramientas se logre una
aplican a servidores pblicos de diferentes cobertura ms amplia en la identificacin de riesgos.
niveles jerrquicos de una o varias unidades
administrativas. Durante el proceso de identificacin de riesgos es
preciso clasificarlos en primera instancia de acuerdo
6. El anlisis de indicadores de gestin, de con su tipologa, con el fin de comprender las causas
desempeo o de riesgos: Debern establecerse e impacto que dichos riesgos pueden tener en caso
con anterioridad y evaluar sus desviaciones, es de materializarse.
decir, que su comportamiento est por encima
Estratgico: Se asocia a los asuntos relacionados con Legal: Afecta la capacidad de la institucin para
la misin y el cumplimiento de los objetivos estratgicos. dar cumplimiento a la legislacin y obligaciones
contractuales.
Financiero: Se relaciona con los recursos econmicos
de la institucin, principalmente de la eficiencia y
transparencia en el manejo de los recursos.
19
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Proceso Riesgo
Errores humanos
Procesos sustantivos Fallas de sistemas institucionales
Fallas de procesos
Errores humanos
Fallas de sistemas institucionales
Procesos adjetivos
Fallas de procesos
Falta de cumplimiento al marco legal
Recursos materiales (compras generales, contratacin Riesgos de integridad (soborno, nepotismo,
de proveedores, licitaciones, etc.) desviacin de recursos)
Recursos humanos (nmina, bonos, incentivos, Riesgos de integridad (soborno, nepotismo,
contratacin de personal, etc.) desviacin de recursos)
Recursos financieros (tesorera, inversiones,
Riesgos de integridad (soborno, nepotismo,
contabilidad, finanzas, presupuestos, impuestos,
desviacin de recursos)
gastos, etc. )
Integridad de la informacin
Tecnologas de informacin (sistemas instituciones, Disponibilidad de los sistemas
telecomunicaciones, red, servidores, institucionales
bases de datos, etc.) Virus
Cada de sistemas institucionales
20
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
5. Una vez que se ha determinado que procesos son de tener inconsistencias en esta etapa, el desarrollo
los ms vulnerables, deber revisarse cada una de de los procedimientos subsecuentes puede tener
sus actividades para determinar en conjunto a que repercusiones. Dicha actividad se realiza a partir del
riesgos especficamente se encuentran expuestos, esto entendimiento de los procesos y subprocesos y
se lleva a cabo con la ayuda del moderador. Para deteccin de los posibles eventos que pueden afectar
identificar los riesgos es necesario realizar la pregunta el cumplimiento de los propsitos estratgicos.
clave, qu puede suceder?
Para puntualizar las fallas o problemas se debe partir
6. El responsable deber registrar todos los riesgos que de las actividades intrnsecas establecidas por las
sean mencionados por los integrantes del grupo de instituciones en los procesos sustantivos, adjetivos y
trabajo, para posteriormente anlizar cuales de ellos estratgicos (por lo que es indispensable contar con
deben considerarse, ya que debe darse prioridad a un mapeo completo de los procesos de la institucin).
los riesgos ms significativos. A continuacin se muestra la matriz en la cual se lleva
el registro de los riesgos identificados:
La identificacin de riesgos es una actividad crtica
dentro de la administracin de riesgos, ya que en caso
La identificacin de los riesgos debe ser acorde con Durante el desarrollo de la etapa de identificacin
su causa primaria; es decir, aquellas que los originan de riesgos, las instituciones deben dar prioridad a los
dentro del proceso o subproceso, en especial debe procesos crticos y los riesgos ms relevantes.
cuidarse separar eventos transferidos por otras reas
o procesos. Es importante sealar que, como se ha mencionado
anteriormente, de forma complementaria a esta gua
La matriz de identificacin de riesgos permite que las se dise el SAAR para llevar a cabo el registro de los
instituciones lleven el registro de los riesgos detectados, riesgos, el cual permitir a las instituciones del sector
para contar con un inventario de los mismos, al determinar pblico llevar una adecuada administracin de riesgos.
el objetivo, proceso o plan que puede verse afectado Dicha herramienta incluye un instructivo para el usuario,
por un determinado riesgo, as como las causas y el que apoya el uso y aprovechamiento de los recursos
impacto posible. institucionales.
21
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
institucin. Existen tambin tcnicas cuantitativas para podra ocurrir el riesgo; considerando los factores
evaluar riesgos, las cuales, consisten en determinar el internos y externos.
valor de un riesgo mediante modelos estadsticos y
calcular la prdida esperada por materializacin de El impacto se valora tomando en cuenta las
riesgos; para utilizar estas tcnicas, se necesita contar consecuencias que pueden ocasionar a la
con informacin suficiente en tiempo y calidad, es institucin en caso de que el riesgo se materialice.
decir, que la institucin tenga registros de riesgos
materializados de por lo menos los ltimos cinco aos. A continuacin se muestra las escalas para la evaluacin
de riesgos en probabilidad e impacto:
La probabilidad de ocurrencia se valora con En el grado de impacto, debe considerarse el valor 10
base en la frecuencia; es decir, cuntas veces
de mayor jerarqua y 1 de menor. El orden los factores causar en la institucin; dicha estimacin se realiza
o criterios puede variar, dependiendo del mandato, utilizando las dos escalas anteriores.
naturaleza y circunstancias de cada institucin.
Es importante que esta evaluacin se lleve a cabo cada 3
La evaluacin del riesgo debe estimar la probabilidad meses, con la finalidad de mantener actualizados los riesgos
de ocurrencia de un riesgo y el impacto que puede de acuerdo con el entorno interno y externo de la institucin.
22
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Evaluacin de riesgos
Probabilidad Impacto Valor del Riesgo Prioridad del Riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
23
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
CONTROLES
rea Evidencia
Nmero Nombre Tipo de Frecuencia Evidencia Efectividad Diseo del Existe riesgo
responsable de la
de control de control control de Ejecucin del control del control control residual?
del control ejecucin
24
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Valores
Mandos Superiores corporativos
Objetivos de
negocios
Mandos medios y operativos
Gestin de riesgos y controles
Estrategias de
riesgo/control
Proceso de
auditora inicial
El Titular es el responsable principal de establecer convierten en responsables del manejo de los riesgos
una estrategia institucional que respalde el ciclo de que pueden afectar las metas especficas de las
administracin de riesgos y el sistema de administracin unidades administrativas en las que desarrollan sus
de riesgos en su conjunto. Asimismo, debe aplicar un actividades y de los objetivos estratgicos que estn
claro sentido de direccin en donde las personas alineados con la misin institucional.
conocen los riesgos que enfrenta su institucin y se
25
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
para riesgos de bajo impacto y baja probabilidad de Proteccin o cobertura: Cuando la accin
ocurrencia. que se realiza para reducir la posibilidad de
una prdida, obliga tambin a renunciar a la
Vigilar el riesgo: En este supuesto, debe darse posibilidad de una ganancia.
seguimiento peridico al riesgo para determinar su Aseguramiento: Significa pagar una prima (el
probabilidad de ocurrencia conforme transcurre el precio del seguro) para que en caso de tener
tiempo. Si la probabilidad de ocurrencia se incrementa, prdidas estas sean asumidas por la aseguradora.
los responsables de administrar los riesgos debern Diversificacin: Implica mantener cantidades
actuar de manera inmediata implementando acciones similares de muchos activos riesgosos en lugar de
para mitigarlo. Este tipo de estrategias es aplicable concentrar toda la inversin en uno slo producto.
para riesgos de alto impacto y baja probabilidad de
ocurrencia. Se recomienda crear un plan para mitigarlo Reducir el riesgo: Esta estrategia aplica cuando un riesgo
slo si aumenta la probabilidad de ocurrencia. ha sido identificado y representa una amenaza para el
cumplimiento de los objetivos estratgicos, proceso o
Evitar el riesgo: Este tipo de respuesta se refiere a reas, por lo que la institucin deber establecer acciones
eliminar el factor o los factores que estn provocando el dirigidas a disminuir la probabilidad de ocurrencia
riesgo; es decir, si una parte del proceso tiene alto riesgo, (acciones de prevencin) y el impacto (acciones de
el segmento completo recibe cambios sustanciales por contingencia), tales como medidas especficas de
mejora, rediseo o eliminacin, resultado de contratos control interno y optimizacin de procedimientos.
suficientes y acciones emprendidas; sin embargo, este
tipo de estrategia no es recomendable por la naturaleza Compartir el Riesgo: Se refiere a distribuir el riesgo y las
de las actividades de las instituciones. posibles consecuencias, tambin puede entenderse
como transferencias parciales, en las que el objetivo
Transferir el riesgo: Esta respuesta consiste en trasladar no es deslindarse completamente, sino segmentarlo
el riesgo mediante la responsabilizacin de un tercero y canalizarlo a diferentes unidades administrativas o
(tercerizacin especializada). El tercero debe tener personas, las cuales se responsabilizarn de la parte
experiencia particular para ejecutar el trabajo sin del riesgo que les corresponda.
riesgos o si el riesgo permanece. La responsabilidad
ser del tercero y asumir los impactos o perdidas El efecto de adoptar una estrategia o la combinacin
derivadas de su materializacin. En la actualidad la de stas, tendr como resultado un riesgo remanente o
estrategia de transferencia de riesgos es una de las residual, el cual debe asumise responsablemente por los
ms utilizadas; cuenta con tres dimensiones que se titulares de las unidades administrativas de que se trate.
detallan a continuacin:
26
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Los niveles y su correspondencia con las zonas que necesita el riesgo para gestionarlo de manera
que determinan la prioridad y el tipo de respuesta adecuada, se muestran en el cuadro 9 de la pgina 23.
27
28
Matriz de riesgos
Identificacin del riesgo Evaluacin de riesgos
Objetivo Nombre Causa rea Prioridad
Nmero de Tipo de Descripcin Tipo de Clasificacin Tipo de Consecuencia Valor del
Proceso del del del del Probabilidad Impacto del
riesgo proceso del riesgo riesgo del riesgo factor del riesgo riesgo
proceso riesgo riesgo riesgo riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
3 8 6 Alto
8 7 7.4 Alto
6 5 5.4 Alto
respuesta
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
29
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
Figura 10. Fuente: Elaborada por la ASF
Por otro lado, la tolerancia al riesgo es el nivel aceptable Es posible medir y contrastarla con los objetivos
de variacin en los resultados o actuaciones de la (en los mismos trminos).
institucin relacionada con la consecucin o logro de Debe mantener coherencia con el apetito al
los objetivos. La tolerancia al riesgo es la cantidad mxima riesgo (qu nivel de riesgo est dispuesto a
de un riesgo que una institucin puede soportar sin causar aceptar).
graves daos al logro de los propsitos del ente. Establecer riesgos que la institucin no est
dispuesta a aceptar (por ejemplo: en el
Apetito de Riesgo. Es una aprobacin de alto nivel de cumplimiento del marco legal).
aceptacin de un riesgo en el logro de los objetivos.
Principales caractersticas:
30
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
4.1 Resiliencia
Es la capacidad de un sistema, expuesto a una amenaza, La resiliencia de una institucin con respecto a los
para resistir, absorber, adaptarse y recuperarse de sus posibles eventos que resulten de una amenaza, se
efectos de manera oportuna y eficaz, lo que incluye determina por el grado en que la institucin cuenta con
la preservacin y la restauracin de sus estructuras y los recursos necesarios y es capaz de organizarse tanto
funciones bsicas.6 antes como durante una crisis o un desastre natural,
por ejemplo, un terremoto, inundacin, incendio,
La resiliencia como concepto, proviene de la fsica etc. Este concepto incluye a los servidores pblicos,
de los materiales y a manera de ejemplo se puede procesos sustantivos, adjetivos y estratgicos, tecnologa
expresa por medio de las cualidades de un resorte, es e infraestructura.
decir, qu tanto puede resistir a la presin, doblarse con
flexibilidad y recobrar su forma original. La imagen de un El dao reputacional y la interrupcin de las operaciones,
resorte que se estira y regresa a su forma original, refleja encabezan la lista de los mayores impactos para las
la resiliencia, que toma el sentido de la capacidad instituciones del sector pblico. Hoy en da, la continuidad
de resistir a o de resurgir de un choque o una crisis. del negocio no slo se asocia con fenmenos fsicos
6 2009 UNISDR Terminologa sobre Reduccin del Riesgo de Desastres, Pg. 28, Organizacin de las Naciones Unidas (ONU)
31
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
como incendios o fallos tecnolgicos, sino que se Contar con un Plan de Continuidad del Negocio
extiende a un nivel estratgico en el que la reputacin permite a las instituciones garantizar la continuidad
y el valor de las instituciones en cuanto a credibilidad de la actividad frente a una crisis, aumentando las
y confianza de la ciudadana, son elementos clave. posibilidades de supervivencia de la institucin.
1.- Obtener una imagen clara y detallada de los El PCN o Plan de Continuidad del Negocios extiende
procesos sustantivos y adjetivos relevantes de el alcance:
la institucin, determinando sus criticidades,
interdependencias y riesgos. El PCN tiene como objetivo el mantenimiento de la
2.- Lograr un conocimiento profundo de la plataforma actividad en la institucin, bien mediante la recuperacin
tecnolgica. de los procesos de soporte o mediante la aplicacin
3.- Determinar las necesidades crticas para permitir de procesos de emergencia.
un grado de operatividad en lnea con los planes
estratgicos y metas definidas. Dentro del PCN es clave el anlisis de impacto en
4.- Desarrollar una solucin cuya relacin costo- las operaciones que toma en cuenta el impacto
beneficio cumpla con los requisitos y las econmico cuando se detenienen las actividades
expectativas de la institucin. en la institucin.
5.- Prever y documentar las acciones necesarias
para restaurar las actividades de la institucin.
32
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Utilizada por las organizaciones para asegurar el Utilizada por las organizaciones para proporcionar
cumplimiento con las leyes y reglamentos; informacin relevante acerca de las polticas,
directivas, normas y procedimientos de seguridad de
Utilizada en una organizacin como un marco de la informacin a los proveedores y otras organizaciones
procesos para el establecimiento y gestin de controles con las que interactan por razones operativas.
33
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
estratgico, sin dejar de lado el marco jurdico ser sujetos a una revisin formal o a una
y legal aplicable. determinada respuesta.
La poltica de riesgos debe ser ratificada por Puntualizar la relacin causa-efecto y la tendencia
algn comit (preferentemente el de riesgos) hacia la gestin de riesgo de la institucin
y relacionarla con la visin, misin y plan mediante un mapa de riesgos institucional.
estratgico, incorporando la administracin de Precisar el modo en que el proceso de la
riesgos como parte de una cultura deseada en administracin de riesgos tiene y preserva su
el estilo de la gestin de la institucin. calidad, y cmo las decisiones institucionales
La poltica de riesgos debe contener datos claros deben basarse en el anlisis de los riesgos.
que identifiquen los diferentes tipos de riesgos, Describir el impacto en la reputacin, operacin,
incluyendo categoras de riesgos en grupos clave. integridad, etc., de la institucin en caso de
Definir roles y responsabilidades referentes a materializarse los riesgos.
la administracin de riesgos, sobre todo en Capacitacin continua en temas relacionados
lo referente a la propiedad, evaluacin y con el programa de administracin de riesgos,
seguimiento de los mismos. que garantice la existencia de una cultura
Determinar acciones que deben desarrollarse institucional de administracin de riesgos.
cuando se presentan los riesgos o surjan fallas Comunicar los programas, polticas y procesos
en los controles. de administracin de riesgos para permear esta
Mantener el entendimiento de las polticas conciencia de riesgos en todo el personal de
de riesgos entre los servidores pblicos con la institucin.
encuestas regulares y entrevistas selectivas.
Describir los riesgos y controles, y el modo en El seguimiento y supervisin de los riesgos son parte
que los riesgos clave deben registrarse en un de la mejora continua, y el Titular debe establecer
sistema de reportes. mecanismos que permitan el seguimiento para valorar
Definir la relacin entre la administracin de el grado de avance y las mejoras necesarias que deben
riesgos, el sistema de control y la poltica de hacerse para reforzar e impulsar la administracin de
integridad institucional. riesgo, hasta lograr una madurez adecuada en el
Definir qu es considerado un control clave, programa de administracin de riesgos.
e indicar si los riesgos registrados deben
Glosario
Se incluye el siguiente glosario para mayor precisin
en las definiciones relacionadas con el proceso de
Administracin de Riesgos:
Trmino Descripcin
Las actividades determinadas e implantadas por los titulares y dems
Accin (es) de servidores pblicos de las instituciones para fortalecer el Sistema de Control
mejora Interno Institucional, as como prevenir, disminuir, administrar y/o eliminar los
riesgos que pudieran obstaculizar el cumplimiento de objetivos y metas.
El proceso sistemtico que deben de realizar las instituciones para evaluar y
dar seguimiento al comportamiento de los riesgos a que estn expuestas en
Administracin de el desarrollo de sus actividades, mediante el anlisis de los distintos factores
riesgos que pueden provocarlos, con la finalidad de definir las estrategias y acciones
que permitan controlarlos y asegurar el logro de los objetivos y metas de una
manera razonable.
34
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
35
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
36
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
37
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
38
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
39
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
40