GUÍA METODOLÓGICA – TALLER DE RIESGOS

PARA LA IDENTIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS EN LOS

PRODUCTOS O PROCESOS DEL INSTITUTO NACIONAL DE SALUD DEL NIÑO DE
BREÑA

La Guía de Evaluación de Riesgos para el Instituto Nacional del Niño - Breña está
estructurada para que pueda ser aplicada por todo personal de la Entidad, ya que
contiene las actividades a desarrollarse en las Reuniones de Trabajo – Taller Práctico
para una administración de riesgos efectiva y está elaborada con base en la Resolución
de Contraloría N° 146-2019-CG – Directiva N° 006-2019-CG/INTEG “Implementación del
Sistema de Control Interno en las Entidades del Estado”, así como las mejores prácticas
internacionales en esta materia.

La Reunión de Trabajo- Taller Practico se llevará a cabo mediante el cumplimiento de las

actividades y el llenado del Formato para identificar, evaluar, tratar y comunicar los
riesgos.

Objetivo

Identificación, Evaluación y Respuesta de Riesgos a los que se encuentran expuestos sus

productos, procesos críticos, mediante la identificación, evaluación, análisis, respuesta,
control, supervisión y comunicación adecuada de esos posibles eventos, con la finalidad
de asegurar de forma razonable que se lograrán los objetivos institucionales en términos
de eficacia, eficiencia y economía en un marco de transparencia y rendición de cuentas.

Alcance

La Guía, proporciona las actividades para establecer y mantener un marco técnico para la
administración general de riesgos.

Actividades

1. Relación de los Dueños o Gestores de los procesos coordinados por el Instituto

Nacional de Salud del Niño Breña.

2. Se deberá alcanzar la Guía Metodológica adjunta, con el propósito que cada Dueño
o Gestor del Proceso la estudie y analice el marco teórico.

3. Después, cada Dueño o Gestor de los procesos procederá a obtener la normativa

interna y/o externa relacionada al proceso, así como identificar el aplicativo que lo
soporta.

4. Para el Trabajo Práctico deben contar normativa interna y/o externa

relacionada al proceso, producto en cual será objeto de evaluación, así como
la relación del o los aplicativos que lo soporta.

5. Se conformarán Equipos de Trabajo como mínimo seis (06) participantes que

trabajarán en un ambiente adecuado con equipo PC o Laptop.
6. El facilitador iniciara la reunión con la explicación Metodológica a seguir y las
herramientas que se van a utilizar, específicamente el llenado y la utilización del
Formato para la Identificación, Valoración y Respuesta al Riesgo.

7. La identificación de Riesgos se efectuará con una Tormenta de Ideas y otras

herramientas y se analizara cada actividad del proceso / acción estratégica
relacionada al producto que se brindan.

8. Cada equipo efectuará un Inventario de Riesgos relacionados a la acción estratégica

(producto), para lo cual tendrá el acompañamiento del facilitador.

9. Con el Inventario de Riesgos se procederá a un análisis si es Riesgo se

encuentra relacionado a la acción estratégica, deben seleccionar como mínimo
un (01) riesgo que será evaluado, el máximo es cuatro riesgos.

10. Después se deberá a proceder a Evaluarlos de acuerdo a la Guía Metodológica y se

incluirá en el Formato (Matriz de Riesgos) elaborado para este taller.

11. El Equipo de Trabajo con la normatividad del proceso y el aplicativo que lo soporta
establecerá los controles que se tiene implementado, analizando si son los más
adecuados.

12. Estos controles identificados, también serán incluidos en el Formato, así como la
propuesta de mejorar los controles.

13. Con el Formato debidamente llenado se efectuará el Mapa de Riesgos y se efectuar

un análisis de control de calidad de los riesgos identificados.

14. Al final se tendrá la Matriz de Riesgos, Mapa de Riesgos y Plan de Acción.

 GUÍA METODOLÓGICA – TALLER DE RIESGOS

PARA LA IDENTIFICACIÓN DE RIESGOS

Objetivo: Identificar eventos de riesgos que puedan imposibilitar el logro del objetivo(s)
del proceso, que estará bajo análisis.

I. DEFINICIÓN DE TÉRMINOS

a. Apetito por el Riesgo: Nivel de riesgo que él está dispuesto a asumir en su

búsqueda de rentabilidad y valor.

b. Evento o Incidencia: Suceso o serie de sucesos causados por factores

internos o externos al y que afectan a la consecución de algún objetivo. El
evento o incidencia es la materialización de un riesgo que puede estar
identificado o no.

c. Impacto: El resultado o efecto de un evento. El impacto de un evento puede

ser positivo o negativo sobre los objetivos relacionados de la
entidad/dependencia. En caso sea negativo podría expresarse en términos
monetarios como pérdida.

d. Plan Estratégico Institucional (PEI): Instrumento de gestión que identifica la

estrategia de la entidad para lograr sus objetivos, en un periodo mínimo de
tres (3) años, a través de iniciativas diseñadas para producir una mejora en la
población a la cual se orienta y cumplir su misión. Contiene los Objetivos y las
Acciones Estratégicas Institucionales.

e. Probabilidad: Probabilidad de ocurrencia de la materialización de un riesgo.

Puede determinarse con base en información histórica o, en su defecto, con
base en la experiencia y los conocimientos del personal involucrado en los
procesos analizados.

f. Producto: Bien o servicio que proporcionan las entidades/dependencias del

Estado a una población beneficiaria con el objeto de satisfacer sus
necesidades.

g. Riesgo: Posibilidad de que ocurra un evento adverso que afecte el logro de

los objetivos de la entidad/dependencia

h. Taller participativo: Espacio de discusión grupal, en el cual un conjunto de

participantes presenta sus puntos de vista sobre temas determinados,
extraídos a través de herramientas como árboles de problemas, mapas
conceptuales o esquemas de procesos, entre otros.

i. Tolerancia al riesgo: Son los niveles de riesgos que la entidad no acepta y

que por lo tanto debe adoptar acciones de mejora a través del fortalecimiento
de las actividades de control establecidas, a fin de asegurar que la entidad
permanezca dentro del riesgo aceptado.
j. Nivel de Riesgo Absoluto: Es aquel al que se enfrenta una entidad en
ausencia de acciones de control para reducir su frecuencia y/o impacto.

k. Nivel de Riesgo Residual: Es el riesgo al que se enfrenta una entidad,

considerando el efecto que tienen los controles existentes y/o los planes de
acción sobre el riesgo absoluto.
II. METODOLOGÍA PARA LA GESTIÓN DE RIESGOS

ETAPAS DEL PROCESO DE GESTIÓN DEL RIESGO

El proceso de gestión del riesgo en la institución comprende las etapas de

identificación, evaluación, tratamiento, actividades de control, información y
comunicación y monitoreo; las mismas que se detallan a continuación:

II.1. IDENTIFICACIÓN DE LOS RIESGOS

Etapa que consiste en identificar los riesgos asociados a un proceso o

actividad, así como sus principales causas, controles existentes, entre otras
características.

COMPRENSIÓN DEL CONTEXTO INTERNO – EXTERNO: Proceso

mediante el cual, se identifican elementos o circunstancias internas y
externas, que tienen influencia en el proceso de la entidad y afecten el logro
de sus objetivos, su comprensión ayudara a determinar el alcance de las
etapas de la gestión de riesgos.

El contexto externo, implica identificar aquellos elementos que tienen

influencia en el desarrollo de los procesos, y pueden ser determinantes en el
logro de sus objetivos, incluyen a los aspectos regulatorios, legales,
financieros, tecnológicos, económicos, naturales, a nivel internacional,
nacional, regional o local, factores y tendencias, así como las relaciones con
las partes interesadas externas (clientes, proveedores, entidades del estado
reguladores etc.).

El contexto Interno, comprende su cultura organizacional, la forma como está

organizada (cargos, funciones, responsabilidades, políticas, objetivos,
procedimientos entre otros), sistemas de información (aplicativos), activos de
información, flujo de información, proceso de toma de decisiones (tanto
formales como informales) comprensión de la gestión de riesgos por parte del
recurso humano.

La comprensión, ayudara a determinar el alcance que tendrán las siguientes

etapas que comprenden el Proceso de la Gestión de Riesgos.

Para la identificación y redacción de Riesgos tenga en consideración las

preguntas formuladas en el Anexo N° 1.

II.2. CLASIFICACIÓN DE LOS RIESGOS

Durante el proceso de identificación del riesgo se recomienda hacer una
clasificación de los mismos teniendo en cuenta los siguientes conceptos:

1. Riesgo Estratégico:
Se asocia con la forma en que se administra la entidad. El manejo del
riesgo estratégico se enfoca en asuntos globales relacionados con la
misión y el cumplimiento de los objetivos estratégicos, la clara definición
 de políticas y el diseño y conceptualización de la entidad por parte de la
Alta Dirección.

2. Riesgo Operacional / Operativo

 Posibilidad de pérdidas debido a procesos inadecuados, fallas del

personal, de la tecnología de información o eventos externos. Esta
definición incluye el riesgo legal, pero excluye el riesgo estratégico
y de reputación.

 Comprende los riesgos relacionados tanto con la parte operativa

como técnica de la entidad, incluye riesgos provenientes de
deficiencias en los sistemas de información, en la definición de los
procesos, en la estructura organizacional, en la desarticulación
entre dependencias, lo cual conduce a ineficiencias, oportunidades
de corrupción e incumplimiento de los compromisos institucionales.

3. Riesgo Financiero:

Se relacionan con el manejo de los recursos de la entidad e incluye, la

ejecución presupuestal, la elaboración de los estados financieros, los
pagos, manejos de excedentes de tesorería y el manejo sobre los
bienes. De la eficiencia y transparencia en el manejo de los recursos, así
como su interacción con las demás áreas dependerá en gran parte el
éxito o fracaso de toda entidad.

4. Riesgos de Cumplimiento:

Se asocian con la capacidad de la entidad para cumplir con los

requisitos legales, contractuales, de ética pública y en general con su
compromiso ante la comunidad.

5. Riesgo de Corrupción

Posibilidad de que, por acción u omisión, se use el poder para desviar la

gestión de lo público hacia un beneficio privado.

La Resolución de Contraloría N° 146-2019-CG, Directiva N° 006-2019-

CG/INTEG, establece que el riesgo de corrupción se relaciona a la
comisión de delitos contra la administración pública tales como:

 Cobro indebido

El delito de cobro indebido establece entre otros, que el

funcionario mediante intimidación fáctica de la condición que le
asiste, exige el pago o entrega de alguna contribución u
honorarios no debidos, por lo que la voluntad del agente está
dirigido a compeler la voluntad de otra persona para obtener
dicho beneficio. Debe precisarse que aquello “no debido” (cobro
indebido) es lo ilegítimo, esto es, aquella exigencia será ilegítima
 cuando no está autorizada por la ley o reglamento vigente, o
cuando siendo legal en sí misma tiene por objetivo una suma que
el particular ha pagado o que no debe.

 Colusión:

La colusión es un delito que se concreta bajo el acuerdo

clandestino alcanzado entre dos o más personas para perjudicar
a un tercero. En el Código Penal peruano, existen dos
modalidades.

La colusión ilegal simple, que se configura cuando un funcionario

público concerta con un tercero para defraudar al Estado. Este
puede darse, por ejemplo, dentro de un proceso de compra de
obras públicas y bienes y es descubierto antes de afectar el
patrimonio estatal.

Por su parte, la colusión ilegal agravada ocurre cuando el delito

se ha consumado y se ha afectado el patrimonio del Estado.
Entonces, se sanciona con cárcel de seis a 15 años.

Elementos básicos de la colusión

Sujeto activo: el sujeto activo del delito será el funcionario

público con capacidad de incidir en el proceso de contratación,
no es necesario que tenga facultades para suscribir el contrato o
pertenezca al comité de selección.

Concertación: la concertación es el acuerdo ilícito entre el

funcionario público y el particular interesado. Este acuerdo se
lleva a cabo de forma dolosa y posee un carácter ilícito y está
dirigido a defraudar al Estado.

Contexto de contratación estatal: la contratación pública se

realiza en el marco de cualquier tipo de operación, contrato
administrativo o civil que tenga naturaleza económica con
participación estatal. No es necesario que esté regido por la Ley
de Contrataciones del Estado

 Peculado

De acuerdo con nuestro ordenamiento jurídico, el delito de

peculado sanciona al funcionario o servidor público que se
apropia o usa, para sí o para otro, caudales o efectos cuya
percepción, administración o custodia le están confiados por
razón de su cargo.

 Malversación
 El delito de malversación de fondos consiste en adquirir dinero
perteneciente a otra persona. Puede tratarse de un funcionario
que se hace con dinero de los fondos públicos. Por otro lado, el
del empleado que roba el dinero haciendo algún tipo de
transferencia a su cuenta de forma ilegal. Existen muchas
maneras de llevar a cabo este delito, y al parecer se ha puesto
de moda.

 Soborno

Una oferta, promesa, entrega, aceptación o solicitud de una

ventaja indebida de cualquier valor (que puede ser de naturaleza
financiera o no financiera), directamente o indirectamente, e
independiente de su ubicación, en violación de la ley aplicable,
como incentivo o recompensa para que una persona actúe o deje
de actuar en relación con el desempeño de las obligaciones de
esa persona.

 Cohecho

El cohecho se define como el soborno entre cargos de la

administración pública. Con esto se hace referencia a que para
que se produzca cohecho, al menos que uno de los implicados
debe ser un trabajador de la administración pública. Este tipo de
acciones corruptas se enmarca dentro de lo que serían las
relaciones económicas existentes entre el sector público y el
privado.

 Trafico de influencias

El que, invocando o teniendo influencias reales o simuladas,

recibe, hace dar o prometer para sí o para un tercero, donativo o
promesa o cualquier otra ventaja o beneficio con el ofrecimiento
de interceder ante un funcionario o servidor público que ha de
conocer, esté conociendo o haya conocido un caso judicial o
administrativo, será reprimido con pena privativa de libertad no
menor de cuatro ni mayor de seis años y con ciento ochenta a
trescientos sesenta y cinco días-multa.

 Enriquecimiento ilícito

La existencia del incremento patrimonial de un funcionario

público, cuando este es muy superior a los que regularmente
hubiera podido alcanzar como resultado de sus ingresos
legítimos.

6. Riesgos de Tecnología:
 Se asocian con la capacidad de la entidad para que la tecnología
disponible satisfaga sus necesidades actuales y futuras y soporte el
cumplimiento de su misión.

7. Riesgo de Reputación

Posibilidad de pérdidas por la disminución de la confianza en la

integridad de la institución que surge cuando el buen nombre de la
entidad es afectado. El riesgo de reputación puede presentarse a partir
de otros riesgos inherentes en las actividades de una organización.

II.3. CAUSA

CAUSA:
Causas (factores internos o externos): Son los medios, las circunstancias y
agentes generadores de riesgo. Los agentes generadores entendidos como
todos los sujetos u objetos que tienen la capacidad de originar un riesgo; se
pueden clasificar en cuatro categorías: personas, materiales, instalaciones y
entorno.

Para la redacción de la causa tenga en consideración los lineamientos

formulados en el Anexo N° 1.

II.4. FACTORES DE RIESGO OPERACIONAL

Los riesgos operacionales pueden originarse debido a cuatro factores:

personal, procesos internos, tecnología de información y eventos externos.

a) Personal
Comprende la posibilidad de pérdidas relacionadas a negligencia, error
humano, sabotaje, fraude, robo, paralizaciones, apropiación de
información sensible, lavado de dinero, falta de especificaciones claras
en los términos de contratación del personal, entre otros. Se puede
también incluir pérdidas asociadas a la insuficiencia de personal o
personal con destrezas inadecuadas, entrenamiento y capacitación
inadecuada o falta de rotación del trabajador.

b) Procesos internos
Identifica la posibilidad de pérdidas relacionadas con el diseño
inapropiado de los procesos críticos, o con políticas y procedimientos
inadecuados o inexistentes que puedan tener como consecuencia el
desarrollo deficiente de las operaciones y servicios o la suspensión de
los mismos. En tal sentido, podrán considerarse entre otros, los riesgos
asociados a las fallas en los modelos utilizados, los errores en las
transacciones, la evaluación inadecuada de contratos o de la
complejidad de productos, operaciones y servicios, los errores en la
información contable, la insuficiencia de recursos para el volumen de
 operaciones, la inadecuada documentación de transacciones, así como
el incumplimiento de plazos y presupuestos planeados.

c) Tecnología de información
Incluye la posibilidad de pérdidas financieras derivadas del uso
inadecuado de sistemas de información y tecnologías relacionadas, que
pueden afectar el desarrollo de las operaciones y servicios que realiza la
institución al atentar contra la confidencialidad, integridad y
disponibilidad de la información. Se considera los riesgos derivados de
fallas en la seguridad y continuidad operativa de los sistemas TI, errores
en el desarrollo e implementación de dichos sistemas y su
compatibilidad e integración, problemas de calidad de información,
inadecuada inversión en tecnología y fallas para alinear la TI con los
objetivos de negocio, la recuperación inadecuada de desastres y/o la
continuidad de los planes de negocio.

d) Eventos externos
Comprende la posibilidad de pérdidas derivadas de la ocurrencia de
eventos ajenos al control de la entidad, que pueden alterar el desarrollo
de sus actividades, afectando a los procesos internos, personas y
tecnología de información.

Entre otros factores, se podrán tomar en consideración los riesgos que

implican las contingencias legales, las fallas en los servicios públicos, la
ocurrencia de desastres naturales, atentados y actos delictivos, fallas en
servicios críticos provistos por terceros, el cambio constante de leyes,
regulaciones o guías, así como el riesgo político, pandemias.

II.5. EFECTO / IMPACTO:

Efectos (consecuencias): Constituyen las consecuencias de la ocurrencia del
riesgo sobre los objetivos de la entidad; generalmente se dan sobre las
personas o los bienes materiales o no materiales con incidencias importantes
como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad y de confianza, interrupción
del servicio y daño ambiental.

Para la redacción del efecto tenga en consideración los lineamientos

formulados en el Anexo N° 1.

II.6. EVALUACIÓN DE RIESGOS

RIESGO INHERENTE (NRI)

El riesgo inherente es propio del trabajo o proceso, que no puede ser

eliminado mientras éste subsista; es decir, en todo trabajo o proceso se
encontrarán riesgos para la ejecución de la actividad en sí misma; sin tener en
cuenta los controles que de éste se realicen a su interior.

Este riesgo surge de la exposición que tiene la actividad en particular y de la

probabilidad que un evento negativo afecte el logro de los objetivos
estratégicos y/o de sus Productos.

Criterios para evaluar el riesgo:

Probabilidad: Probabilidad de ocurrencia de la materialización de un riesgo.

Puede determinarse con base en información histórica o, en su defecto, con
base en la experiencia y los conocimientos del personal involucrado en los
procesos analizados.

Impacto: El resultado o efecto de un evento. El impacto de un evento puede

ser positivo o negativo sobre los objetivos relacionados de la
entidad/dependencia. En caso sea negativo podría expresarse en términos
monetarios como pérdida.

Para ello se usará la siguiente tabla:

 IMPACTO

DESCRIPCIÓN

VALOR NIVEL
IMPACTO EN LA REPUTACIÓN Y/O LEGAL IMPACTO EN LAS ACTIVIDADES PÉRDIDAS

Paralización de algún sistema administrativo del

Se toma conocimiento de la acción y no es necesaria
Entidad durante máximo cuatro (04) horas laborables
su atención por los órganos.
de un día.

Sin publicidad en medios formales como diarios y El personal se dedica menos del 10% de su tiempo
televisión. laboral para manejar el impacto.
Pérdida Bruta menor o
4 Bajo
igual a 1UIT
Interrupción de los sistemas CORE de la Entidad
Sin investigación interna en cada órgano.
durante máximo diez (10) horas laborables al año.

Sin Impacto normativo y/o legal, pérdida

Sin impacto en el cumplimiento de las metas.
insignificante.

Paralización de algún sistema administrativo de la

Recibe atención de la Alta Dirección.
Entidad por un día completo hasta dos días.

Cobertura moderada de medios de comunicación El personal se dedica entre el 21% y el 30% de su

nacionales. tiempo laboral para manejar el impacto. Pérdida Bruta mayor a 1
6 Medio UIT y menor o igual a 10
Observaciones del Órgano de Control Institucional Interrupción de los sistemas CORE de la Entidad UIT
sobre la gestión interna de la Entidad durante máximo treinta (30) horas laborables al año.

Desfase de cumplimiento de normativas, pudiendo Desviación del 1% al 10% respecto de la meta

generar pérdidas. planteada.

Paralización de algún sistema administrativo de la

Recibe atención del Sector. Entidad por más de dos (02) días y menos de cuatro
(04) días.

El personal se dedica entre el 31% y el 40% de su

Cobertura de medios de comunicación nacionales.
tiempo laboral para manejar el impacto Pérdida Bruta mayor a 10
8 Alto UIT y menor o igual a 90
UIT
Hallazgo del Órgano de Control Institucional sobre la Interrupción de los sistemas CORE de la Entidad entre
gestión interna de la Entidad treinta (30) y sesenta (60) horas laborables al año.

Desviación del porcentaje de participación del monto

Sanciones administrativas y contingencias legales,
contratado de 11% al 25% respecto de la meta
ocasiona pérdidas.
planteada.

Paralización de algún sistema administrativo de la

Recibe atención del Sector y del Congreso.
Entidad por más de cuatro (04) días.

Alta cobertura de medios de comunicación nacionales El personal se dedica más del 40% de su tiempo
y cobertura por medios de comunicación extranjeros. laboral para manejar el impacto.
Pérdida Bruta mayor a 90
10 Muy Alto
UIT
Hallazgo de la Contraloría sobre la gestión interna de Interrupción de los sistemas CORE de la Entidad más
la Entidad de sesenta horas laborables al año.

Contingencias judiciales y multas impuestas, pérdidas Desviación de más del 25% respecto de la meta
muy significativas. planteada.
NIVELES DE RIESGOS

MAPA DE RIESGOS

R2

R1
II.7. CONTROLES ACTUALES (VIGENTES)

Se tomará en cuenta las actividades de control existentes las cuales se

podrán identificar en cada uno de los procesos analizados, se evaluará si
estas son suficientes para asegurar la respuesta a los riesgos.

Para la evaluación de los Controles actuales se observarán las siguientes

características en su Diseño:

a) Controles según el tipo

b) Controles según su ejecución
c) Controles según su documentación
d) Controles según su periodicidad
e) Controles según su responsabilidad
f) Controles según Segregación de funciones

a) Control según el tipo

Control Preventivo: Actúan sobre la causa de los riesgos, con el fin de

disminuir su probabilidad de ocurrencia, y constituyen la primera línea de
defensa. Sirven para frenar ciertas transacciones antes de su ejecución.
Ejemplos: Revisión de firmas y saldo antes de efectuar un pago.

Control Detectivo: Sirven para supervisar la ejecución del proceso,

ofrecen la segunda barrera de seguridad frente a los riesgos, pueden
informar y registrar la ocurrencia de los hechos no deseados, accionar
alarmas, bloquear la operación de un sistema, monitorear, o alertar a los
trabajadores. Se diseñan para alertar sobre la presencia de los riesgos,
permitiendo tomar acciones inmediatas. Ejemplos: sistema de alarma,
doble verificación de cálculos.

Controle Correctivo: Identifica desviaciones cuando el riesgo se

materializado. Permiten el restablecimiento de la actividad después de
ser detectado un evento no deseable y la modificación de las acciones
que propiciaron su ocurrencia. Estos controles actúan cuando ya se han
presentado hechos que implican pérdidas para la entidad. Ejemplos:
planes de contingencia, seguros.

b) Control según su ejecución

Manual: Son ejecutados por el personal que interviene en el proceso,

las acciones de control son manuales Ejemplos: Registro en formatos,
firmas para autorizar, cálculos manuales, conciliaciones manuales.

Automatizado: Son aplicados a través de sistemas de información

automatizados. Aseguran la correcta captación de la información y
 procedimientos de autorización y aprobación por parte de los
responsables.

Combinado: Su aplicación es parcialmente automatizada, combina

acciones de control manuales Ejemplos: Verificaciones de documentos,
autorizaciones, registro de datos en aplicativos.

c) Control según documentación

Documentado: Los controles están apoyados en documentos

normativos actualizados (manual de organización y funciones, manuales
de procedimientos, circulares, directivas, Etc.)

Desactualizada: Se cuenta con documentos normativos de respaldo a

la aplicación de los controles, pero estos son parciales y no detalla en
forma clara y precisa el procedimiento de control, como se vienen
ejecutando los controles actualmente.

Sin Documentar: Los controles se realizan en base a la experiencia y al

criterio del funcionario, no cuentan con documentación que lo sustente.

d) Control según su periodicidad

Continuo: Se aplica en forma constante cada vez que se ejecuta la

transacción, operación o actividad; se debe considerar además si es
adecuado o no que el control sea continuo.

Periódico: Pueden ser anuales, semestrales, mensuales, quincenales,

semanales o diarios dependiendo de la ejecución de las operaciones,
transacciones o actividades; se debe considerar además si es adecuado
o no que el control sea periódico.

Esporádico: Se aplican en forma ocasional, de acuerdo al criterio del

funcionario responsable.

e) Control según la asignación de responsabilidad

Asignada y formalizada: La responsabilidad del funcionario que ejecuta

el control se encuentra definida y se sustenta en documentos
normativos.

Asignada no formalizada: Se ha definido el responsable de la

ejecución del control, pero no cuenta con documento normativo que
respalde la ejecución del control.

No asignada: No se ha definido el responsable de la ejecución del

control, pudiéndolo ejecutar diversas personas.

f) Control según segregación de funciones

 Adecuada segregación: La responsabilidad de las actividades de control (Autorización,
Registro, Procesamiento, Revisión, Control, Custodia y Archivo), son ejecutadas por
diversas unidades orgánicas y/o personas que participan en la ejecución de un Proceso,
y son concordantes con lo establecido en los manuales de procedimientos y de
organización y funciones.

Inadecuada segregación: La responsabilidad de las actividades de control (Autorización,

Procesamiento, Revisión, Control, Custodia, Registro y Archivo), las ejecuta una sola
unidad orgánica o persona, y no son concordantes con lo establecido en los manuales
de procedimientos y de organización y funciones.

II.8. RIESGO RESIDUAL (NRR)

 Es aquel riesgo que continúa después de que el Instituto de Salud del Niño
desarrolle sus respuestas a los riesgos. El riesgo residual refleja el riesgo
remanente una vez se han implementado de manera eficaz las acciones
planificadas por el Gestor de Riesgos para mitigar el riesgo inherente.

II.9. RESPUESTA AL RIESGO

Una vez evaluados los riesgos, la Dirección determinará como responder a

ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el
riesgo. Al considerar su respuesta, la Dirección evalúa su efecto sobre la
probabilidad e impacto del riesgo, así como los costos y beneficios, y
selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al
riesgo establecidas.
 
Evitar: La acción es tomada para evitar afrontar los riesgos, inclusive evitando
realizar las actividades que pueden provocarlos.

Mitigar: Implica llevar a cabo acciones para reducir la frecuencia o el impacto

del riesgo, o ambos conceptos a la vez.

Transferir: La frecuencia o impacto del riesgo se reducen compartiendo una

parte del riesgo. Las técnicas comunes incluyen la contratación de seguros,
operaciones de cobertura o tercerización de una actividad.

Aceptar: No se emprende ninguna acción que afecte a la frecuencia o el

impacto del riesgo.

La respuesta a seguir busca llevar al riesgo a los niveles aceptados por la

entidad, de acuerdo al apetito por el riesgo. La elección de la estrategia
elegida, debe ser sustentada y validada por el Líder del Proceso,
considerando los siguientes criterios:

Evaluación del efecto sobre la probabilidad y el impacto del riesgo: Al

analizar las respuestas se puede tener en cuenta los eventos y tendencias
pasadas y los posibles escenarios futuros.

Evaluación costo beneficio: En algunos casos es difícil cuantificar los costos

y beneficios de la respuesta al riesgo, debiendo emplearse métodos de mayor
subjetividad, como el análisis de escenarios, la evaluación y ponderación de
ventajas y desventajas, entre otras.
II.10. MEDIDAS DE MITIGACION

Después de haber seleccionado las respuestas al riesgo, la Dirección debe

identificar las medidas de control que permitirán asegurar que las respuestas
a los riesgos se lleven a cabo de manera adecuada y oportuna.

Si bien las medidas de control se establecen, por norma general, para

asegurar que se llevan a cabo de manera adecuada la respuesta a los
riesgos, en el caso de ciertos objetivos las propias medidas de control
constituirán la respuesta al riesgo.

Al seleccionar las medidas de control, la Dirección considerará cómo se

relacionan entre sí. En algunos casos, una sola de ellas afectará a riesgos
múltiples. En otros serán necesarias muchas actividades de control para una
respuesta al riesgo.

Si la entidad estima conveniente, podrá medir la eficacia de las actividades de

control existentes, lo cual permitirá determinar aquellos controles innecesarios
o aquellos que generen mayores costos que beneficios