Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Objetivo.
2
Contenido temático.
3
Capítulo 1. La Administración de Riesgos en las
Instituciones.
4
Evaluación de riesgos. Define la tolerancia al riesgo de la institución
conforme a los objetivos estratégicos, lo que permite que cuente con un
sistema que identifique, mida y genere respuestas, ante los riesgos que
podrían poner en peligro el cumplimiento de los objetivos.
Ambiente de Control. Se define como la cultura organizacional del sistema
de control interno. Esta actividad se obtiene a través de la retroalimentación
entre la alta dirección y los funcionarios y se materializa en metas, valores
éticos, filosofía, responsabilidades, competencias y obligaciones comunes.
Cada uno de estas actividades se ejecuta para conseguir objetivos específicos en
tres dimensiones:
Operaciones.
Información Financiera.
Recursos.
Normatividad.
Para cada una de las actividades y procesos que ejecuta la institución, en todas
sus áreas y unidades.
En este curso nos avocaremos a la parte del Control Interno que se refiere a la
Administración de Riesgos.
5
Normas, políticas y estrategias que afecten métodos de trabajo y provoquen
resistencia al cambio.
Para iniciar el conocimiento de la Administración de Riesgos en las Instituciones,
es importante definir algunos conceptos:
¿Qué es un riesgo?
Es la incertidumbre de que ocurra uno o más eventos no deseados que
pudiera obstaculizar o impedir el logro de las metas y objetivos
institucionales, generalmente están conformados por causas, efectos o
factores dependientes o independientes entre sí, y que con base en éstos,
se podrá valorar la relevancia o grado de atención de los mismos.
Adicionalmente y tomando en consideración el Acuerdo por el que se
emiten las Disposiciones en Materia de Control Interno y se expide el
Manual Administrativo de Aplicación General en Materia de Control Interno
el Riesgo es:
El evento adverso e incierto (externo o interno) que derivado de la
combinación de su probabilidad de ocurrencia y el posible impacto
pudiera obstaculizar o impedir el logro de los objetivos y metas
institucionales.
¿Cómo surgen los riesgos?
Un riesgo empieza siempre de una causa que a su vez se ve influida por
factores que determinan la posibilidad y el grado de impacto del riesgo.
Un factor de riesgo es una circunstancia interna o externa que aumenta la
probabilidad de que un riesgo se materialice. Podemos decir que la causa
de un riesgo es la confluencia de los factores suficientes para detonarlo.
Una vez que el riesgo se concreta, ocasiona efectos que pueden ser de
impacto directo o indirecto e incluso puede haber efectos colaterales.
¿Cómo se dimensionan los riesgos?
Los riesgos son inherentes a las actividades de una persona o una institución,
dimensionar el riesgo sirve para determinar su verdadera importancia y el
grado de urgencia para contrarrestarlo. Existen dos factores para dimensionar
riesgos:
Grado de impacto: Las consecuencias negativas que se generarían en
la Institución, en el supuesto de materializarse el riesgo.
Probabilidad de ocurrencia: La estimación de que ocurra un evento, en
un periodo determinado
Mientras mayor es el impacto y la probabilidad, es más urgente tomar medidas
contra el riesgo, que en casos que el impacto es menor y la probabilidad
remota.
6
¿Qué es la Evaluación de Riesgos?
Es el proceso de identificación, medición y análisis de los riesgos relevantes
que pudieran afectar el logro de las metas y objetivos de una organización,
estableciendo las bases para determinar cómo deben ser administrados.
La evaluación de riesgos considera los factores que influyen en la
gravedad, prontitud y constancia del riesgo, la probabilidad de la pérdida de
los recursos públicos, y el impacto en las operaciones, informes y
actividades sustantivas.
Con base en lo anterior, podemos definir que la Administración de Riesgos es:
El Enfoque sistemático realizado por una institución para evaluar y dar
seguimiento al comportamiento de los riesgos a que está expuesta en el
desarrollo de sus actividades y analizar los distintos factores que pueden
provocarlos, con la finalidad de definir las estrategias que permitan
controlarlos y contribuir al logro de las metas y objetivos de una manera
razonable.
7
Evaluar los riesgos considerando los factores que influyen en la
gravedad, prontitud y constancia del riesgo, la probabilidad de la
pérdida de los recursos públicos, y el impacto en las operaciones,
informes y actividades sustantivas.
Identificar los riesgos de corrupción que impacten el logro de
metas y objetivos institucionales.
Actividades de Control Interno: En todos los niveles y funciones de la
Institución se definen y actualizan las políticas, procedimientos,
mecanismos y acciones necesarias para lograr razonablemente los
objetivos y metas institucionales.
La selección y desarrollo de actividades de control contribuye a dar
respuesta y reducir los riesgos, y se basa principalmente en el uso de las
tecnologías de información y comunicaciones para apoyar el logro de metas
y objetivos institucionales.
Información y Comunicación: Requerimientos de información definidos por
grupos de interés, flujos identificados de información externa e interna y
mecanismos adecuados para el registro y generación de información clara,
confiable, oportuna y suficiente, con acceso ágil y sencillo; que permita la
adecuada toma de decisiones, transparencia y rendición de cuentas de la
gestión pública.
Supervisión y Mejora Continua: El SCII se supervisa y mejora
continuamente en la operación, con el propósito de asegurar que la
insuficiencia, deficiencia o inexistencia identificada en la supervisión,
verificación y evaluación interna y/o por los diversos órganos de
fiscalización, se resuelva con oportunidad y diligencia, dentro de los plazos
establecidos de acuerdo a las acciones a realizar, debiendo identificar y
atender la causa raíz de las mismas a efecto de evitar su recurrencia.
De esta manera, la Administración de Riesgos forma parte sustancial de las
Normas de Control Interno y del Sistema de Control Interno Institucional, lo cual le
confiere una exigencia de obligatoriedad, dentro de las actividades cotidianas en
todas y cada una de las dependencias y entidades de la Administración Pública
Federal.
8
o Comunicar la información anterior a las unidades administrativas de
la Institución.
o Coordinar y supervisar que el proceso de administración de riesgos
se implemente en apego a lo establecido.
o Junto con el Enlace de Administración de Riesgos, establecer la
propuesta de riesgos institucionales y revisar el proyecto de los
siguientes documentos y sus respectivas actualizaciones:
Matriz de Administración de Riesgos Institucional.
Mapa de Riesgos Institucional.
Programa de Trabajo de Administración de Riesgos (PTAR).
Reporte de Avances Trimestral del PTAR.
Reporte anual del comportamiento de los riesgos.
o Difundir la Matriz de Administración de Riesgos, el Mapa de Riesgos
y el PTAR Institucionales, e instruir la implementación del PTAR a los
responsables de las acciones de control comprometidas y al Enlace
de Administración de Riesgos.
o Comunicar al Enlace de Administración de Riesgos, los riesgos
adicionales o cualquier actualización a la Matriz de Administración de
Riesgos, al Mapa de Riesgos y al PTAR Institucionales determinados
en el Comité u órgano de gobierno, según corresponda.
Enlace de Administración de Riesgos, que debe responsabilizarse,
entre otras de las siguientes tareas:
o Ser el canal de comunicación e interacción con el Coordinador de
Control Interno y las unidades administrativas responsables de la
administración de riesgos.
o Informar y orientar a las unidades administrativas sobre el
establecimiento de la metodología de administración de riesgos
determinada por la Institución, las acciones para su aplicación y los
objetivos y metas institucionales a los que se deberá alinear dicho
proceso.
o Revisar y analizar la información proporcionada por las unidades
administrativas en forma integral, y definir con el Coordinador de
Control Interno la propuesta de riesgos institucionales, a efecto de
elaborar y presentar a dicho Coordinador los proyectos
institucionales de los siguientes documentos:
Matriz de Administración de Riesgos.
Mapa de Riesgos Institucional.
Programa de Trabajo de Administración de Riesgos (PTAR).
Reporte de Avances Trimestral del PTAR.
9
Reporte anual del comportamiento de los riesgos.
o Resguardar los documentos señalados en el inciso anterior que
hayan sido firmados, y sus respectivas actualizaciones.
o Dar seguimiento permanente al PTAR Institucional y actualizar el
Reporte de Avance Trimestral.
o Agregar en la Matriz de Administración de Riesgos, el PTAR y el
Mapa de Riesgos Institucionales, los riesgos adicionales o cualquier
actualización que sea determinada en el Comité o en el órgano de
gobierno.
Órgano Interno de Control:
o Apoyar a la institución de forma permanente, en las
recomendaciones formuladas sobre el proceso de administración de
riesgos.
o Promover que las acciones que se comprometan en el PTAR, se
orienten a: evitar, reducir, asumir o transferir los riesgos.
o Emitir opiniones no vinculantes, a través de su participación en los
equipos de trabajo que para tal efecto constituya el Enlace de
Administración de Riesgos.
o Presentar en las sesiones ordinarias del Comité o del órgano de
gobierno, según corresponda, su opinión y/o comentarios sobre el
Reporte de Avances Trimestral del PTAR.
10
2. Métodos y programas.
I. Comunicación y Consulta.
II. Contexto.
III. Evaluación de Riesgos.
IV. Evaluación de Controles.
V. Valoración Final de Riesgos respecto a Controles.
VI. Mapa de Riesgos Institucional.
VII. Definición de Estrategias y Acciones de Control para Administración de
los Riesgos.
I. Comunicación y Consulta.
Consiste en:
Identificar y definir tanto los objetivos y metas de la institución como los
actores directamente involucrados en el proceso de administración de
riesgos.
Definir las bases y criterios que se deberán considerar para la identificación
de las causas y efectos de los riesgos, así como las acciones que se
adopten para su tratamiento.
Con el propósito de:
Establecer un contexto apropiado.
Asegurar que los objetivos y metas de la institución sean comprendidos y
considerados por los responsables de instrumentar el proceso de
administración de riesgos.
Asegurar que los riesgos sean identificados correctamente.
Constituir un grupo de trabajo en donde estén representadas todas las
áreas sustantivas de la institución para el adecuado análisis de los riesgos.
11
II. Contexto.
Esta etapa trata de:
Describir el entorno externo social, político, legal, financiero, tecnológico,
económico, ambiental y de competitividad de la institución, a nivel
internacional, nacional y/o regional.
Describir las situaciones intrínsecas a la institución relacionadas con su
estructura, atribuciones, procesos, objetivos y estrategias, recursos
humanos, materiales y financieros, así como su capacidad tecnológica, bajo
las cuales se pueden identificar sus fortalezas y debilidades para responder
a los riesgos que sean identificados.
12
Clasificación de los riesgos. Se realizará en congruencia con la descripción del
riesgo que se determine, de acuerdo a la naturaleza de la Institución.
Identificación de factores de riesgo. Los riesgos deben ser identificados a partir de
su causa, el impacto o los factores que de manera conjunta conforman o dan lugar
a un riesgo.
Causa. Es la situación que existe y que establece un riesgo potencial, la
causa es un hecho o una certidumbre para el proyecto, proceso o área.
Impacto. Es el resultado probable si el riesgo se presenta.
Factor de riesgo. Manifestaciones o características medibles u
observables de un proceso que indican la presencia de un riesgo o tienden
a aumentar la exposición del mismo.
En esta etapa de la Metodología se trata de describir los factores que puedan
contribuir a la materialización de un riesgo, considerándose como parte de los
insumos las causas que den origen, entre otros, a las observaciones determinadas
recurrentemente por las instancias de fiscalización.
Los factores de riesgo permiten obtener información adicional al riesgo para
asignarle una ponderación y determinar su alta, mediana o baja prioridad de
atención.
Identificación de los posibles efectos de los riesgos. Es la descripción de los
impactos estimados si el riesgo llega a concretarse, en dos dimensiones:
Valoración del grado de impacto antes de la evaluación de controles.
Valoración de la probabilidad de ocurrencia antes de la evaluación de
controles.
La valoración del grado de impacto y de la probabilidad de ocurrencia antes de la
evaluación de controles, se determinará sin considerar los controles existentes
para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está
expuesta la institución de no atenderlos adecuadamente.
13
Detectivo: Opera en el momento en que los eventos están ocurriendo, su
función es identificar las omisiones o desviaciones antes de que concluya
un proceso determinado.
Correctivo: Opera en la etapa final de un proceso, y permite identificar y
corregir o subsanar en algún grado, las omisiones o desviaciones.
Identificar en los controles lo siguiente:
Deficiencia: Cuando no reúne alguna de las siguientes condiciones:
o Documentado.
o Autorizado
o Operando con evidencias de cumplimiento.
o Demuestra ser efectivo.
Suficiencia: Cuando está documentado, autorizado, operando con
evidencias de cumplimiento y es efectivo.
Determinar si el riesgo está controlado suficientemente, cuando todos sus factores
cuentan con controles suficientes.
14
El Mapa de Riesgos Institucional contiene los siguientes cuadrantes:
15
control realizadas en el transcurso del tiempo, proporcionan una base
adecuada para el control de estos riesgos.
Cuadrante III. Riesgos Controlados. Son de baja probabilidad de
ocurrencia y grado de impacto, se ubican en la escala de valor de 0 y hasta
5 de ambos ejes.
Estos riesgos requieren de un seguimiento y control interno mínimo, a
menos que una evaluación de riesgos posterior muestre un cambio
sustancial, y éstos se trasladen hacia un cuadrante de mayor impacto y
probabilidad de ocurrencia, en cuyo caso se aplican las medidas de control
correspondientes.
Cuadrante IV. Riesgos de Seguimiento. Tienen baja probabilidad de
ocurrencia con valor de 0 y hasta 5 y alto grado de impacto mayor a 5 y
hasta 10.
Los riesgos de este cuadrante son menos significativos pero tienen un alto
grado de impacto. Los sistemas de control interno que enfrentan este tipo
de riesgos deben ser revisados una o dos veces al año, para asegurarse de
que están siendo administrados correctamente y que su importancia no ha
cambiado debido a modificaciones en las condiciones internas o externas
de la Institución.
16
Las acciones de control para administrar los riesgos se definirán a partir de las
estrategias determinadas para los factores de riesgo, las cuales se incorporarán
en el PTAR Institucional.
Existen tres niveles de control para la Administración de Riesgos, que dependen
de factores como:
Naturaleza del impacto del riesgo, si se concreta.
Radio de afectación del impacto del riesgo, si se concreta.
Posición dentro de la estructura institucional donde se debe ejercer el
control.
Los niveles son:
Nivel Impacta en Impide Responsable de atenderlo
Estratégico Planeación Lograr la misión, visión, objetivos Titular de la dependencia y
y metas institucionales Órgano de Gobierno
Directivo Procesos Que la operación de los procesos Subdirectores y Jefes de Servicio.
y programas se realice 3º y 4º nivel,
correctamente.
Operativo Operación Que las acciones y tareas Jefes de Departamento y
requeridas en los distintos Operativos
procesos se ejecuten de manera
efectiva
17
5. Medios de verificación.
El Reporte de Avances Trimestral del PTAR contendrá al menos lo siguiente:
I. Resumen de acciones comprometidas, cumplidas y en proceso, así como
sus porcentajes de avance.
II. Descripción de las principales problemáticas que obstaculizan el
cumplimiento de las acciones en proceso y propuestas de solución para
consideración del Comité u órgano de gobierno, según corresponda.
III. Resultados alcanzados en relación con los esperados.
IV. Firmas del Coordinador de Control Interno y del Enlace de
Administración de Riesgos.
El Reporte de Avances Trimestral del PTAR deberá presentarse por el
Coordinador de Control Interno en las sesiones ordinarias del Comité de Auditoría
como sigue:
a) Reporte de Avances del primer trimestre en la segunda sesión.
b) Reporte de Avances del segundo trimestre en la tercera sesión.
c) Reporte de Avances del tercer trimestre en la cuarta sesión.
d) Reporte de Avances del cuarto trimestre en la primera sesión de cada
año.
La evidencia documental y/o electrónica suficiente, competente, relevante y
pertinente que acredite la implementación y avances reportados, será resguardada
por los servidores/as públicos/as responsables de las acciones comprometidas en
el PTAR institucional y estará a disposición de los órganos fiscalizadores.
El Reporte anual del comportamiento de los riesgos, con relación a los
determinados en la Matriz de Administración de Riesgos Institucional del año
inmediato anterior, debe contener la información como:
I. Comparativo del total de riesgos por cuadrante.
II. Variación del total de riesgos y por cuadrante.
III. Riesgos identificados y cuantificados con cambios en la valoración final
de probabilidad de ocurrencia y grado de impacto, así como los modificados
en su conceptualización.
IV. Conclusiones sobre los resultados alcanzados en relación con los
esperados, tanto cuantitativos como cualitativos, de la administración de
riesgos.
El Reporte anual del comportamiento de los riesgos, tiene el propósito de
fortalecer el proceso de Administración de Riesgos y el Titular de la Institución lo
presentará al Comité o al órgano de gobierno, según corresponda, en su primera
sesión ordinaria de cada ejercicio fiscal.
La elaboración del Programa de Trabajo de Administración de Riesgos requiere de
un proceso cuyos principales participantes y actividades son:
18
Responsable(s) Actividad(es)
INICIO
1 Titular de la dependencia y Acuerdan la metodología y los objetivos y
Coordinador Control metas institucionales a aplicar.
Interno.
2 Enlace Administración de Aplica la metodología, asesora y orienta a
Riesgos Institucionales las Unidades Administrativas
3 Unidades Administrativas Documentan sus riesgos y remiten su
matriz de riesgos y controles al Enlace
4 Enlace Administración de Revisa y analiza la información
Riesgos Institucionales proporcionada por las Unidades
Administrativas, y elabora el proyecto
institucional de Matriz, Mapa y PTAR
5 Órgano Interno de Control Revisa el proyecto institucional y emite
observaciones a fin de promover las
acciones comprometidas orientadas a la
mitigación de los riesgos.
6 Titular, Coordinador CI y Firman la Matriz, Mapa y PTAR
Enlace de ARI Institucionales
7 Coordinador CI Difunde los Documentos formalizados e
instruye la implementación del PTARI.
8 Unidades Administrativas Realizan las acciones comprometidas en
el PTAR, remiten los avances al Enlace y
resguardan las evidencias.
9 Enlace de ARI Da seguimiento al PTARI, elabora los
Reportes Trimestrales de Avance y el
Reporte Anual del Comportamiento de los
Riesgos.
10 Titular, Coordinador CI y Firman los reportes y los presentan al
Enlace ARI. Comité de Auditoria
FIN
19
3. Los riesgos que enfrentamos.
20
redimensionar la visión institucional mediante un diagnóstico de la organización,
de sus procesos sustantivos e infraestructura informática.
El uso efectivo de Indicadores de Desempeño Institucional y su interpretación han
permitido la toma de decisiones y la gestión estratégica entorno a los riesgos que
enfrenta el alcance de los objetivos y metas del FOVISSSTE.
21
Oferta de vivienda registrada sin considerar el uso eficiente y racional
de los recursos naturales y calidad del medio ambiente. Validación de
sustentabilidad con la obligatoriedad de eco-tecnologías. Alineado a
estrategias institucionales y cumplimiento de la misión institucional de
generación de bienestar mediante vivienda oportuna, suficiente y adecuada.
Recuperación de cartera de crédito lograda sin cumplir la meta
programada. Actualización de Bases de Datos de PENSIONISSSTE e
ISSSTE, proceso de seguimiento con entidades morosas. Alineado a
estrategias y metas institucionales, optimización de recuperación de
cartera.
Riesgos Cuantificables. Son los que permiten usar una unidad de medida
para establecer el alcance de las pérdidas.
o Riesgos Discrecionales. Son resultado de exponer el capital a una
posición de riesgo.
Riesgo de Crédito. Falta de pago del acreditado o contraparte.
Riesgo de Liquidez. Imposibilidad de renovar pasivos
Riesgo de Mercado. Cambios en posiciones de tasa de
interés, tipo de cambio e índices de precios.
o Riesgos No Discrecionales. Resultantes de la realización de las
propias actividades de la Institución.
Riesgos Operacionales. Por fallas o deficiencias en los
controles internos, por errores en el procesamiento y
almacenamiento de las operaciones o en la transmisión de la
información, así como por resoluciones administrativas y
judiciales adversas, fraudes, o robos.
Riesgo legal. Por incumplimiento de las disposiciones legales
y administrativas y por sanciones oficiales impuestas.
Riesgo Tecnológico. Por daños, interrupción, alteración o
fallas en el uso de hardware, software, sistemas, aplicaciones,
redes y canales de comunicación.
Riesgos No Cuantificables. Son derivados de eventos imprevistos y no
permiten medir la posibilidad de pérdidas potenciales.
o Riesgo Reputacional. Pérdidas por el desprestigio de la Institución.
22
o Riesgo de Entorno. Pérdidas asociadas a la situación del país y
eventualidades de la naturaleza.
o Riesgo Estratégico. Pérdidas por malas decisiones de la Alta
Dirección en el logro de las metas y objetivos Institucionales.
23