DT 70 Minsal Agosto 2019

DOCUMENTO TÉCNICO N° 104
Versión 0.1
Documento Técnico N° 102,
Versión 0.1
OBJETIVO GUBERNAMENTAL DE AUDITORÍA N° 3

Implantación, Mantención, Actualización del Proceso de Gestión
del Riesgo en el Sector Público
AGOSTO 2019
Objetivo Gubernamental de Auditoría N° 1 año 2018-2022
Actividades asociada a la Probidad Administrativa
1
Agenda de la Presentación
 Introducción y Objetivo del Documento Técnico

 Contenido General del Documento Técnico
 Enfoque Metodológico
 Proceso de Gestión del Riesgo en el Estado
 Fases del Proceso de Gestión del Riesgo
 Plan de Tratamiento
 Temas Relevantes del Documento Técnico
 Fuentes de Información
Consejo de Auditoría Interna General de Gobierno - Objetivo Gubernamental de Auditoría N° 3 años 2018-2022 2
Introducción y objetivo principal
En la actualidad un factor fundamental para el éxito de la gestión de una entidad, sea

pública o privada, la constituye su Gobierno Corporativo, descrito como el sistema
mediante el cual las entidades son dirigidas y controladas para contribuir a la
efectividad y rendimiento de la organización.
Una de las herramientas o mecanismos claves para ello, es la implementación de
procesos de Gestión del Riesgo, que ayuda a las organizaciones al cumplimiento de
sus metas estratégicas y operativas y al mejoramiento de sus procesos.
El enfoque técnico está basado principalmente en la Norma Chilena NCh-ISO

31000:2012, Gestión del Riesgo - Principios y Orientaciones, en menor medida en el
Marco de Gestión del Riesgo Corporativos ERM – COSO II.
Objetivo Principal:
Documentar los procedimientos y facilitar a las Organizaciones Gubernamentales,
la implantación y cumplimiento satisfactorio del Proceso de Gestión del Riesgo, así
como su mantención y actualización.
Enfoque Metodológico
El modelo metodológico para la Gestión del Riesgo en las organizaciones

gubernamentales está contenido en la Documento Técnico Nº 70 del CAIGG, sobre
Implantación, Mantención y Actualización del PGR en el Estado. Este Documento está
basado principalmente en las Normas y Marco de Trabajo (framework) siguientes:
NCh-ISO 31000:2012
Gestión del Riesgo - Principios y Orientaciones
NCh-ISO
NCh-ISO
31004:2014
NCh-ISO Guía 31010:2013
COSO ERM Orientación para
73:2012 Técnicas de
GRC- OCEG. la
Vocabulario. Evaluación del
implementación
Riesgo.
de ISO 31000.
Proceso de Gestión del Riesgo en el Estado
Definiciones:
La posibilidad (probabilidad) de que un acontecimiento ocurra y
afecte (consecuencia o impacto) negativamente a la consecución de
los objetivos.(*)
El efecto de la incertidumbre sobre los objetivos (**)

Hace referencia a potenciales eventos y consecuencias, o a una combinación de
ambos.
La Gestión del Riesgo es un proceso estructurado,

consistente y continuo implementado a través de toda la
organización para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar
el logro de sus objetivos. Todos en la organización juegan
un rol en el aseguramiento de éxito de la Gestión del
Riesgo, pero la responsabilidad principal de la misma
recae sobre la dirección. (***)
Consejo de Auditoría Interna General de Gobierno - Objetivo Gubernamental de Auditoría N° 3 años 2018-2022
5
NCh ISO 31000:2012 Gestión del Riesgo – Principios y Orientaciones

Principios de la Gestión del Marco de Trabajo para la Gestión del
Proceso de Gestión del Riesgo
Riesgo Riesgo
1. Crea Valor y lo Protege.

2. Está Integrada en los Compromiso Establecer el
Procesos de la Organización. de la Dirección Contexto
3. Forma parte de la toma de
decisiones. Evaluación de Riesgos
4. Trata explícitamente la
Diseño del
Comunicación y Consulta
incertidumbre. Identificar
Monitoreo y Revisión
Marco de
5. Es sistemática, estructurada Gestión del Riesgos
y adecuada. Riesgo
6. Está basada en la mejor Analizar Riesgos
información disponible. Mejoramiento Implementación
7. Está hecha a medida. Continuo del de la Gestión del
Marco Riesgo
8. Tiene en cuenta factores Valorar Riesgos
humanos y culturales.
9. Es transparente e inclusiva. Monitoreo y
10. Es dinámica, iterativa y Revisión del
Marco
sensible al cambio. Tratar los
11. Facilita la mejora continua Riesgos
en la organización.
Cláusula 3 Cláusula 4 Cláusula 5
Contexto Interno y Externo
 Estructura  Misión.
Organizacional.  Visión.
Interna  Recursos  Metas.
Humanos.  Objetivos
 Filosofía y Valores. Estratégicos.
Fuentes
 Políticas.
 Entorno financiero.  Entorno cultural.
 Entorno operacional.  Entorno legal.
 Entorno competitivo.  Clientes.
Externa  Entorno político.  Proveedores.
 Entorno imagen.  Comunidad local.
 Entorno social.  Sociedad.
Fase I: Establecimiento del Contexto
 En el Contexto Interno y Externo se debe plasmar lo siguiente
• Declaración de las intenciones y orientaciones globales de

Establecer la una organización en relación con la Gestión del Riesgo.
Política de Gestión • Resolución de aprobación o modificación.
de Riesgos
• Definir, documentar y aprobar los roles de las personas relacionadas

Establecer las con la Gestión del Riesgo.
Responsabilidades • Resolución de aprobación o modificación de Roles. (*)
y Roles
• El Diccionario de Riesgos ha sido confeccionado y remitido por el

Consejo de Auditoría Interna (DT N°81 CAIGG - Guía NCh N°73).
Establecer un
Diccionario de
Riesgos *Es importante destacar, que la designación del responsable de la Gestión del Riesgo, NUNCA
debe ser el Auditor Interno de la organización. PERDIDA DE INDEPENDENCIA.
 Contexto de Gestión de Riesgo:

•Para establecer el contexto de gestión debe
PROCESOS constituirse y definirse el alcance de aplicación del
análisis de riesgos. Éste debe aplicarse en la
SUBPROCESOS medida de lo posible, a nivel de procesos,
RIESGOS
subprocesos, etapas, actividades y riesgos

específicos de las Áreas definidas.
ETAPAS
•Metodología de levantamiento de procesos definida

ACTIVIDADES en el DT CAIGG N°89 con Carácter de propuesta, no obligatorio
SUBPROCESOS
ETAPAS
PROCESOS ACTIVIDADES RIESGOS
•La técnica a utilizar para documentar y estructurar el

trabajo (registro) corresponde a la desagregación de
la información de procesos críticos de la
organización en una Matriz de Riesgos Estratégica.
 Proceso:
“Conjunto de actividades íntimamente interrelacionadas
que existen para generar un bien o un servicio”.
 Procesos Críticos:
“Son los procesos claves para el logro de la misión
a través del cumplimiento de los objetivos
estratégicos”.
Conceptos según DT n° 70 del Consejo de Auditoria Interna de Gobierno.
Contexto de Gestión de Riesgo: Metodología
Paso
Identificación y Priorización de Procesos Críticos en la Institución.
N°1
Paso
Identificación de Subprocesos en los Procesos Críticos.
N°2
Paso
Identificación de Etapas en cada Subproceso.
N°3
Paso
Identificación de Objetivos Operativos.
N°4
Identificación de Riesgos Operativos Relevantes y Señales de Alerta (LA/FT/DF).

Paso
N°5
Paso
Reconocimiento y Levantamiento de los Controles Claves.
N°6
Paso
Formulación de la Matriz de Riesgos Estratégica.
N°7
Énfasis en el Paso N° 1 de la Metodología ya que se define la forma como deben ser identificados los procesos
críticos de la organización que serán luego desagregados y analizados en la Matriz de Riesgos Estratégica.
Fase Establecimiento del Contexto
Paso
Identificación y Priorización de Procesos Críticos
N°1
Primero:
Una vez identificados todos los procesos que existen en la
organización, se debe determinar la priorización de los procesos en
base a su nivel de contribución para todos los objetivos
estratégicos. Para ello se utiliza la escala siguiente:
ESCALA DE NIVEL DE CONTRIBUCIÓN
Clasificación
Descripción del Nivel de Contribución Valor
del Nivel
El proceso aporta de manera fundamental en el
Alto 3 Análisis de PROCESOS
cumplimiento del objetivo estratégico.
CRÍTICOS, contribución
El proceso aporta de manera importante en el promedio.
Medio 2
cumplimiento del objetivo estratégico.
El proceso aporta de manera menor en el cumplimiento
Bajo 1
del objetivo estratégico.
El proceso no aporta en el cumplimiento del objetivo
Nulo 0
estratégico.
Paso
N°1
Misión Institucional: XXX XXX XXX XXX

Segundo:
Nivel de
La selección final de
Contribución Proceso cada proceso crítico
Objetivos Objetivo Objetivo Objetivo Objetivo Promedio del seleccionado
Procesos Estratégico Estratégico Estratégico Estratégico Proceso al (2,0 – 3,0)
estará basada en la
institucionales 1 2 ... n Cumplimiento de misma escala para el
los Objetivos
Alto (3), Alto (3), Alto (3), Alto (3),
NIVEL EN QUE AFECTA
Proceso 1
Medio(2), Medio(2), Medio(2), Medio(2),
Promedio Aritmético X
EL CUMPLIMIENTO DEL
Bajo(1), Bajo(1), Bajo(1), Bajo(1),
Nulo(0) Nulo(0) Nulo(0)
Proceso 1 OBJETIVO ESTRATÉGICO.
La Nulo(0)
organización
Alto (3), Alto (3), Altogubernamental
(3), Alto (3), debe Se deberá escoger
Medio(2), Medio(2), Medio(2), Medio(2),
Proceso 2
Bajo(1), Bajo(1),
seleccionar
Bajo(1),
al menos
Bajo(1),
Promedio Aritmético X para el análisis de
Proceso 2
Nulo(0) Nulo(0) un
Nulo(0) (*)
70%
Nulo(0) de los procesos críticos, los
Alto (3), Alto (3), Altoprocesos
(3), Alto (3),
Medio(2), Medio(2), Medio(2),
como
Medio(2),
de que presenten un
Proceso 3
Bajo(1), Bajo(1),
carácter crítico.
Bajo(1), Bajo(1),
Promedio Aritmético -
NIVEL DE
Proceso 3
Nulo(0) Nulo(0) Nulo(0) Nulo(0)
Proceso 4 .......... .......... .......... .......... .......... -
CONTRIBUCIÓN
Proceso 5 .......... .......... .......... .......... .......... - PROMEDIO ENTRE
....... ..........
Alto (3),
..........
Alto (3),
..........
Alto (3),
..........
Alto (3),
.......... -
2.0 Y 3.0 PUNTOS
Medio(2), Medio(2), Medio(2), Medio(2), Promedio aritmético
Proceso n X
Bajo(1), Bajo(1), Bajo(1), Bajo(1), Proceso n
Nulo(0) Nulo(0) Nulo(0) Nulo(0)
* Corresponde al porcentaje de procesos elegidos del universo existente e identificados mediante un “Inventario de Procesos”
x- = 3+2+3+1
(1)
Paso
N°1 = 2,3
4
Ejemplo: (n)
Nivel de Contribución Proceso

Objetivos Promedio del Proceso seleccionado
Objetivo Objetivo Objetivo Objetivo
Procesos al Cumplimiento de (2,0 – 3,0)
Estratégico 1 Estratégico 2 Estratégico ... Estratégico n
institucionales los Objetivos
Proceso 1 3 2 3 1 2,3
Proceso 2 2 3 3 2 2,5
Proceso 3 3 3 2 3 2,8 Procesos

Críticos
(70%)
Proceso 4 3 1 3 1 2,0
Proceso 5 2 2 3 0 1,8
....... .......... .......... .......... .......... 1,5
Proceso n 2 1 2 3 2,0
Paso
Identificación de Subprocesos en los Procesos Críticos
N°2
Los subprocesos corresponden a aquellos componentes principales en el desarrollo

de los procesos, los subprocesos que los componen pueden ser de diversa
importancia y tener distinta influencia en la generación de los productos o servicios.
Subproceso
Proceso
Subproceso 1
Subproceso 2
Proceso XY
…..
Subproceso n
Paso
Identificación de Etapas en cada Subproceso
N°3
Se deberá identificar las etapas que lo conforman y que equivalen a las acciones o
actividades que en conjunto forman el subproceso. (Dependerá de las
características y estructura del proceso y de la organización, entre otras variables).
Proceso Subproceso Etapas
Etapa 1
Proceso XY Subproceso 2 ……
Etapa n
Paso
Identificación de Objetivos Operativos
N°4
Son objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecución de una etapa o mediante la ejecución de un subproceso,
si la desagregación fue sólo a nivel de subproceso.
Identificación de Riesgos Operativos Relevantes y Señales de Alerta (LA/FT/DF)

Paso
N°5
Una vez identificados los objetivos operativos correspondientes a cada etapa o

subprocesos relevantes (P4), se debe identificar los riesgos relacionados a los
objetivos. Como también identificar y analizar las Señales de Alerta relacionadas
con los delitos LA-FT-DF. (Anexo Nº 4 )(*)
Paso
Reconocimiento y Levantamiento de los Controles Claves
N°6
Los controles que tiene la organización gubernamental y que se orientan a

mitigar los riesgos operativos identificados, relevando sólo aquellos
controles claves.
Luego se calculará el nivel de exposición al Riesgo y se determinará por

etapa ,subproceso y proceso, calculando el riesgo ponderado. (Anexo Nº 5)(*)
*Se analizan en la Fase II
17
Paso
Formulación de la Matriz de Riesgos Estratégica
N°7
La aplicación de este procedimiento se obtendrá la “Matriz de Riesgos Estratégica” de la

organización gubernamental, la que considerará plasmada los elementos de los pasos
anteriormente señalados
Al momento del levantamiento de Procesos, para establecer la Matriz estratégica se deben
tener claros los siguientes elementos:
• PROCESOS TRANSVERSALES en la
Administración del Estado.
• TIPOLOGÍA de Riesgos.
• PONDERACIÓN ESTRATÉGICA por Subprocesos

Componentes de Procesos Críticos.
Se analiza en la Fase III
Paso
N°7
Procesos Transversales en la Administración del Estado:

Son procesos definidos a nivel global de acuerdo a sus objetivos y productos finales.
Para un adecuado PGR, se debe clasificar los procesos en categorías de procesos
Transversales.
Ej: Cuadro N° 3 del Documento Técnico.
Paso
N°7
Tipología de Riesgos:
En el marco del levantamiento de procesos, debe utilizarse una tipología o
categorización de riesgos. La tipología de riesgos, sirve para agrupar aquellos riesgos
que tienen características y elementos comunes.
Por ejemplo*:
Tipos de Riesgos Elementos que los Caracteriza Ejemplos de Riesgos Específicos
• Mal uso de los recursos.
Se relacionan con el uso
• Desviación de recursos.
adecuado de los recursos
Financieros • Entrega de recursos a no beneficiarios (Exacción).
entregados por el Estado a sus
• Malversación de fondos.
entidades (DF).
• Uso de recursos con fines distintos a los aprobados.
• Falta de disponibilidad presupuestaria.
• Modificaciones presupuestarias por deficiente ejecución.
• Errores en el servicio de la deuda.
Se relacionan con elementos • Servicio de la deuda muy alto.
Económicos financieros, comerciales y • Exceso de compromisos del Servicio que afecten su presupuesto.
presupuestarios. • Malas inversiones en mercado de capitales.
• Deficiencias en la ejecución presupuestaria del Servicio.
• Falta de Suplementos del Ministerio de Hacienda o falta de
*COSO ERM oportunidad en los mismos.
Paso
N°7
Ponderación Estratégica por Subprocesos Componentes de Procesos

Críticos:
Considerando que no todos los subprocesos tienen la misma importancia estratégica dentro de
un proceso crítico, debe definirse por la Dirección el peso relativo que cada subproceso tiene
dentro de un proceso crítico. Para esto, se debe justificar adecuadamente, considerándose
algunas variables definidas en el Documento Técnico:
• Impacto de los riesgos. • Oportunidad y efectividad de los sistemas de
• Grado de complejidad de las etapas. control interno.
• Especialización del personal. • Cambios organizacionales, operacionales,
• Los recursos involucrados. tecnológicos y económicos.
• El uso de sistemas de información. • Características de los usuarios, clientes y
• Eficiencia de los sistemas de información. proveedores.
• Competencia, aptitud e integridad del • Complejidad y volatilidad de las actividades
personal. desarrolladas en el subproceso.
• Nivel de sistemas de información
computacionales.
La ponderación porcentual distribuida en todos los subprocesos componentes de un proceso crítico, debe sumar 100%.
Paso
N°7
Ponderación Estratégica por Subprocesos Componentes de

Procesos Críticos:
Proceso Descripción Subprocesos Ponderación Justificación de la ponderación La
Su nivel de complejidad es medio, dado
Ponderación
Generar que no hay mayores recursos involucrados Estratégica de
Se trata del programas de 20% y no existe un alto grado de complejidad los
proceso de innovación en las etapas, y el personal cuenta con la
experiencia adecuada. Subprocesos
negocio del Este subproceso es importante para el impacta en las
Servicio, que éxito del proceso por cuanto las
cumple el deficiencias en la evaluación y entrega del
Fases de
Gestión Entregar subsidios Subsidio afectan la imagen del Servicio, por Análisis y
objetivo de
de para 40% otra parte se trata de una labor altamente Evaluación de
promover,
programa emprendedores especializada, para la cual no siempre se
s y
mediante cuenta con personal idóneo. Una mala los Riesgos.
incentivos evaluación puede dejar sin subsidio a otros
proyectos
económicos que beneficiarios.
los particulares Realizar Estudios Su nivel de complejidad es medio, puesto
que existe eficiencia en los sistemas de
realicen de efectividad de 20% información y se cuenta con el personal Pond./1
actividades
productivas.
Subsidios
Rediseño de
20%
idóneo.
La ponderación es media, dado que se
cuenta con personal especializado para
∑%
Subproc/n
= 100%
programa desarrollar las diversas etapas. .
Fase II: Evaluación de Riesgos - Identificación
La metodología considera la identificación, análisis y valoración, de riesgos y

oportunidades que pueden afectar la consecución de los objetivos estratégicos
de la Organización.
Las oportunidades y riesgos, son eventos que afectan la implementación de la estrategia
o logro de los objetivos (según CAIGG)
Los eventos pueden generar IMPACTOS POSITIVOS O NEGATIVOS, O AMBOS.
Ejemplo: Identificación de Riesgo

Tormenta de Ideas
Objetivo: Llegar a tiempo al trabajo
Lista de ideas
1. Congestión vehicular.
2. Falla mecánica del vehículo.
3. Desconfiguración de la alarma del
despertador.
4. Accidente de tránsito.
5. Control vehicular de tránsito.
6. Desviación de las vías.
7. ….. Existe una diversidad de técnicas para la determinación de
los Riesgos: Anexo Nº7, DT N° 75 y NCh ISO 31010-
2013
Aplicación de la Tipología de Riesgos:

Junto con identificar los riesgos, es importante clasificarlos según la tipología
genérica formulada en la fase de establecimiento del contexto estratégico
considerando las categorías de riesgos a que se ve expuesta las entidades.
Proceso Fuente de
Proceso Subproceso Pond. Etapas Objetivos Riesgos específicos Tipo de riesgo Prob. Cons.
Transversal Riesgos
……. No considerar
lineamientos Interna Procesos 1 3
institucionales
Que los
lineamientos y
Interno Procesos 2 4
requisitos sean
ambiguos
Postulaciones con
Gestión Entregar Los riesgos deben ser documentación
Externo Sociales 1 4
Subsidios a de subsidios clasificados según su Incompleta y/o con
privados de programa para 40% errores
fuente(*) como externos o
fomento sy emprende internos. Para ello debe Interna Personas 1 3
proyectos dores considerarse principalmente
el origen del riesgo, esto es Falta de seguridad Tecnológico
a su causa. en el Sistema Interna 3 4
s
Informático
Conflictos de
Interna Imagen 2 4
intereses
*DT N°81 Versión 01-“DICCIONARIO DE RIESGOS PARA EL SECTOR PUBLICO” Pág. 11
 Señales de Alerta
Indicadores, indicios, condiciones, comportamientos o
síntomas de ciertas operaciones o personal que podrían
permitir potencialmente detectar la presencia de una
Señal operación sospechosa de lavado de activos, delitos
de Alerta funcionarios o financiamiento del terrorismo(1).
(Anexo N°13 y 14 - DT N°70, Págs. 108-114)
Ejemplos:
Ciclo de Ventas • Alto nivel de reclamos por saldos de cuentas incorrectas.
Cuentas por • Documentos comerciales duplicados.
Cobrar • Recaudaciones y/o recibos NO asociados a facturas o
boletas.
Ciclo de Compras • Apertura prematura de las ofertas.

Selección de • Extensión injustificada de fechas de apertura de las
Bienes y/o ofertas y sin el respaldo de los actos administrativos
Servicios correspondientes.
• Falsificación de documentos de la oferta.
Definición adaptada de la (1) Guía de Recomendaciones para el Sector Público en la Implementación del Sistema Preventivo contra los
Delitos funcionarios, Lavado de Activos y Financiamiento del Terrorismo y del (2) Catálogo de Delitos Precedentes de Lavado de Dinero en
Chile, ambos emitidos por la Unidad de Análisis Financiero (UAF).- Cumplimiento a la Circular Nª20 del 2015 del Ministerio de Hacienda.
Concepto
Proceso mediante el cual se busca ocultar o disimular la naturaleza,

LAVADO DE
origen, ubicación, propiedad o control de dinero y/o bienes de origen
ACTIVOS
delictivo o ilícito, para darles apariencia de legalidad.
Es cualquier forma de acción económica, solicitud, recaudación,

FINANCIAMIENTO
provisión de fondo, ayuda o mediación que proporcione apoyo
DEL TERRORISMO
financiero a las actividades de elementos o grupos terroristas.
Se refiere al conjunto de delitos que pueden ser cometidos

activa o pasivamente por funcionarios públicos, tales como el
DELITOS
cohecho, malversación de fondos públicos, tráfico de influencia,
FUNCIONARIOS
entre otros, y que son precedentes de lavado de activos o
financiamiento de terrorismo.
El CAIGG tiene como insumo el DT N°91 “Conceptos Generales sobre Delitos Funcionarios”, que consiste en una guía
jurídica que aborda los delitos en contra de la función pública, constitutivos asimismo de infracción administrativa.
(Anexo N°12 - DT N°70)
A contar del año 2016, cuando corresponda, se debe asociar a los

riesgos identificados en la Matriz de Riesgos Estratégica, señales de
alerta de delitos LA/FT/DF. Agregar columna de Cargo
Asociado
LEVANTAMIENTO DE INFORMACIÓN DE PROCESOS RIESGOS CRITICOS
Señal
Señales Severidad del
Descripción Cargo Probabilidad Consecuencia
Proceso Pd. Fuente de Tipo de de de
Alerta Cargos
Asociado Riesgo
Proceso Crítico Subproceso Etapas Objetivos Riesgos Asociadas (P) (I)
Transversal (1) Riesgos Riesgo Alerta(2) Asociados (PxI)
Específicos
(2) Clasif. valor Clasif. valor Clasif. valor
SUBSIDIO A
GESTIÓN DE
PRIVADO …
PROGRAMAS … … … …. … … … SI/NO … … … … … …
DE
Y PROYECTOS
FOMENTO
Seleccionar y Falta de Jefe TICs
SUBSIDIO A
GESTIÓN DE aprobar a los seguridad
PRIVADO Tecnol Moder Catastr Extrem
PROGRAMAS postulantes en el Interna SI Jefe de
ado
3
óficas
5
o
15
DE ógicos
Y PROYECTOS que cumplan Sistema Gestión de
FOMENTO Programas)
con los Informático
ENTREGAR
SUBSIDIO A Selecci requisitos
GESTIÓN DE SUBSIDIOS Muy
PRIVADO ón y exigidos en las Conflictos Image Comisión Catastr
PROGRAMAS PARA 40% Interna Improb 1 5 Alto 5
DE
Y PROYECTOS EMPREND
Aproba bases de de intereses n SI Evaluadora
.
óficas
FOMENTO ción acuerdo a los
EDORES
cupos
SUBSIDIO A
GESTIÓN DE disponibles
PRIVADO
DE
PROGRAMAS para la … … … SI ... ... ... … … … …
Y PROYECTOS entrega del

FOMENTO
beneficio.
( Ver Anexo Nº13)
Adicionalmente, se debe:
• Identificar riesgos o señales de alerta de delitos LA/FT/DF en los procesos,
subprocesos, etapas, proyectos, sistemas, etc. que no hayan sido considerados en la
Matriz de Riesgos Estratégica.
( Ver Anexo Nº14)
Ejemplo
Proceso/Sub Nivel de
Descripción de la
proceso Cargo Control Cobertura de
Señal de Alerta Medidas Correctivas y/o Preventivas
Sistema Asociado Asociado la Señal
LA/FT/DF
Proyecto, etc. Alerta
Funcionario público Comisión Qué: Cumplimiento Ley del Lobby. Se realizará una verificación del
Gestión de que integra la Evaluado Quién: Jefe de RR.HH/ Jefe de cumplimiento y los datos ingresados en
Programas comisión ra Jurídica. las DPI y revisión de los requisitos de la
evaluadora y que Cómo: Mantener registro de Ley Lobby, para su actualización y
RR.HH frecuentemente e audiencias, regalos, viajes, etc. publicación en banner de trasparencia
Alta
injustificadamente Mantener el control de asistencia a las activa del Servicio.
se ausentan del sesiones de la Comisión. Lo anterior, se realizará de manera
lugar de trabajo. Cuándo: Anual y en las veces que se semestral y cada vez que ocurra un
realice una sesión de la Comisión hecho relevante de actualización de la
Evaluadora. DPI, Ley Lobby.
El NIVEL DE COBERTURA de la señal de alerta de delitos LA/FT/DF está

determinado por el NIVEL DE COBERTURA DEL CONTROL sobre la señal de
alerta. Las categorías de los niveles de cobertura son: Alta, Media,
Baja, según la descripción siguiente:
Nivel de
Descripción
Cobertura
El control asociado a la señal de alerta de delitos LA/FT/DF es insuficiente, por lo que la cobertura es
BAJA baja, dejando a la organización muy expuesta a la materialización del delito (riesgo).
El control asociado a la señal de alerta de delitos LA/FT/DF es regular, por lo que la cobertura es media,
MEDIA dejando a la organización expuesta a la materialización del delito (riesgo).
El control asociado a la señal de alerta de delitos LA/FT/DF es adecuado, por lo que la cobertura es
ALTA alta, dejando a la organización poco expuesta a la materialización del delito (riesgo).
Luego de haber identificado los Riesgos, se deben identificar los

controles claves, para ello se debe considerar lo siguiente:
Mejorar la descripción de los controles, señalando la NORMA O GUÍA que lo instruye, quién lo realiza,
qué actividades desarrolla, cómo las ejecuta y cuándo y cómo se evidencia su cumplimiento.
Analizar si está documentado, esto es, FORMALIZADO por escrito.
Analizar si existe SEGREGACIÓN DE FUNCIONES, esto es, si la persona que autoriza es distinta a la
que ejecuta.
Considerar que los CONTROLES CLAVES que se identifican deben estar directamente relacionados con
el riesgo que teóricamente mitigan.
Fase III: Evaluación de Riesgos - Análisis
Para el Análisis de Riesgos se deben considerar las siguientes acciones a

desarrollar periódicamente:
Analizar y/o actualizar los riesgos y su CALIFICACIÓN DE PROBABILIDAD E IMPACTO, de acuerdo a las últimas
auditorías, los antecedentes históricos, etc.
Analizar y/o actualizar los riesgos, con ÉNFASIS EN LOS RIESGOS asociados con aspectos
estratégicos y financieros, considerando los recursos involucrados.
Considerar la RETROALIMENTACIÓN de la auditoría interna acerca del PGR.
Considerar los nuevos enfoques y lineamientos del Gobierno.
Incorporación del Concepto de Ponderación Estratégica:

Para determinar el nivel de exposición al riesgo ponderada de los subprocesos,
deberá multiplicarse el nivel de exposición al riesgo de cada subproceso por el
porcentaje de ponderación estratégica que a cada uno de ellos le fue asignado.
Nivel de
Nivel de Exposición al Riesgo Exposición al
Riesgo Ponderada
x- = 3+2,5
Proceso
Transversal
Proceso Subproceso Pond. Etapas …
Riesgo Sub
Etapa Proceso Subproceso
2,8
2 =
Específico proceso
3 3 Proceso 1
Subproceso Etapa 1 3 x 70% = 2,1
70% 3
Proceso 1 Etapa 2 3 3
Proceso
Transversal Etapa 3 3 3 2,8
1
1 Subproceso
30% 2,5 2,5 x 30% = 0,75
2 Etapa 4 2 2
x-=
Subproceso Etapa 5 …. ….
Proceso
Proceso
3
60%
Etapa 6 …. ….
3,5 3,5 x 60% = 2,1 3+2 = 2,5
Transversal 3,8
2
2
Subproceso
40%
Etapa 7 …. ….
4 4 x 40% = 1,6 Suproceso 2 2
4 Etapa 8 …. ….
Subproceso Etapa 9 …. ….
50% 2 2 x 50% = 1
5 Etapa 10 …. ….
Proceso
Proceso
Transversal
3 Etapa 11 …. …. 2,7
3 Subproceso
6
50% Etapa 12 …. …. 3,3 3,3 x 50% = 1,65
Etapa 13 …. ….
En esta Fase se debe identificar los riesgos en relación a su

probabilidad y consecuencia y asignarle un valor. (Anexo Nº5) SEVERIDAD DEL
RIESGO
Consecuencia negativo a la
Probabilidad de que un consecución de los
acontecimiento ocurra (Probabilidad X
objetivos
Consecuencias)
Probabilidad Consecuencia
Los riesgos sin los

efectos mitigadores-
(actividades de
control).
(Riesgo Inherentes)
RIESGO
 Efecto de la incertidumbre sobre los objetivos (NCH-ISO 73/2012)

 Posibilidad de que un acontecimiento ocurra y afecte negativamente los objetivos (COSO I)
Ejemplo:
Calculo Severidad del Riesgo. (Anexo Nº5 )
SEVERIDAD
DEL RIESGO
(Probabilidad X
Consecuencias)
Los riesgos sin los

(actividades de
control).
(Riesgo Inherentes)
Nivel de Consecuencia (C)
Efectividad del En esta Fase se debe analizar la efectividad de los

Control
controles existentes para identificar el nivel de
exposición de los riesgos en base a 3 aspectos.
Oportunidad Periodicidad
Automatización
Controles existentes para

mitigar la Severidad del
Riesgo
EFECTIVIDAD DEL
CONTROL
Formalidad del control

Asegurarse de que el Control presente tenga:

mitigar la Severidad del
Riesgo
EFECTIVIDAD DEL
CONTROL
Un control adecuado es el que está presente si la Dirección ha

planificado y organizado (diseñado) las operaciones de manera
tal que proporcionen un aseguramiento razonable de que los
objetivos y metas de la organización serán alcanzados de forma
eficiente y económica.
Ejemplo: Controles Claves para cada riesgo operativo (Anexo N°6)

Proceso de Adquisiciones y Abastecimiento
Riesgos asociados a
Etapas la realización de las Controles operativos mitigantes clave Responsables
actividades
Licitación privada y pública
Qué: Chequeo automatizado de plazo.
Cómo: El sistema de información ADBG, contiene un
algoritmo
que controla y chequea la hora y la fecha de la Encargado
apertura. Sistema de Información
Cuándo: Lo anterior se realiza por cada apertura para todas de Compras.
las ofertas.
Quién: Este chequeo lo hace el Encargado de Sistema de
Etapa Recepción de Información de Compras..
Selección ofertas fuera de
plazo. Qué: Chequeo manual de plazo y confección de Acta de
Recepción.
Cómo: En caso de ofertas no recibidas por el sistema,
el encargado de la Oficina de Partes, levanta un acta Encargado
con individualización de día y hora de las ofertas Oficina de Partes
recibidas, que es visada por el Jefe de Finanzas. Jefe de Finanzas.
Cuándo: Esto se hace en cada licitación para todos los
oferentes.
Quién: Encargado oficina de Partes / Jefe de Finanzas.
Luego de lo anterior podemos concluir la efectividad del control y

darle valor
CUM PLIM IENTO CARACTERÍSTICAS DISEÑO CONTROL CLAVE/FUNDAM ENTAL VALOR DEL
CON NORM AS O
CLASIFICACIÓN DISEÑO DEL
REQUISITOS DE
PERIODICIDAD (PD) OPORTUNIDAD (O) AUTOM ATIZACIÓN (A) CONTROL
CONTROL
INFORMATIZADO
ADECUADO PERMANENTE PREVENTIVO
SEMI INFORMAT OPTIMO 55
ADECUADO PERMANENTE CORRECTIVO MANUAL
INFORMATIZADO
ADECUADO PERMANENTE DETECTIVO
SEMI INFORMAT BUENO 44
ADECUADO PERIODICO PREVENTIVO MANUAL
INFORMATIZADO
mitigar la Severidad del ADECUADO PERIODICO CORRECTIVO MAS QUE
Riesgo. SEMI INFORMAT
REGULAR 33
ADECUADO PERIODICO DETECTIVO MANUAL
EFECTIVIDAD DEL INFORMATIZADO
ADECUADO OCASIONAL PREVENTIVO
CONTROL SEMI INFORMAT REGULAR 22
ADECUADO OCASIONAL CORRECTIVO MANUAL
INFORMATIZADO
ADECUADO OCASIONAL DETECTIVO SEMI INFORMAT DEFICIENTE 11
MANUAL
INSUFICIENTE NO DETERMINADO NO DETERMINADO NO DETERMINADO INEXISTENTE 11
Por último, luego de tener la Severidad de los riesgos y la Efectividad de los

controles claves podemos concluir la Exposición al Riesgo.
Severidad del Efectividad del EXPOSICIÓN AL

Riesgo, Control
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
Nivel del Riesgo
Residual determinado
SEVERIDAD DEL Controles existentes para después de aplicados
RIESGO mitigar la Severidad del los controles
Riesgo existentes.
(Probabilidad X
Consecuencias) EFECTIVIDAD DEL (Riesgo Residual)
CONTROL
Los riesgos sin los

(actividades de
control).
(Riesgo Inherentes)
En esta Fase se debe identificar de nivel de exposición de los riesgos.

NIVEL DE EFECTIVIDAD DEL CONTROL
EXPOSICIÓN AL
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
Nivel del Riesgo
Residual determinado
después de aplicados
los controles existentes.
(Riesgo Residual)
VALOR NER
NO
8,0 – 25,0 Na
Na
ACEPTABLE
4,0 – 7,99 MAYOR Ma

Ma
3,0 – 3,99 MEDIA Md

Md
0,2 - 2,99 MENOR Me

Me
Fase IV: Evaluación de Riesgos -Valoración
La Fase de Valoración de los Riesgos considera dos pasos:

Primero: La definición y/o confirmación del criterio que se utilizará
para determinar el nivel de criticidad (definido en la Fase de Definición
del Contexto de la Gestión del Riesgo).
Segundo: La confección de un ranking de riesgos en la organización en
base al criterio definido.
PROCESOS
Nivel de
Exposición al
Riesgo
CRITERIO
Nivel de
Exposición al
ETAPA SUBPROCESOS
Nivel de
Riesgo
Nivel de
Exposición al Exposición al
Riesgo Riesgo Ponderada
Fase IV: Evaluación de Riesgos -Valoración
Se debe construir un Ranking de Riesgos considerando:

-Para los procesos críticos: En base al nivel de exposición al riesgo (promedio aritmético
de la exposición al riesgo de los subprocesos).
-Para los subprocesos: En base al nivel de exposición al riesgo ponderado para los
subprocesos que componen dichos procesos
-Para las etapas: en base a su nivel de exposición al riesgo.
Ranking para Ranking para

Nivel de Nivel de Fundamentos
priorizar priorizar En base la información
Exposición al Exposición al estrategias de para la
estrategias de
Procesos Subprocesos Riesgo Riesgo por Priorización proporcionada por los Ranking
tratamiento en Etapas tratamiento de
Ponderado por Etapa de Procesos y Subprocesos
los subprocesos los riesgos en
Subproceso (incluyendo el Ranking de Etapas),
las etapas
se determina qué etapas,
Etapa 1 2,1 1°
A nivel de subprocesos y procesos serán
Subproceso 1 Subproceso abordados con acciones para
1,8 1° A nivel de Etapa
1° Etapa 2 1,9 2° tratar los riesgos específicos.
Entrega
Subproceso 2 …
Créditos 1,0 2° Dicha determinación debe
fundamentarse debidamente.
…. …. ….
Subproceso 2 Etapa 2 …
1,7 1°
Etapa 1 …
2°
Subproceso 1 1,0 2°
Capacitación
No formará
…. …. …. parte del P t…
Fase V: Tratamiento de Riesgos
Una vez evaluados y priorizados los riesgos en las fases respectivas,

la dirección debe asumir la realización de las acciones concretas
necesarias para tratarlos y monitorearlos, generando una respuesta
lo suficientemente adecuada para mantener la exposición del riesgo
en un nivel aceptado. Para ello debe:
Formular Estrategias para el Tratamiento y Monitoreo de los Riesgos.
Estrategias Genéricas para Tratamiento de los Riesgos.
Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos.
Preparar e Implementar Planes de Tratamiento y Monitoreo.
No es excluyente la Estrategia propuesta por NCh ISO 31000 y COSO ERM
1) Estrategias Genéricas para Tratamiento de los Riesgos

COSO ERM
•Salir de las actividades generadoras de Riesgo y

por ende “SE TOMAN ACCIONES PARA DESCONTINUAR
Evitar LAS ACTIVIDADES”.
•Acciones que mitigan la probabilidad y/o

impacto y por ende “SE TOMAN ACCIONES DE MODO
Reducir DE REDUCIR EL IMPACTO”.
•Distribuir la probabilidades y/o impacto

compartiendo el riesgo y por ende “SE TOMAN
Compartir ACCIONES DE MODO DE REDUCIR EL IMPACTO”.
•Sin acciones que afecte la probabilidad y/o

impacto y por ende “NO SE TOMAN ACCIONES QUE
Aceptar AFECTEN EL IMPACTO”.
Relaciones Generales Entre las Estrategias y su Efecto en el Riesgo y

Efectividad del Control:
Efecto potencial en
Estrategias Efecto potencial en los componentes Situación esperada en relación con
la Efectividad del
Genéricas de la Severidad del Riesgo el Nivel de Exposición al Riesgo
Control
El Nivel de Exposición al Riesgo está

Evitar
La probabilidad e impacto no se
Nulo fuera de los límites aceptados por el
reducen.
Entidad.
Reducir
El nivel de probabilidad o impacto Mejora su El Nivel de Exposición al Riesgo

se reducen (o ambos). efectividad disminuye.
Compartir
Mejora su El Nivel de Exposición al Riesgo

El nivel de probabilidad o impacto
efectividad disminuye.
se reducen (o ambos).
El Nivel de Exposición al Riesgo

Aceptar
debiera estar ya dentro de los límites

La probabilidad e impacto no se Nulo
con que el Entidad puede aceptar
reducen.
operar.
2) Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos:
Grado de reducción de la Severidad del Riesgo, y las mejoras en la

efectividad de los controles.
Luego de establecer la El costo de administrar un riesgo, debe obtener beneficios sociales y/o
económicos.
estrategia genérica para
tratar el riesgo, es
Los aspectos legales podrían estar por sobre el análisis costo-beneficio.
necesario determinar la
estrategia que utilizará
y hacia donde se
Una estrategia de tratamiento al riesgo podría introducir nuevos riesgos.
orientará.
La selección de las estrategias es reducir la severidad del riesgo y/o

aumentar la efectividad del control existente, bajar el nivel de la exposición
al riesgo.
Proceso Proceso Ranking Subproceso Etapa Riesgo Fuente del Tipo de Estrategia Descripción de la
Transversal (2)
de Proceso (4) (5)
Específico Riesgo Riesgo Genérica estrategia a aplicar
(1) (3) (6) (7) (8) (9) (10)
A quién capacitar: Integrantes de la

Unidad de Beneficios Sociales.
— En qué capacitar: En la
operatividad del Sistema
Ejemplo:
Informático. Formato para
Reducir
— Cómo Capacitar: La informar el Plan
capacitaciones será obligatoria de
ENTREGAR Falta de (Mejorar carácter teórica, con aplicación de de Tratamiento
SELECCCIÓ ejercicios prácticos.
SUBSIDIO A GESTIÓN DE SUBSIDIOS
N Y
seguridad
Tecnológi
efectividad
— Cuándo Capacitar:
de los Riesgos.
PRIVADO DE PROGRAMAS Y 1 PARA en el Interna de los (Anexo N°10)
APROBACIÓ co Trimestralmente.
FOMENTO PROYECTOS EMPRENDE Sistema controles y — Dónde Capacitar: Instalaciones
N
DORES Informático disminuir la del Servicio.
Probabilidad 2.- Establecer la política de
seguridad de la información y
) supervisando de manera mensual el
cumplimiento de esta.
3.- … La Dirección debe

APROBAR LOS
PLANES Y
Efecto potencial en la severidad de riesgo Responsable Plazo Indicador de Periodo Medición Meta Evidencia que se
y/o efectividad del control de la estrategia (13)
Logro del Indicador (16)
observará
ESTRATEGIAS
(11) (12) (14) (15) (17) SELECCIONADAS.
El mejorar los controles preventivos (N° total de capacitaciones Diseño y Programación de las
mediante la capacitación y las medidas realizadas/N° de nuevas capacitaciones (Julio Informarlo en
complementarias descritas, debería a Jefe TICs capacitaciones 2016). base a la
futuro disminuir la probabilidad de que programadas)*100 estructura
se repita los errores en el Sistema Jefe de RR.HH Registro de asistencia a siguiente:
Informático, y por lo tanto tener una (N° total de participantes a capacitaciones. (Ver en el Cuadro N°15)
gestión más eficiente al tener un Jefe de Gestión de 6 capacitaciones/N° total de Trimestral -3%
sistema informático más robusto y meses inscritos en Inicio de capacitaciones
Programa
disminuir los costos de revertir capacitaciones)*100 obligatorias (Sept. - Dic. 2016).
situaciones ya decididas. Jefe de Beneficios
Sociales
…
Fase VI: Monitoreo y Revisión
En esta fase es necesario nombrar responsables de monitorear la efectividad de todos

los pasos del PGR, para asegurar que se está cumpliendo adecuadamente.
Esta Fase es transversal al resto de las fases del PROCESO DE GESTIÓN DEL RIESGO (PGR), se
requiere que la organización gubernamental realice el monitoreo en base al Plan de Tratamiento
que definió.
Formato para informar el Monitoreo de las Estrategias de Tratamiento de los Riesgos. ( ver cuadro N° 16).
Periodo de evaluación de Resultados de la
Evidencia del Proyecciones de
implementación de medición de Recomendaciones
cumplimiento cumplimiento (e)
la estrategia la metas (c) (d)
(a) (b)
Diseño y Programación de
1/07/2016 Cumplida las nuevas capacitaciones - -
(Julio 2016).
1. Revisar que el 25% de las

capacitaciones se lleven a cabo de
Al 31/10/2016 se
Parcialmente Registro de asistencia a acuerdo a la programación.
1/07/2016 encontraran el 100%
Cumplida (75%) capacitaciones. 2. Verificar que las Listas de
de la revisión
Asistencias reflejen el 25% de
capacitaciones por realizar.
Fase VI: Monitoreo y Revisión
Actividades RECOMENDADAS para Monitorear los Planes de Tratamiento y Monitoreo
Seguimiento de las estrategias seleccionadas y monitoreo de las actividades

requeridas.
Verificar periódicamente el avance en la implementación de la estrategia de

tratamiento de los riesgos.
También se deben analizar y evaluar los controles existentes que contribuyen a

asegurar el cumplimiento de las medidas tomadas para mitigar los riesgos.
Fase VII: Comunicación y Consulta
Esta Fase corresponde a la información y consulta con los interesados

internos y externos, según resulte apropiado en cada etapa del PGR.
En primer lugar se debería elaborar o actualizar “Planes de Comunicación y
Consulta”, adaptados a la realidad de la organización, considerando como mínimo
los siguientes dos componentes :
Componente 1: Temas relativos al Riesgo
Reportes de análisis de indicadores relacionados con el Proceso de Gestión del Riesgo en

general.
Reportes de análisis relacionados con la Matriz de Riesgos Estratégica al Jefe de Servicio y

responsables de las áreas en la organización.
Reportes del Plan de Tratamiento de Riesgos al Jefe de Servicio y responsables de las áreas
en la organización.
Componente 2: Realizar Comunicaciones y Consultas Internas y Externas Eficaces
Tiene como objetivo, asegurarse que los responsables de la implementación del PGR y
las partes interesadas en la organización, comprendan las bases que han servido para
tomar decisiones y las razones por las que son necesarias determinadas acciones. Entre
los antecedentes que se pueden considerar están:
Identificar usuarios o clientes Internos y Externos.
Definir qué tipo de información y tipo de reportes se espera recibir y remitir.
Definir roles y responsables de la calidad para la información a recibir y remitir.
Definir periodicidad para la información a recibir y remitir.
Identificar y definir sistemas, canales y mecanismos para manejar la información.
Por último, se debería analizar a una fecha dada, los resultados de la

aplicación de los “Planes de Comunicación y Consulta” y emitir un
informe.
Se sugiere para esta tarea hacerle a los usuarios algunas consultas para
ayudar a esta tarea en relación a lo siguiente:
 En relación al CONTENIDO. ¿CONTIENE toda la información

necesaria?
 En relación con la OPORTUNIDAD. ¿Se facilita en el TIEMPO adecuado?
 En lo relativo a la ACTUALIDAD. ¿Es la MÁS RECIENTE disponible?
 En relación con la EXACTITUD. ¿Los datos SON CORRECTOS?
 Por último, en relación a la ACCESIBILIDAD. ¿Puede ser OBTENIDA FÁCILMENTE por
las personas adecuadas?
Registro del Proceso de Gestión del Riesgo
Para una adecuada implantación, mantención y actualización del Proceso de Gestión

del Riesgo, la organización gubernamental deberá definir los registros (estructura) cuya
finalidad es documentar dicho proceso, indicando al menos:
Tipo de registro
Contenido del registro
Responsable del registro
Cómo se tendrá acceso y almacenarán los registro
Por cuánto tiempo se deben almacenar y quién puede destruirlos y reemplazarlos
Si existen temas sensibles en él o los registros y qué medidas se tomarán en dicho caso
Temas Relevantes
 El Documento Técnico en estudio y la presente exposición, se encuentran

disponibles en la página web www.auditoriainternadegobierno.cl – Plataforma
de Aprendizaje.
 La metodología establece el levantamiento de al menos el 70% o cuyo
porcentaje se informe oportunamente por el Consejo de Auditoría, de los
procesos críticos, en la Matriz de Riesgos Estratégica.
 Desde el 2016 se incorporan los requerimientos del Oficio Circular N° 20 del
Ministerio de Hacienda sobre delitos LA/FT/DF, velando por la inclusión en los
mapas de riesgos institucionales.
 La función de auditoría interna tendrá un rol de apoyo para que la Dirección
pueda alinear el enfoque y las prácticas de Gestión del Riesgo con la norma NCh-
ISO 31000:2012. Además, debe proveer aseguramiento a la Dirección sobre la
efectividad de la gestión de los riesgos.
Principales Fuentes de Información
 Documento Técnico Nº 70: Implantación, mantención, y actualización del Proceso de Gestión

de Riesgos en el Sector Público.
 Documento Técnico Nº 71: Aseguramiento al Proceso de Gestión de Riesgos en el Sector
Público.
 Documento Técnico Nº 75: Técnicas y Herramientas para el Control de Procesos y la Gestión de
la Calidad, para su uso en la Auditoría y en la Gestión de Riesgos.
 Documento Técnico Nº 81: Diccionario de Riesgos para el Sector Público.
 Documento Técnico Nº 89: Propuesta Metodológicas para el levantamiento y modelamiento de
procesos.
 Documento Técnico Nº 91: Concepto Generales de Delitos Funcionarios.
 NCh-ISO 31000:2012 - Gestión del Riesgo - Principios y Orientaciones.
 NCh-ISO 31010:2013 - Gestión del Riesgo - Técnicas de Evaluación del Riesgo.
 NCh-Guía ISO 73:2012 - Gestión del Riesgo – Vocabulario.
 NCh-ISO 31004:2014 Gestión del Riesgo - Orientación para la implementación de ISO 31000 .
 NORMA ISO 31000:2009 Risk management - Principles and Guidelines. www.iso.org.
 Marco COSO ERM. www.erm.coso.org. y www.coso.org.
 OCEG, Red Book GRC Capability Model. www.oceg.org.
 El Marco Integrado de Control Interno – COSO I (Versión 2013).
 Oficio Circular N° 20/2015 del Ministerio de Hacienda. Orientaciones generales para el Sector
Público en relación al inciso sexto del artículo 3° de la ley N° 19.913.
Fin de la Presentación
ÁREA DE ESTUDIOS

DT 70 Minsal Agosto 2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DT 70 Minsal Agosto 2019

Cargado por

Copyright:

Formatos disponibles

DOCUMENTO TÉCNICO N° 104

OBJETIVO GUBERNAMENTAL DE AUDITORÍA N° 3

Objetivo Gubernamental de Auditoría N° 1 año 2018-2022

Actividades asociada a la Probidad Administrativa

 Introducción y Objetivo del Documento Técnico

En la actualidad un factor fundamental para el éxito de la gestión de una entidad, sea

El enfoque técnico está basado principalmente en la Norma Chilena NCh-ISO

El modelo metodológico para la Gestión del Riesgo en las organizaciones

El efecto de la incertidumbre sobre los objetivos (**)

La Gestión del Riesgo es un proceso estructurado,

NCh ISO 31000:2012 Gestión del Riesgo – Principios y Orientaciones

1. Crea Valor y lo Protege.

Cláusula 3 Cláusula 4 Cláusula 5

 En el Contexto Interno y Externo se debe plasmar lo siguiente

• Declaración de las intenciones y orientaciones globales de

• Definir, documentar y aprobar los roles de las personas relacionadas

• El Diccionario de Riesgos ha sido confeccionado y remitido por el

 Contexto de Gestión de Riesgo:

subprocesos, etapas, actividades y riesgos

•Metodología de levantamiento de procesos definida

•La técnica a utilizar para documentar y estructurar el

Conceptos según DT n° 70 del Consejo de Auditoria Interna de Gobierno.

Contexto de Gestión de Riesgo: Metodología

Identificación de Riesgos Operativos Relevantes y Señales de Alerta (LA/FT/DF).

Misión Institucional: XXX XXX XXX XXX

Nivel de Contribución Proceso

Proceso 3 3 3 2 3 2,8 Procesos

....... .......... .......... .......... .......... 1,5

Los subprocesos corresponden a aquellos componentes principales en el desarrollo

Identificación de Riesgos Operativos Relevantes y Señales de Alerta (LA/FT/DF)

Una vez identificados los objetivos operativos correspondientes a cada etapa o

Los controles que tiene la organización gubernamental y que se orientan a

Luego se calculará el nivel de exposición al Riesgo y se determinará por

La aplicación de este procedimiento se obtendrá la “Matriz de Riesgos Estratégica” de la

• PONDERACIÓN ESTRATÉGICA por Subprocesos

Procesos Transversales en la Administración del Estado:

Ponderación Estratégica por Subprocesos Componentes de Procesos

Ponderación Estratégica por Subprocesos Componentes de

La metodología considera la identificación, análisis y valoración, de riesgos y

Ejemplo: Identificación de Riesgo

Aplicación de la Tipología de Riesgos:

*DT N°81 Versión 01-“DICCIONARIO DE RIESGOS PARA EL SECTOR PUBLICO” Pág. 11

Ciclo de Compras • Apertura prematura de las ofertas.

Proceso mediante el cual se busca ocultar o disimular la naturaleza,

Es cualquier forma de acción económica, solicitud, recaudación,

Se refiere al conjunto de delitos que pueden ser cometidos

(Anexo N°12 - DT N°70)

A contar del año 2016, cuando corresponda, se debe asociar a los

Y PROYECTOS entrega del

( Ver Anexo Nº13)

El NIVEL DE COBERTURA de la señal de alerta de delitos LA/FT/DF está

Luego de haber identificado los Riesgos, se deben identificar los

Analizar si está documentado, esto es, FORMALIZADO por escrito.

Para el Análisis de Riesgos se deben considerar las siguientes acciones a

Considerar la RETROALIMENTACIÓN de la auditoría interna acerca del PGR.

Considerar los nuevos enfoques y lineamientos del Gobierno.

Incorporación del Concepto de Ponderación Estratégica:

En esta Fase se debe identificar los riesgos en relación a su

Los riesgos sin los

 Efecto de la incertidumbre sobre los objetivos (NCH-ISO 73/2012)

Los riesgos sin los

Nivel de Consecuencia (C)

Efectividad del En esta Fase se debe analizar la efectividad de los