Administración de Riesgos

Manual del Curso

1
Objetivo.

Describir la metodología de la administración de riesgos,

conceptos básicos, mapa de riesgos, proceso para la
Identificación, evaluación y tratamiento de los riesgos.

2
Contenido temático.

Capítulo 1. La Administración de Riesgos en las Instituciones.

1.1. El Marco Integrado de Control Interno.
1.2. ¿Por qué la Administración de Riesgos?
1.3. Normatividad de la Administración de Riesgos.
1.4. ¿Quiénes participan en la Administración de Riesgos?

Capítulo 2. Métodos y programas.

2.1. Metodología de la Administración de Riesgos.
2.2. Programa de Trabajo de Administración de Riesgos (PTAR).

Capítulo 3. Los riesgos que enfrentamos.

3.1. Nuestro contexto.
3.2. Planes y Riesgos en el FOVISSSTE.
3.3. ¿Qué otros riesgos podemos enfrentar?

3
Capítulo 1. La Administración de Riesgos en las
Instituciones.

1.1. El Marco Integrado de Control Interno.

La Administración de Riesgos proviene del Marco Integrado de Control Interno,
que tiene como fin proporcionar un grado de seguridad razonable en la
consecución de los objetivos, metas y estrategias de la institución.
El Marco Integrado de Control Interno, como concepto organizacional, tiene su
origen en las iniciativas publicadas por el Committee of Sponsoring Organizations
of the Treadway Commission COSO, por sus siglas en inglés (Comité de
Organizaciones Patrocinadoras de la Comisión Treadway) en los Informes COSO,
los cuales son el resultado de un estudio realizado a nivel internacional por un
grupo de trabajo de la Comisión Treadway, con el objetivo de definir un nuevo
marco conceptual de control interno capaz de integrar las diversas definiciones y
conceptos que se utilizan sobre este tema.
En muchos países, incluido México, los informes COSO I y II, han permitido que
instituciones de todo tipo, incluyendo entidades gubernamentales, tengan una
referencia conceptual de lo que significa el control interno
El éxito de este modelo obedece entre otros factores a su capacidad de alinear la
exposición al riesgo de la entidad con el cumplimiento de la estrategia institucional.
Este modelo focaliza sus esfuerzos en el cumplimiento de los objetivos
estratégicos, la búsqueda de la eficiencia operacional, la creación de mecanismos
que permitan una revelación de información financiera fiable, y el asegurar que la
entidad cumpla cabalmente con las normas, leyes y políticas que regulan su
actividad.
Por lo cual propone que para el logro de los objetivos señalados, es necesario que
al interior de la institución se desarrollen cinco actividades que deben ser medidas
constantemente para garantizar su efectividad.
Supervisión. para revisar y medir el desarrollo y gestión de cada una de las
etapas del modelo, y con base en los resultados obtenidos se toman las
medidas estratégicas necesarias para su mejora continua.
Información y comunicación. como un sistema que debe implementarse con
un mecanismo de retroalimentación en su operación diaria, lo que garantiza
que se cuente con las herramientas suficientes para tomar decisiones y
medidas correctivas oportunamente.
Actividades de control. Son las que se desarrollan en la institución, las
cuales deben garantizar que las políticas y procedimientos ya instaurados
se cumplan, midiendo así el sistema y a cada uno de sus componentes.
Entre las actividades que se recomiendan están: aprobaciones,
autorizaciones, verificaciones, conciliaciones, seguridad de los activos,
segregación de funciones y revisiones de funcionamiento operativo.

4
 Evaluación de riesgos. Define la tolerancia al riesgo de la institución
conforme a los objetivos estratégicos, lo que permite que cuente con un
sistema que identifique, mida y genere respuestas, ante los riesgos que
podrían poner en peligro el cumplimiento de los objetivos.
Ambiente de Control. Se define como la cultura organizacional del sistema
de control interno. Esta actividad se obtiene a través de la retroalimentación
entre la alta dirección y los funcionarios y se materializa en metas, valores
éticos, filosofía, responsabilidades, competencias y obligaciones comunes.
Cada uno de estas actividades se ejecuta para conseguir objetivos específicos en
tres dimensiones:
Operaciones.
Información Financiera.
Recursos.
Normatividad.
Para cada una de las actividades y procesos que ejecuta la institución, en todas
sus áreas y unidades.
En este curso nos avocaremos a la parte del Control Interno que se refiere a la
Administración de Riesgos.

1.2. ¿Por qué la Administración de Riesgos?

El concepto del riesgo forma parte de la vida cotidiana, tanto de las personas,
como de las instituciones.
Para cualquiera de nosotros, el simple hecho de salir a la calle nos pone en riesgo
de sufrir desde un leve percance hasta un accidente. Inclusive en nuestra casa o
centro de trabajo, no estamos exentos de riesgos en contra de nuestra salud,
integridad física, estabilidad emocional e inclusive nuestra situación laboral.
Por su parte las instituciones de todo tipo también están continuamente expuestas
a riesgos de muchos tipos, que pueden provenir de factores externos como:
Cambio en leyes y reglamentos o en el entorno político.
Perturbaciones en las situaciones económicas o sociales.
Giros en la tecnología, que vuelvan obsoletos procesos, maquinaria y
equipos.
O de elementos internos entre los cuales podemos mencionar:
Falta de ética e integridad de los colaboradores/as.
Ineficiencia en el rendimiento del personal.
Complejidad en la naturaleza de las actividades

5
 Normas, políticas y estrategias que afecten métodos de trabajo y provoquen
resistencia al cambio.
Para iniciar el conocimiento de la Administración de Riesgos en las Instituciones,
es importante definir algunos conceptos:
¿Qué es un riesgo?
Es la incertidumbre de que ocurra uno o más eventos no deseados que
pudiera obstaculizar o impedir el logro de las metas y objetivos
institucionales, generalmente están conformados por causas, efectos o
factores dependientes o independientes entre sí, y que con base en éstos,
se podrá valorar la relevancia o grado de atención de los mismos.
Adicionalmente y tomando en consideración el Acuerdo por el que se
emiten las Disposiciones en Materia de Control Interno y se expide el
Manual Administrativo de Aplicación General en Materia de Control Interno
el Riesgo es:
El evento adverso e incierto (externo o interno) que derivado de la
combinación de su probabilidad de ocurrencia y el posible impacto
pudiera obstaculizar o impedir el logro de los objetivos y metas
institucionales.
¿Cómo surgen los riesgos?
Un riesgo empieza siempre de una causa que a su vez se ve influida por
factores que determinan la posibilidad y el grado de impacto del riesgo.
Un factor de riesgo es una circunstancia interna o externa que aumenta la
probabilidad de que un riesgo se materialice. Podemos decir que la causa
de un riesgo es la confluencia de los factores suficientes para detonarlo.
Una vez que el riesgo se concreta, ocasiona efectos que pueden ser de
impacto directo o indirecto e incluso puede haber efectos colaterales.
¿Cómo se dimensionan los riesgos?
Los riesgos son inherentes a las actividades de una persona o una institución,
dimensionar el riesgo sirve para determinar su verdadera importancia y el
grado de urgencia para contrarrestarlo. Existen dos factores para dimensionar
riesgos:
Grado de impacto: Las consecuencias negativas que se generarían en
la Institución, en el supuesto de materializarse el riesgo.
Probabilidad de ocurrencia: La estimación de que ocurra un evento, en
un periodo determinado
Mientras mayor es el impacto y la probabilidad, es más urgente tomar medidas
contra el riesgo, que en casos que el impacto es menor y la probabilidad
remota.

6
¿Qué es la Evaluación de Riesgos?
Es el proceso de identificación, medición y análisis de los riesgos relevantes
que pudieran afectar el logro de las metas y objetivos de una organización,
estableciendo las bases para determinar cómo deben ser administrados.
La evaluación de riesgos considera los factores que influyen en la
gravedad, prontitud y constancia del riesgo, la probabilidad de la pérdida de
los recursos públicos, y el impacto en las operaciones, informes y
actividades sustantivas.
Con base en lo anterior, podemos definir que la Administración de Riesgos es:
El Enfoque sistemático realizado por una institución para evaluar y dar
seguimiento al comportamiento de los riesgos a que está expuesta en el
desarrollo de sus actividades y analizar los distintos factores que pueden
provocarlos, con la finalidad de definir las estrategias que permitan
controlarlos y contribuir al logro de las metas y objetivos de una manera
razonable.

1.3. Normatividad de la Administración de Riesgos.

Las instituciones que forman parte de la APF tienen la obligación de establecer un
Sistema de Control Interno Institucional (SCII), como parte de las acciones para la
reducción y simplificación de la regulación administrativa en materia de control
interno, con la finalidad de aprovechar y aplicar de manera eficiente los recursos y
los procedimientos técnicos con que cuentan.
En el establecimiento y actualización del Sistema de Control Interno Institucional,
el Gobierno Federal dispone de cinco Normas Generales de Control Interno:
Ambiente de Control: Un entorno y clima organizacional de respeto e
integridad con actitud de compromiso y congruente con los valores éticos
del Servicio Público en estricto apego al marco jurídico que rige a la
Administración Pública Federal, con una clara definición de
responsabilidades, desagregación y delegación de funciones, además de
prácticas adecuadas de administración de los recursos humanos; alineados
en su conjunto con la Misión, Visión, Objetivos y Metas Institucionales.
Administración de Riesgos: Un proceso sistemático que permita establecer
el contexto, identificar, analizar, evaluar, atender, monitorear y comunicar
los riesgos que puedan obstaculizar o impedir el cumplimiento de los
objetivos y metas institucionales.

Esta Norma establece, entre otras actividades:

Analizar los factores internos y externos que puedan aumentar el
impacto y la probabilidad de materialización de los riesgos, para
definir estrategias y acciones para controlarlos y fortalecer el
Sistema de Control Interno.

7
 Evaluar los riesgos considerando los factores que influyen en la
gravedad, prontitud y constancia del riesgo, la probabilidad de la
pérdida de los recursos públicos, y el impacto en las operaciones,
informes y actividades sustantivas.
Identificar los riesgos de corrupción que impacten el logro de
metas y objetivos institucionales.
Actividades de Control Interno: En todos los niveles y funciones de la
Institución se definen y actualizan las políticas, procedimientos,
mecanismos y acciones necesarias para lograr razonablemente los
objetivos y metas institucionales.
La selección y desarrollo de actividades de control contribuye a dar
respuesta y reducir los riesgos, y se basa principalmente en el uso de las
tecnologías de información y comunicaciones para apoyar el logro de metas
y objetivos institucionales.
Información y Comunicación: Requerimientos de información definidos por
grupos de interés, flujos identificados de información externa e interna y
mecanismos adecuados para el registro y generación de información clara,
confiable, oportuna y suficiente, con acceso ágil y sencillo; que permita la
adecuada toma de decisiones, transparencia y rendición de cuentas de la
gestión pública.
Supervisión y Mejora Continua: El SCII se supervisa y mejora
continuamente en la operación, con el propósito de asegurar que la
insuficiencia, deficiencia o inexistencia identificada en la supervisión,
verificación y evaluación interna y/o por los diversos órganos de
fiscalización, se resuelva con oportunidad y diligencia, dentro de los plazos
establecidos de acuerdo a las acciones a realizar, debiendo identificar y
atender la causa raíz de las mismas a efecto de evitar su recurrencia.
De esta manera, la Administración de Riesgos forma parte sustancial de las
Normas de Control Interno y del Sistema de Control Interno Institucional, lo cual le
confiere una exigencia de obligatoriedad, dentro de las actividades cotidianas en
todas y cada una de las dependencias y entidades de la Administración Pública
Federal.

1.4. ¿Quiénes participan en la Administración de Riesgos?

Si bien la prevención y control de riesgos en la institución es responsabilidad de
todos, el Manual Administrativo de Aplicación General en Materia de Control
Interno establece tres participantes fundamentales:
Coordinador de Control Interno, entre otras sus funciones son:
o Acordar con el Titular de la Institución asuntos relacionados con la
metodología de administración de riesgos, las acciones para su
aplicación, los avances logrados, etc.

8
 o Comunicar la información anterior a las unidades administrativas de
la Institución.
o Coordinar y supervisar que el proceso de administración de riesgos
se implemente en apego a lo establecido.
o Junto con el Enlace de Administración de Riesgos, establecer la
propuesta de riesgos institucionales y revisar el proyecto de los
siguientes documentos y sus respectivas actualizaciones:
 Matriz de Administración de Riesgos Institucional.
 Mapa de Riesgos Institucional.
 Programa de Trabajo de Administración de Riesgos (PTAR).
 Reporte de Avances Trimestral del PTAR.
 Reporte anual del comportamiento de los riesgos.
o Difundir la Matriz de Administración de Riesgos, el Mapa de Riesgos
y el PTAR Institucionales, e instruir la implementación del PTAR a los
responsables de las acciones de control comprometidas y al Enlace
de Administración de Riesgos.
o Comunicar al Enlace de Administración de Riesgos, los riesgos
adicionales o cualquier actualización a la Matriz de Administración de
Riesgos, al Mapa de Riesgos y al PTAR Institucionales determinados
en el Comité u órgano de gobierno, según corresponda.
Enlace de Administración de Riesgos, que debe responsabilizarse,
entre otras de las siguientes tareas:
o Ser el canal de comunicación e interacción con el Coordinador de
Control Interno y las unidades administrativas responsables de la
administración de riesgos.
o Informar y orientar a las unidades administrativas sobre el
establecimiento de la metodología de administración de riesgos
determinada por la Institución, las acciones para su aplicación y los
objetivos y metas institucionales a los que se deberá alinear dicho
proceso.
o Revisar y analizar la información proporcionada por las unidades
administrativas en forma integral, y definir con el Coordinador de
Control Interno la propuesta de riesgos institucionales, a efecto de
elaborar y presentar a dicho Coordinador los proyectos
institucionales de los siguientes documentos:
 Matriz de Administración de Riesgos.
 Mapa de Riesgos Institucional.
 Programa de Trabajo de Administración de Riesgos (PTAR).
 Reporte de Avances Trimestral del PTAR.

9
  Reporte anual del comportamiento de los riesgos.
o Resguardar los documentos señalados en el inciso anterior que
hayan sido firmados, y sus respectivas actualizaciones.
o Dar seguimiento permanente al PTAR Institucional y actualizar el
Reporte de Avance Trimestral.
o Agregar en la Matriz de Administración de Riesgos, el PTAR y el
Mapa de Riesgos Institucionales, los riesgos adicionales o cualquier
actualización que sea determinada en el Comité o en el órgano de
gobierno.
Órgano Interno de Control:
o Apoyar a la institución de forma permanente, en las
recomendaciones formuladas sobre el proceso de administración de
riesgos.
o Promover que las acciones que se comprometan en el PTAR, se
orienten a: evitar, reducir, asumir o transferir los riesgos.
o Emitir opiniones no vinculantes, a través de su participación en los
equipos de trabajo que para tal efecto constituya el Enlace de
Administración de Riesgos.
o Presentar en las sesiones ordinarias del Comité o del órgano de
gobierno, según corresponda, su opinión y/o comentarios sobre el
Reporte de Avances Trimestral del PTAR.

10
2. Métodos y programas.

2.1. Metodología de la Administración de Riesgos.

La aplicación de la Administración de Riesgos se norma en el Manual
Administrativo de Aplicación General en Materia de Control Interno, emitido y
actualizado por la Secretaría de la Función Pública, y que entre otras cosas,
establece que siete etapas mínimas como Metodología para la Administración de
Riesgos en las instituciones:

I. Comunicación y Consulta.
II. Contexto.
III. Evaluación de Riesgos.
IV. Evaluación de Controles.
V. Valoración Final de Riesgos respecto a Controles.
VI. Mapa de Riesgos Institucional.
VII. Definición de Estrategias y Acciones de Control para Administración de
los Riesgos.

I. Comunicación y Consulta.
Consiste en:
Identificar y definir tanto los objetivos y metas de la institución como los
actores directamente involucrados en el proceso de administración de
riesgos.
Definir las bases y criterios que se deberán considerar para la identificación
de las causas y efectos de los riesgos, así como las acciones que se
adopten para su tratamiento.
Con el propósito de:
Establecer un contexto apropiado.
Asegurar que los objetivos y metas de la institución sean comprendidos y
considerados por los responsables de instrumentar el proceso de
administración de riesgos.
Asegurar que los riesgos sean identificados correctamente.
Constituir un grupo de trabajo en donde estén representadas todas las
áreas sustantivas de la institución para el adecuado análisis de los riesgos.

11
II. Contexto.
Esta etapa trata de:
Describir el entorno externo social, político, legal, financiero, tecnológico,
económico, ambiental y de competitividad de la institución, a nivel
internacional, nacional y/o regional.
Describir las situaciones intrínsecas a la institución relacionadas con su
estructura, atribuciones, procesos, objetivos y estrategias, recursos
humanos, materiales y financieros, así como su capacidad tecnológica, bajo
las cuales se pueden identificar sus fortalezas y debilidades para responder
a los riesgos que sean identificados.

III. Evaluación de Riesgos.

Incluye actividades para:
Identificación, selección y descripción de riesgos. Se realizará con base en los
objetivos y metas institucionales, para constituir el Inventario de Riesgos
institucional.
El riesgo se mide en términos de:
Impacto, que es la severidad de los efectos, cuando el riesgo se materialice.
Probabilidad de ocurrencia, es la posibilidad de que un evento suceda.
Si la conjunción de Impacto y Probabilidad es nula, quiere decir que el riesgo no
representa una amenaza para el proyecto, proceso o área.
En la descripción de los riesgos se deberá considerar la siguiente estructura
general:

Redacción adjetivo o adverbio

del riesgo Verbo en negativo,
Sustantivo
participio y/o complemento
circunstancial negativo.

Créditos Otorgados por debajo de la meta anual

Hipotecarios programada
Licencias y Otorgados irregularmente
Ejemplos
permisos
personas no Beneficiadas con el Programa Social XYZ
elegibles

12
Clasificación de los riesgos. Se realizará en congruencia con la descripción del
riesgo que se determine, de acuerdo a la naturaleza de la Institución.
Identificación de factores de riesgo. Los riesgos deben ser identificados a partir de
su causa, el impacto o los factores que de manera conjunta conforman o dan lugar
a un riesgo.
Causa. Es la situación que existe y que establece un riesgo potencial, la
causa es un hecho o una certidumbre para el proyecto, proceso o área.
Impacto. Es el resultado probable si el riesgo se presenta.
Factor de riesgo. Manifestaciones o características medibles u
observables de un proceso que indican la presencia de un riesgo o tienden
a aumentar la exposición del mismo.
En esta etapa de la Metodología se trata de describir los factores que puedan
contribuir a la materialización de un riesgo, considerándose como parte de los
insumos las causas que den origen, entre otros, a las observaciones determinadas
recurrentemente por las instancias de fiscalización.
Los factores de riesgo permiten obtener información adicional al riesgo para
asignarle una ponderación y determinar su alta, mediana o baja prioridad de
atención.
Identificación de los posibles efectos de los riesgos. Es la descripción de los
impactos estimados si el riesgo llega a concretarse, en dos dimensiones:
Valoración del grado de impacto antes de la evaluación de controles.
Valoración de la probabilidad de ocurrencia antes de la evaluación de
controles.
La valoración del grado de impacto y de la probabilidad de ocurrencia antes de la
evaluación de controles, se determinará sin considerar los controles existentes
para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está
expuesta la institución de no atenderlos adecuadamente.

IV. Evaluación de Controles.

Se realiza con tareas como:
Comprobar la existencia o no de controles para los factores de riesgo y, en su
caso, para sus efectos.
Describir los controles existentes para administrar los factores de riesgo y, en su
caso, para sus efectos.
Determinar el tipo de control:
Preventivo: Tiene el propósito de anticiparse a la posibilidad de que
ocurran situaciones inesperadas que pudieran afectar al logro de los
objetivos y metas.

13
 Detectivo: Opera en el momento en que los eventos están ocurriendo, su
función es identificar las omisiones o desviaciones antes de que concluya
un proceso determinado.
Correctivo: Opera en la etapa final de un proceso, y permite identificar y
corregir o subsanar en algún grado, las omisiones o desviaciones.
Identificar en los controles lo siguiente:
Deficiencia: Cuando no reúne alguna de las siguientes condiciones:
o Documentado.
o Autorizado
o Operando con evidencias de cumplimiento.
o Demuestra ser efectivo.
Suficiencia: Cuando está documentado, autorizado, operando con
evidencias de cumplimiento y es efectivo.
Determinar si el riesgo está controlado suficientemente, cuando todos sus factores
cuentan con controles suficientes.

V. Valoración Final de Riesgos Respecto a Controles.

Consiste en:
Asignar valor final al impacto y probabilidad de ocurrencia del riesgo, con
base en los resultados de las Etapas de Evaluación de Riesgos y
Evaluación de Controles.
Se considera que si el riesgo está controlado suficientemente, la valoración
del riesgo pasa a alguna escala inferior, de lo contrario, se mantiene el
resultado de la valoración inicial del riesgo antes de haber establecido los
controles.

VI. Mapa de Riesgos Institucional.

Con la información recopilada y validada en las etapas anteriores, se procede a
elaborar la Matriz de Administración de Riesgos Institucional, que es un tablero de
control que refleja el diagnóstico general de los riesgos para contar con un
panorama de los mismos.
Para complementar el análisis más detallado de los riesgos incluidos en la Matriz,
se dispone del Mapa de Riesgos Institucional, el cual es una representación
gráfica que distribuye los riesgos en cuadrantes, en función de la valoración final
del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical.

14
El Mapa de Riesgos Institucional contiene los siguientes cuadrantes:

Cuadrante I. Riesgos de Atención Inmediata. Son críticos por su alta

probabilidad de ocurrencia y grado de impacto, se ubican en la escala de
valor mayor a 5 y hasta 10 de ambos ejes.
Son clasificados como relevantes y de alta prioridad. Son riesgos críticos
que amenazan el logro de las metas y objetivos Institucionales y por lo tanto
pueden ser significativos por su grado de impacto y alta probabilidad de
ocurrencia. Deben ser reducidos o eliminados con un adecuado balanceo
de controles preventivos y detectivos, enfatizando los primeros. Es
indispensable el involucramiento de los responsables directos de las
funciones, programas, proyectos, operaciones o procesos; al momento de
identificar y/o proponer las acciones de mejora a los sistemas de control.
Cuadrante II. Riesgos de Atención Periódica. Tienen alta probabilidad de
ocurrencia ubicada en la escala de valor mayor a 5 y hasta 10 y bajo grado
de impacto de 0 y hasta 5.
Son significativos, sin embargo, su grado de impacto es menor que los
correspondientes al cuadrante anterior. Para asegurar que estos riesgos
mantengan una probabilidad relativamente baja y sean administrados
adecuadamente, los sistemas de control interno correspondientes, deberán
ser evaluados sobre la base de intervalos regulares de tiempo (una o dos
veces al año, dependiendo de la “confianza o grado de razonabilidad” que
se le otorgue al sistema de control del proceso de que se trate). El
conocimiento y experiencia logrados de las auditorías y revisiones de

15
 control realizadas en el transcurso del tiempo, proporcionan una base
adecuada para el control de estos riesgos.
Cuadrante III. Riesgos Controlados. Son de baja probabilidad de
ocurrencia y grado de impacto, se ubican en la escala de valor de 0 y hasta
5 de ambos ejes.
Estos riesgos requieren de un seguimiento y control interno mínimo, a
menos que una evaluación de riesgos posterior muestre un cambio
sustancial, y éstos se trasladen hacia un cuadrante de mayor impacto y
probabilidad de ocurrencia, en cuyo caso se aplican las medidas de control
correspondientes.
Cuadrante IV. Riesgos de Seguimiento. Tienen baja probabilidad de
ocurrencia con valor de 0 y hasta 5 y alto grado de impacto mayor a 5 y
hasta 10.
Los riesgos de este cuadrante son menos significativos pero tienen un alto
grado de impacto. Los sistemas de control interno que enfrentan este tipo
de riesgos deben ser revisados una o dos veces al año, para asegurarse de
que están siendo administrados correctamente y que su importancia no ha
cambiado debido a modificaciones en las condiciones internas o externas
de la Institución.

VII. Definición de Estrategias y Acciones de Control para Administración de

Riesgos.
Las estrategias son las opciones para administrar los riesgos, basados en su
valoración respecto a controles, lo que permitirá determinar las acciones de control
a implementar por cada factor.
Algunas de las estrategias que pueden considerarse son:
1. Evitar el riesgo. Se aplica antes de asumir cualquier riesgo. Se logra cuando
al interior de los procesos se generan cambios sustanciales por mejora,
rediseño o eliminación, resultado de controles suficientes y acciones
emprendidas.
2. Reducir el riesgo. Se aplica preferentemente antes de optar por otras
medidas más costosas y difíciles. Implica establecer acciones dirigidas a
disminuir la probabilidad de ocurrencia (acciones de prevención) y el
impacto (acciones de contingencia), tales como la optimización de los
procedimientos y la implementación de controles.
3. Asumir el riesgo. Se aplica cuando el riesgo se encuentra en el cuadrante
III, y puede aceptarse sin necesidad de tomar otras medidas de control
diferentes a las que se poseen, o cuando no se tiene opción para abatirlo y
sólo pueden establecer acciones de contingencia.
4. Transferir o compartir el riesgo. Implica la administración del riesgo con un
tercero que tenga la experiencia y especialización necesaria para asumirlo.

16
Las acciones de control para administrar los riesgos se definirán a partir de las
estrategias determinadas para los factores de riesgo, las cuales se incorporarán
en el PTAR Institucional.
Existen tres niveles de control para la Administración de Riesgos, que dependen
de factores como:
Naturaleza del impacto del riesgo, si se concreta.
Radio de afectación del impacto del riesgo, si se concreta.
Posición dentro de la estructura institucional donde se debe ejercer el
control.
Los niveles son:
Nivel Impacta en Impide Responsable de atenderlo
Estratégico Planeación Lograr la misión, visión, objetivos Titular de la dependencia y
y metas institucionales Órgano de Gobierno
Directivo Procesos Que la operación de los procesos Subdirectores y Jefes de Servicio.
y programas se realice 3º y 4º nivel,
correctamente.
Operativo Operación Que las acciones y tareas Jefes de Departamento y
requeridas en los distintos Operativos
procesos se ejecuten de manera
efectiva

2.2. Programa de Trabajo de Administración de Riesgos (PTAR).

Para la implementación y seguimiento de las estrategias y acciones generadas a
partir de la Metodología para la Administración de Riesgos en las instituciones, se
elabora el Programa de Trabajo de Administración de Riesgos Institucional, que
debe ser firmado por el Titular de la institución, el Coordinador de Control Interno y
el Enlace de Administración de Riesgos.
El PTAR incluye:
a) Los riesgos.
b) Los factores de riesgo.
c) Las estrategias para administrar los riesgos.
d) Las acciones de control registradas en la Matriz de Administración de
Riesgos Institucional, las cuales deberán identificar.
1. Unidad administrativa.
2. Valores numéricos del impacto y probabilidad de ocurrencia y
cuadrante de ubicación del riesgo.
3. Responsable de su implementación.
4. Las fechas de inicio y término.

17
 5. Medios de verificación.
El Reporte de Avances Trimestral del PTAR contendrá al menos lo siguiente:
I. Resumen de acciones comprometidas, cumplidas y en proceso, así como
sus porcentajes de avance.
II. Descripción de las principales problemáticas que obstaculizan el
cumplimiento de las acciones en proceso y propuestas de solución para
consideración del Comité u órgano de gobierno, según corresponda.
III. Resultados alcanzados en relación con los esperados.
IV. Firmas del Coordinador de Control Interno y del Enlace de
Administración de Riesgos.
El Reporte de Avances Trimestral del PTAR deberá presentarse por el
Coordinador de Control Interno en las sesiones ordinarias del Comité de Auditoría
como sigue:
a) Reporte de Avances del primer trimestre en la segunda sesión.
b) Reporte de Avances del segundo trimestre en la tercera sesión.
c) Reporte de Avances del tercer trimestre en la cuarta sesión.
d) Reporte de Avances del cuarto trimestre en la primera sesión de cada
año.
La evidencia documental y/o electrónica suficiente, competente, relevante y
pertinente que acredite la implementación y avances reportados, será resguardada
por los servidores/as públicos/as responsables de las acciones comprometidas en
el PTAR institucional y estará a disposición de los órganos fiscalizadores.
El Reporte anual del comportamiento de los riesgos, con relación a los
determinados en la Matriz de Administración de Riesgos Institucional del año
inmediato anterior, debe contener la información como:
I. Comparativo del total de riesgos por cuadrante.
II. Variación del total de riesgos y por cuadrante.
III. Riesgos identificados y cuantificados con cambios en la valoración final
de probabilidad de ocurrencia y grado de impacto, así como los modificados
en su conceptualización.
IV. Conclusiones sobre los resultados alcanzados en relación con los
esperados, tanto cuantitativos como cualitativos, de la administración de
riesgos.
El Reporte anual del comportamiento de los riesgos, tiene el propósito de
fortalecer el proceso de Administración de Riesgos y el Titular de la Institución lo
presentará al Comité o al órgano de gobierno, según corresponda, en su primera
sesión ordinaria de cada ejercicio fiscal.
La elaboración del Programa de Trabajo de Administración de Riesgos requiere de
un proceso cuyos principales participantes y actividades son:

18
 Responsable(s) Actividad(es)
INICIO
1 Titular de la dependencia y Acuerdan la metodología y los objetivos y
Coordinador Control metas institucionales a aplicar.
Interno.
2 Enlace Administración de Aplica la metodología, asesora y orienta a
Riesgos Institucionales las Unidades Administrativas
3 Unidades Administrativas Documentan sus riesgos y remiten su
matriz de riesgos y controles al Enlace
4 Enlace Administración de Revisa y analiza la información
Riesgos Institucionales proporcionada por las Unidades
Administrativas, y elabora el proyecto
institucional de Matriz, Mapa y PTAR
5 Órgano Interno de Control Revisa el proyecto institucional y emite
observaciones a fin de promover las
acciones comprometidas orientadas a la
mitigación de los riesgos.
6 Titular, Coordinador CI y Firman la Matriz, Mapa y PTAR
Enlace de ARI Institucionales
7 Coordinador CI Difunde los Documentos formalizados e
instruye la implementación del PTARI.
8 Unidades Administrativas Realizan las acciones comprometidas en
el PTAR, remiten los avances al Enlace y
resguardan las evidencias.
9 Enlace de ARI Da seguimiento al PTARI, elabora los
Reportes Trimestrales de Avance y el
Reporte Anual del Comportamiento de los
Riesgos.
10 Titular, Coordinador CI y Firman los reportes y los presentan al
Enlace ARI. Comité de Auditoria

FIN

19
3. Los riesgos que enfrentamos.

3.1. Nuestro contexto.

El Plan Nacional de Desarrollo 2013-2018 enfatiza la urgencia del Desarrollo
Social para un México Incluyente, y entre sus premisas destaca el acceso a
vivienda digna infraestructura social básica y desarrollo territorial.
Para atender el crecimiento de la población se estima que en los próximos 20
años se demandarán 10.8 millones de soluciones de vivienda, para satisfacer la
creación de nuevos hogares.
Para cumplir con lograr un México Incluyente, en FOVISSSTE nos corresponde
proveer un entorno adecuado para el desarrollo de una vivienda digna y el
mejoramiento de los espacios públicos.
Por otra parte, la Política Nacional de Vivienda consiste en un nuevo modelo
enfocado a:
Promover el desarrollo ordenado y sustentable del sector.
Mejorar y regularizar la vivienda urbana.
Construir y mejorar la vivienda rural.
Esta Política implica:
Lograr una mayor y mejor coordinación interinstitucional.
Transitar hacia un modelo de desarrollo urbano sustentable e inteligente.
Reducir de manera responsable el rezago en vivienda.
Procurar una vivienda digna para los mexicanos.
La nueva estrategia de Política de Vivienda se da bajo un contexto poco favorecer
para el sector:
Poca coordinación entre las instituciones del sector.
Especulación en las reservas de tierra.
Crecimiento incontrolado de la Mancha Urbana.
Incremento en la cartera vencida del sector y en las viviendas
abandonadas.
Dentro de las acciones efectivas para cumplir con los objetivos de proporcionar
vivienda digna, se propone orientar los créditos y subsidios del Gobierno de la
República hacia proyectos que fomenten el crecimiento urbano ordenado.
Dado el nuevo contexto del sector de vivienda establecido en el Plan Nacional de
Desarrollo, la contribución del sector en el PIB y en el Ingreso Nacional, así como
del reto que representa para FOVISSSTE la reducción de la brecha de la
demanda por vivienda, la presente administración se dio a la tarea de

20
redimensionar la visión institucional mediante un diagnóstico de la organización,
de sus procesos sustantivos e infraestructura informática.
El uso efectivo de Indicadores de Desempeño Institucional y su interpretación han
permitido la toma de decisiones y la gestión estratégica entorno a los riesgos que
enfrenta el alcance de los objetivos y metas del FOVISSSTE.

3.2. Planes y Riesgos en el FOVISSSTE.

El FOVISSSTE considera prioritario impulsar acciones propositivas en áreas
como:
Crédito
Desarrollo de nuevos esquemas de crédito.
Alternativas al sorteo.
Reducir los tiempos de otorgamiento de crédito.
Mejora de procesos en los que participan instituciones y terceros.
Redefinición de esquemas de promoción de crédito.
Financiamiento
Contar con recursos suficientes disponibles para el otorgamiento de
crédito.
Acceso a recursos mediante mezcla de garantías de cartera para
bursatilización y líneas de almacenaje SHF.
Mejorar los mecanismos de cobranza.
Mantener el valor real del Fondo respecto a la inflación.
Apoyo de Tecnologías de la Información
Revertir el rezago de la infraestructura tecnológica para mitigar el riesgo
de obsolescencia de los equipos.
Para la ejecución de nuestros planes de acción existen riesgos relevantes, entre
los que figuran:
Información financiera proporcionada para la toma de decisiones no
confiable.
Alertas Tempranas de los indicadores macroeconómicos y financieros.
Alineado al cumplimiento de estrategias institucionales.
Garantías hipotecarias registradas sin cumplir con condiciones de
habitabilidad. Validación de habitabilidad (Dictamen Técnico Único DTU) y
Prueba piloto para deducir de nómina la cuota de mantenimiento de la
vivienda. Alineado al cumplimiento de la misión institucional de generación
de bienestar mediante vivienda oportuna, suficiente y adecuada y a la
optimización de la recuperación de cartera.

21
 Oferta de vivienda registrada sin considerar el uso eficiente y racional
de los recursos naturales y calidad del medio ambiente. Validación de
sustentabilidad con la obligatoriedad de eco-tecnologías. Alineado a
estrategias institucionales y cumplimiento de la misión institucional de
generación de bienestar mediante vivienda oportuna, suficiente y adecuada.
Recuperación de cartera de crédito lograda sin cumplir la meta
programada. Actualización de Bases de Datos de PENSIONISSSTE e
ISSSTE, proceso de seguimiento con entidades morosas. Alineado a
estrategias y metas institucionales, optimización de recuperación de
cartera.

3.3. ¿Qué otros riesgos podemos enfrentar?

Como institución relacionada con el sector financiero, en FOVISSSTE enfrentamos
una gran variedad de riesgos, entendidos como pérdidas potenciales, regulados
por la Comisión Nacional Bancaria y de Valores:

Riesgos Cuantificables. Son los que permiten usar una unidad de medida
para establecer el alcance de las pérdidas.
o Riesgos Discrecionales. Son resultado de exponer el capital a una
posición de riesgo.
 Riesgo de Crédito. Falta de pago del acreditado o contraparte.
 Riesgo de Liquidez. Imposibilidad de renovar pasivos
 Riesgo de Mercado. Cambios en posiciones de tasa de
interés, tipo de cambio e índices de precios.
o Riesgos No Discrecionales. Resultantes de la realización de las
propias actividades de la Institución.
 Riesgos Operacionales. Por fallas o deficiencias en los
controles internos, por errores en el procesamiento y
almacenamiento de las operaciones o en la transmisión de la
información, así como por resoluciones administrativas y
judiciales adversas, fraudes, o robos.
 Riesgo legal. Por incumplimiento de las disposiciones legales
y administrativas y por sanciones oficiales impuestas.
 Riesgo Tecnológico. Por daños, interrupción, alteración o
fallas en el uso de hardware, software, sistemas, aplicaciones,
redes y canales de comunicación.
Riesgos No Cuantificables. Son derivados de eventos imprevistos y no
permiten medir la posibilidad de pérdidas potenciales.
o Riesgo Reputacional. Pérdidas por el desprestigio de la Institución.

22
 o Riesgo de Entorno. Pérdidas asociadas a la situación del país y
eventualidades de la naturaleza.
o Riesgo Estratégico. Pérdidas por malas decisiones de la Alta
Dirección en el logro de las metas y objetivos Institucionales.

El FOVISSSTE tiene un compromiso ineludible con el cumplimiento de las

iniciativas gubernamentales para dotar a las trabajadoras y los trabajadores al
servicio del Estado de una vivienda digna. Los riesgos inherentes a nuestro
desempeño cotidiano, en todos los niveles y áreas de la institución, representan
retrasos y obstáculos para el cumplimiento de nuestra misión y visión, y por lo
tanto es deber de todos quienes colaboramos en la institución, trabajar
constantemente en convertir la Administración de Riesgos en una herramienta
vigorosa que nos permita superar airosamente cualquier situación adversa.

23