(GU-MODER-01) 02 Gestion Del Riesgo en La CGR

Código: GU-MODER-01
Contraloría General de la República Versión: 02

SISTEMA DE GESTIÓN DE LA CALIDAD Vigencia: 12/12/2022
GUÍA
GESTIÓN DEL RIESGO EN LA CONTRALORÍA

GENERAL DE LA REPÚBLICA
NOMBRE CARGO FIRMA FECHA

Firmado digitalmente por ARCINIEGA
MUÑOZ Adriana Del Rocio FAU
Aprobado Adriana Arciniega Subgerente de 20131378972 soft
Motivo: Soy el autor del documento
por: Muñoz Modernización Fecha: 12-12-2022 17:07:04 -05:00
Firmado digitalmente por LOAYZA

PARRAGA Gatsby FAU 20131378972 soft
Supervisora General de Motivo: Soy el autor del documento
Gatsby Loayza Párraga Fecha: 12-12-2022 18:33:46 -05:00
Modernización
Revisado por:
Firmado digitalmente por GONZALES
NAPAICO Ana Elsa FAU 20131378972
Supervisora del Sistema soft
Ana Gonzales Napaico Motivo: Soy el autor del documento
Integrado de Gestión Fecha: 07-12-2022 17:10:20 -05:00
Firmado digitalmente por TUPA PARDO

DE MEZARINA Ana Maria FAU
Ana Tupa Pardo de Especialista en Gestión 20131378972 soft
Mezarina de Riesgos Fecha: 12-12-2022 08:48:47 -05:00
Elaborado
por: Firmado digitalmente por BENDEZU
CARDENAS Angel Arturo FAU
Ángel Bendezú Especialista en Gestión 20131378972 soft
Cárdenas Pública Fecha: 07-12-2022 17:05:02 -05:00
Firmado digitalmente por TRESIERRA

PAZ Elias Martin FAU 20131378972
Supervisor Técnico de soft
Martin Tresierra Paz Motivo: Soy el autor del documento
Gestión de Procesos Fecha: 07-12-2022 22:11:26 -05:00
Revisión
Técnica por: Firmado digitalmente por MARINI
LOPEZ Luis Alberto FAU 20131378972
Especialista de Gestión soft
Luis Marini López Motivo: Soy el autor del documento
de Procesos y Calidad Fecha: 07-12-2022 16:05:31 -05:00
“Cualquier impresión no es válida para el SGC”

F06(PR-NORM-02)00
GUÍA Código: GU-MODER-01
GESTIÓN DEL RIESGO EN LA CONTRALORÍA Versión: 01
GENERAL DE LA REPÚBLICA Página 2 de 30
TABLA DE CONTENIDO
TABLA DE CONTENIDO.....................................................................................................................2
I. OBJETIVO Y ALCANCE ..................................................................................................................3
1.1. Objetivo ..................................................................................................................... 3
1.2. Alcance...................................................................................................................... 3
II. MARCO CONTEXTUAL ..................................................................................................................3
III. SIGLAS Y DEFINICIONES ............................................................................................................4
3.1. ¿Qué es un riesgo? ................................................................................................. 4
3.2. ¿Qué significa la gestión del riesgo en la CGR? ................................................. 4
3.3. SIGLAS ...................................................................................................................... 4
3.4. DEFINICIONES.......................................................................................................... 5
IV. RESPONSABILIDADES ................................................................................................................5
V. MARCO TÉCNICO Y NORMATIVO..............................................................................................6
5.1. Marco técnico ........................................................................................................... 6
5.2. Marco normativo ...................................................................................................... 8
VI. DESARROLLO ..............................................................................................................................10
6.2. Evaluación del riesgo ............................................................................................ 15
6.2.1. Identificación del riesgo..................................................................................... 15
6.3. Tratamiento del riesgo .......................................................................................... 23
6.4. Seguimiento y revisión ......................................................................................... 25
6.5. Comunicación y consulta ..................................................................................... 28
REFERENCIAS DOCUMENTALES ................................................................................................29
REGISTROS ........................................................................................................................................29
CONTROL DE CAMBIOS .................................................................................................................30

F06(PR-NORM-02)00
I. OBJETIVO Y ALCANCE
1.1. Objetivo
El objetivo del presente documento es brindar orientación metodológica para el desarrollo y

mantenimiento de la Gestión del Riesgo en la Contraloría General de la República (CGR), con la
finalidad de anticipar y gestionar los riesgos y oportunidades a los que están expuestas las operaciones
de la institución.
1.2. Alcance
La presente guía es aplicable a todos los órganos y unidades orgánicas de la CGR, de acuerdo a su
correspondiente competencia funcional.
II. MARCO CONTEXTUAL
 Ley N° 27658 – Ley Marco de Modernización de la Gestión del Estado y sus modificatorias.
 Ley N° 27785 – Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la
República y modificatorias.
 Ley N° 28716 – Ley de Control Interno de las Entidades del Estado y modificatorias.
 Ley N° 30742 – Ley de Fortalecimiento de la Contraloría General de la República y del Sistema
Nacional de Control.
 Decreto Supremo N° 092-2017-PCM, que aprueba la Política Nacional de Integridad y Lucha contra
la Corrupción.
 Decreto Supremo N° 044-2018-PCM, que aprueba el Plan Nacional de Integridad y Lucha contra la
Corrupción 2018-2021.
 Decreto Supremo N° 123-2018-PCM, que aprueba el Reglamento del Sistema Administrativo de
Modernización de la Gestión Pública.
 Resolución de Contraloría N° 179-2021-CG, que Aprueban la Estructura Orgánica y el Reglamento
de Organización y Funciones de la Contraloría General de la República y sus modificatorias.
 Resolución de Contraloría N° 085-2019-CG, que aprueba el “Plan de Modernización de la
Contraloría General de la República”.
 Resolución de Contraloría N° 144-2019-CG, que aprueba la “Política institucional de la Gestión del
Riesgo de la Contraloría General de la República”.

F06(PR-NORM-02)00
 Guía para las Normas de Control Interno del Sector Público: Información adicional sobre la
Administración de Riesgo de la Entidad. INTOSAI. GOV 9130.
 Marco de Gestión de Riesgo Empresarial – Integrando Estrategia y Desempeño. COSO ERM 2017.
 Norma Internacional ISO 31000, Gestión del Riesgo - Directrices, segunda edición 2018-02.
 Directiva Nº 017-2020-CG/MODER “Gestión del Riesgo en la Contraloría General de la República”.
 Procedimiento “Gestión del Riesgo” PR-MODER-04, establece el marco metodológico para la
gestión del riesgo en la CGR.
III. SIGLAS Y DEFINICIONES
3.1. ¿Qué es un riesgo?
Para los efectos del presente documento aplicaremos la siguiente definición:
“Riesgo es el efecto de la incertidumbre, que, si se produce, puede afectar positiva o

negativamente en la consecución de uno o más objetivos”.
3.2. ¿Qué significa la gestión del riesgo en la CGR?
La gestión del riesgo comprende el conjunto de actividades coordinadas, para que la institución dirija y
controle los eventos (internos o externos) que puedan afectar de manera positiva o negativa el logro de
los objetivos institucionales, los procesos o las actividades, contribuyendo a la consolidación de una
cultura de autocontrol y autoevaluación al interior de la CGR.
En el marco del ejercicio de la función sustantiva de la CGR, el riesgo

debe entenderse como aquel efecto positivo o negativo que pueda
incidir en el desarrollo del servicio de control gubernamental y
relacionado. En tal sentido, no debe confundirse con las situaciones
adversas que son identificadas y comunicadas a las entidades públicas
mediante los informes de control.
3.3. SIGLAS
 COSO : Committee of Sponsoring Organizations of the Treadway Commission.

 INTOSAI : Organización Internacional de las Entidades Fiscalizadoras Superiores.
 ISO : International Organization for Standardization.
Además, cuando en el presente documento se hace referencia a alguna gerencia o subgerencia, deberá
entenderse que se refiere a aquel órgano o unidad orgánica que haga sus veces.

F06(PR-NORM-02)00
3.4. DEFINICIONES
 Apetito al riesgo: El nivel de riesgo que una institución está dispuesta a asumir con el fin de
alcanzar sus objetivos.
 Consecuencia: Resultado de un evento que afecta a los objetivos.
 Control: Medida que mantiene o modifica un riesgo u oportunidad.
 Impacto: Consecuencia que ocasiona la materialización de un riesgo u oportunidad (en costo,
tiempo, alcance, calidad, entre otros).
 Índice del riesgo: Expresión numérica de la relación entre la probabilidad y el impacto.
 Oportunidad: La posibilidad de que un evento ocurra y afecte positivamente a la consecución de
los objetivos, la cual es identificada al inicio del proceso de evaluación del riesgo, como resultado
de relacionar la oportunidad a una fortaleza, identificadas en el formato “Determinación del
Contexto”.
 Probabilidad: Grado de posibilidad de que ocurra el evento de riesgo u oportunidad en un período
de tiempo determinado (cuántas veces históricamente ha ocurrido, o qué posibilidad existe de que
ocurra en el futuro).
 Proceso: Conjunto de actividades mutuamente relacionadas que utilizan las entradas para
proporcionar un resultado previsto.
 Propietario del proceso: Persona a quien se le asigna la autoridad para la gestión de un proceso,
cuya principal responsabilidad es lograr el cumplimiento de los objetivos del proceso, además tiene
la responsabilidad de diseñar el proceso, aprobar la documentación del proceso, monitorear los
indicadores de desempeño, promover la identificación de oportunidades de mejora e impulsar su
implementación. Asimismo, lidera las actividades vinculadas a la implementación y mantenimiento
del Sistema Integrado de Gestión (procesos, calidad, riesgos, antisoborno, cumplimiento, entre
otros) en su proceso.
 Propietario del riesgo: Responsable de la gestión, seguimiento y control del riesgo asignado, así
como la implementación de las acciones definidas en el plan de tratamiento del riesgo.
 Riesgo residual: Riesgo que permanece después de haberse implementado las acciones del plan
de tratamiento del riesgo.
 Sistema de gestión: Conjunto de elementos de una organización interrelacionados o que
interactúan para establecer políticas, objetivos y procesos para lograr los objetivos.
 Tratamiento del riesgo: Acción definida para mantener los niveles de criticidad de los riesgos
residuales en línea con el apetito de riesgo.
IV. RESPONSABILIDADES
La Subgerencia de Modernización en su calidad de unidad orgánica competente en materia de

gestión del riesgo es responsable de:
 Conducir, ejecutar y supervisar las actividades y acciones propias de la implementación y

mantenimiento de la gestión del riesgo en los procesos de la CGR.
 Planificar y ejecutar las revisiones internas al proceso de la gestión del riesgo, a fin de recomendar
su actualización cuando corresponda.

F06(PR-NORM-02)00
 Absolver las consultas referidas al uso y aplicación de la presente guía.
Equipo de trabajo para la identificación de los riesgos a nivel estratégico: Conformado por
diversos propietarios de los procesos que tienen la responsabilidad de determinar el contexto y los
riesgos y oportunidades a nivel estratégico a los que está expuesto la CGR.
Equipo de trabajo para la identificación de los riesgos a nivel táctico: Conformado por el
propietario del proceso, el facilitador del proceso y los colaboradores del órgano o unidad orgánica que
tienen la responsabilidad de determinar el contexto y los riesgos y oportunidades del proceso a su
cargo.
Otras responsabilidades están definidas en la Directiva Nº 017-2020-CG/MODER “Gestión del

Riesgo en la Contraloría General de la República” y el procedimiento “Gestión del Riesgo” PR-
MODER-04.
V. MARCO TÉCNICO Y NORMATIVO
5.1. Marco técnico

A nivel internacional existen modelos de gestión que establecen el método para la ejecución del proceso
de gestión del riesgo, detallando las actividades a seguir para poder gestionarlos. Entre estos modelos
de gestión del riesgo, están principalmente el INTOSAI GOV 9130, COSO ERM, ISO 31000. Estos
modelos se constituyen en mejores prácticas de gestión, por lo que son materia de aplicación por
organizaciones e instituciones a nivel nacional e internacional.
5.1.1. INTOSAI GOV 9130 - Guía para las Normas del Control Interno del Sector
Público. Información adicional sobre la Administración de Riesgos de la
Entidad
A nivel de la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), se
emitió en el año 2007 la Guía para las Normas del Control Interno del Sector Público - Información
adicional sobre la Administración de Riesgos de la Entidad (INTOSAI GOV 9130), documento de
consulta para las Entidades Fiscalizadoras Superiores (EFS), que describe un marco de trabajo
recomendado para aplicar los principios de gestión del riesgo en las entidades del sector público y
proporciona las bases mediante las cuales una entidad puede evaluar sus riesgos.
INTOSAI. GOV 9130, utiliza el modelo COSO ERM correspondiente a la versión del año 2004 para
definir la gestión del riesgo como: "un proceso efectuado por la junta directiva de una entidad, la
gerencia y el personal, que aplica en el planteamiento de la estrategia y a lo largo de la Entidad, está
diseñado para identificar eventos potenciales que podrían afectar a la entidad y permite administrar el
riesgo dentro de los límites aceptados, proveyendo la seguridad razonable para la consecución de
objetivos de la entidad".
5.1.2. COSO ERM 2017 - Marco de Gestión de Riesgos Empresarial. Integrando

Estrategia y Desempeño
El Marco de Gestión de Riesgos Empresarial – Integrando Estrategia y Desempeño define al riesgo
como: “La posibilidad de que ocurran eventos y afecten a la consecución de la estrategia y a los
objetivos del negocio”.
F06(PR-NORM-02)00
El modelo resalta la importancia de integrar la gestión del riesgo en la organización, desde la estrategia
alineada a la misión, visión y valores, hasta los objetivos y operaciones, contribuyendo así a la mejora
del desempeño para la creación, preservación y consecución de valor en la organización.
Este modelo tiene cinco componentes y veinte principios:
Figura N° 2: Componentes y Principios del COSO ERM
Fuente: COSO ERM, Marco de Gestión de Riesgo Empresarial – Integrando Estrategia y Desempeño.
Junio 2017.
5.1.3. Norma ISO 31000:2018, Gestión del Riesgo – Directrices

En el marco de la Norma ISO 31000:2018 emitida por el Organismo Internacional de Normalización, se
define el riesgo como: “efecto de la incertidumbre sobre los objetivos”; siendo además la gestión del
riesgo definida como: “actividades coordinadas para dirigir y controlar la organización con relación al
riesgo”.
Asimismo, señala que el proceso de gestión del riesgo implica la aplicación sistémica de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto
y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.
De la misma manera, señala que la gestión del riesgo es iterativa y contribuye a las organizaciones a
establecer su estrategia, lograr sus objetivos y tomar decisiones informadas.

F06(PR-NORM-02)00
Este proceso se ilustra a continuación:
Figura N° 3: Proceso de Gestión del Riesgo – ISO 31000
Fuente: Norma ISO 31000-2018.
5.2. Marco normativo

El marco normativo vigente, aplicable a las entidades de la Administración Pública, contempla la gestión
del riesgo como una herramienta que permite alcanzar los objetivos institucionales, pasando de un
enfoque reactivo hacia un enfoque que desarrolla aspectos de prevención.
5.2.1. La gestión del riesgo en el marco de la modernización de la gestión pública

El Sistema Administrativo de Modernización de la Gestión Pública establece la evaluación de riesgos
de gestión como un medio para modernizar la gestión pública 1. En ese sentido, las entidades públicas
coordinan e implementan actividades destinadas a la gestión del riesgo como mecanismo para
contribuir al cumplimiento de los objetivos institucionales. Comprende la aplicación sistemática de
prácticas para la identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo,
independientemente de su fuente de origen.
1Artículo N° 7 del Reglamento del Sistema Administrativo de Modernización de la Gestión Pública aprobado con
D.S. N° 123-2018-PCM.
F06(PR-NORM-02)00
5.2.2. La gestión del riesgo en el marco de la integridad y lucha contra la

corrupción
La Política Nacional de Integridad y Lucha contra la Corrupción, se encuentra organizada en tres ejes,
en donde el segundo eje, se refiere a la identificación y gestión del riesgo y contempla dentro de sus
objetivos específicos el “2.4: fortalecer la gestión de riesgos al interior de cada entidad pública”. Dicho
objetivo específico ha sido desarrollado en el Plan Nacional de Lucha Contra la Corrupción y establece
en su Acción N° 48, “Desarrollar una metodología específica de identificación y gestión del riesgo de
corrupción, que incluya actividades de mapeo y evaluación adaptadas para apoyar a las entidades
gubernamentales en sus esfuerzos por implementar controles para prevenir, detectar y responder
eficazmente a la corrupción”; encargo que se lo atribuyen a la Presidencia del Consejo de Ministros.
5.2.3. La gestión del riesgo en el marco del control interno

La Ley de Control Interno2 en las entidades del estado establece como uno de sus componentes a “la
evaluación de riesgos; en cuya virtud deben identificarse, analizarse y administrarse los factores o
eventos que puedan afectar adversamente el cumplimiento de los fines, metas, objetivos, actividades
y operaciones institucionales”.
En el marco estratégico para la gestión del riesgo, la CGR viene desarrollando una estructura y un
enfoque que permita dirigir y controlar los eventos que puedan afectar el logro de los objetivos
institucionales, contribuyendo a la consolidación de una cultura preventiva.
5.2.4. Plan de Modernización de la CGR

El “Plan de Modernización de la Contraloría General de la República”, tiene como objetivo mejorar el
nivel de desempeño de la gestión institucional, contando para ello con tres componentes estratégicos,
dentro de los cuales se encuentra la Gestión del Riesgo, los mismos que abarcan todos los procesos
de la CGR, asegurando de manera progresiva la sostenibilidad de las acciones que se adopten para
gestionar de manera eficiente y eficaz la organización.
5.2.5. Política Institucional de Gestión de Riesgos de la CGR

La “Política Institucional de Gestión de Riesgos de la Contraloría General de la República” tiene por
objetivo establecer el compromiso y los lineamientos generales sobre los cuales se efectuará la gestión
de riesgos en la CGR, para ello establecen los siguientes lineamientos:
 La Gestión de Riesgos se alinea a la estrategia de la Contraloría General de la República y se
incorpora en las funciones, procesos y actividades de la Institución.
 La Gestión de Riesgos comprende la planificación, identificación, análisis, evaluación y tratamiento
de los riesgos; así como la gestión de informes y reportes.
 Los riesgos deben medirse en función a su probabilidad de ocurrencia y el impacto sobre los
objetivos y resultados de la institución.
 El costo de la implementación de los controles no debe superar los beneficios previstos.
 La Contraloría General de la República fomenta una cultura de gestión de riesgos en todos sus
órganos y unidades orgánicas a nivel nacional.
 La unidad orgánica encargada de la gestión de riesgos de la Contraloría General de la República,
y responsable de proponer la planificación y ejecutar las actividades y acciones propias de la
implementación y mantenimiento del Sistema de Gestión de Riesgos en los procesos de la
institución, emitirá, en el ámbito de su competencia, los documentos necesarios referidos a la
2 Ley N° 28716 Ley de Control Interno de la Entidades del Estado.

F06(PR-NORM-02)00
metodología, procedimientos y otras herramientas pertinentes para la adecuada gestión de riesgos,

en cumplimiento de la presente Política.
 Todos los órganos y unidades orgánicas de la Contraloría General de la República, serán
responsables de aplicar en sus funciones, procesos y actividades, la metodología, procedimientos
y herramientas que se desarrollen como parte de la Gestión de Riesgos, de acuerdo al ámbito de
sus competencias.
 La metodología de Gestión de Riesgos deberá precisar el perfil del apetito al riesgo que asumirá la
institución.
 La presente Política debe ser revisada periódicamente para garantizar la continuidad de la Gestión
de Riesgos.
5.2.6. Directiva de Gestión del Riesgo en la Contraloría General de la República

La Directiva tiene como finalidad asegurar la adecuada implementación de la gestión del riesgo en la
CGR, a fin de controlar de forma permanente aquellos posibles eventos que tuvieran un impacto sobre
el logro de los objetivos de las entidades, en el marco de un enfoque preventivo y eficiente.
5.2.7. Procedimiento “Gestión del Riesgo”

El procedimiento “Gestión del Riesgo” PR-MODER-04, establece el marco metodológico para la gestión
del riesgo a nivel institucional.
VI. DESARROLLO
La presente guía desarrolla el proceso de gestión del riesgo3, alineado al marco técnico desarrollado.
A continuación, se muestran los componentes de la gestión del riesgo en la CGR:
Figura N° 4: Componentes de la Gestión del riesgo en la CGR
Alcance, contexto y criterios

Comunicación y consulta
Seguimiento y revisión
Evaluación del riesgo

Identificación del riesgo
Análisis del riesgo
Valoración del riesgo
Tratamiento del riesgo
Fuente: Elaboración propia basado en diferentes marcos de referencia.
3 Procedimiento “Gestión del Riesgo” PR-MODER-04.

F06(PR-NORM-02)00
6.1. Alcance, contexto y criterios
6.1.1. ¿Qué es el alcance?

Es el ámbito de aplicación de la gestión del riesgo en la institución.
La gestión del riesgo puede aplicarse a niveles distintos (p.ej. estratégico, táctico, proyecto, otros). Es
importante establecer el alcance de aplicación, los objetivos a considerar y su alineamiento con los
objetivos de la institución.
Figura N° 5: Nivel de Gestión del Riesgo en la CGR
ESTRATÉGICO
Relacionado a los Objetivos
Estratégicos, productos o
servicios de la entidad
TÁCTICO
Relacionado a los Objetivos
de procesos o subprocesos
Fuente: Elaboración propia.
6.1.2. ¿Qué es el contexto?

El contexto de la CGR es el conjunto de factores internos y externos que afectan a la institución, estos
factores pueden tener un efecto positivo o negativo en el logro de los objetivos.
El contexto de la institución se debe revisar por lo menos una vez al año.
La herramienta para realizar el análisis de contexto es el análisis FODA, el cual permite identificar como
factores internos, las fortalezas y debilidades de la institución y como factores externos, las
oportunidades y amenazas del entorno.

F06(PR-NORM-02)00
Los eventos generados a partir del contexto de la entidad o proceso, pueden derivarse en factores
externos, los cuales pueden ser:
 El entorno político, legal, tecnológico, económico, social, cultural y natural; y,
 Relación con las partes interesadas, sus percepciones y sus valores, tales como el Congreso,
Ministerio Público, el Poder Judicial, proveedores, las Sociedades de Auditoría, las entidades
públicas, la ciudadanía, la sociedad civil organizada, los medios de comunicación, entre otras.
Así como en factores internos, que están relacionados a:

 La estrategia de la institución;
 Estructura orgánica, funciones y obligación de la CGR de rendir cuentas;
 Políticas y objetivos institucionales;
 Competencias, recursos y conocimiento técnico del personal;
 Los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto
formales como informales);
 Relación con las partes internas interesadas, sus percepciones, tales como la Alta Dirección, las
gerencias regionales de control, los órganos de control interno, el sindicato, entre otros;
 Cultura organizacional y el ambiente ético;
 Normas, directrices, entre otros; y,
 Eficacia de los controles operacionales implementados.
Para la determinación del contexto se utiliza principalmente la información consignada en la

“Determinación del contexto” a Nivel Estratégico aprobado, las actividades del proceso y la matriz de
caracterización del proceso, el resultado del análisis se registra en el Formato “Determinación del
Contexto” F01(PR-MODER-04).
INSTRUCCIONES DE LLENADO
A continuación, se detallan las instrucciones de llenado de información para la determinación del

contexto:

F06(PR-NORM-02)00
Para analizar el contexto registrar la siguiente información:
 "1. NOMBRE DE LA INSTITUCIÓN / PROCESO (CAMPO 1)"

 "2. MISIÓN / OBJETIVO DEL PROCESO (CAMPO 2)"
En el caso de la matriz estratégica, registrar en el CAMPO 1 la denominación “CGR” y en el CAMPO 2,

registrar la misión de la CGR vigente.
En el caso de las matrices tácticas, registrar en el CAMPO 1 el nombre del proceso analizado y en el
CAMPO 2 el objetivo del proceso.
Luego, en los siguientes campos registrar:
 Las FORTALEZAS (CAMPO 3) de la institución/proceso teniendo en cuenta los factores internos

con los que cuenta la institución.
 Las DEBILIDADES (CAMPO 4) de la institución/proceso teniendo en cuenta los factores internos
que constituyen barreras para lograr los objetivos.
 Las OPORTUNIDADES (CAMPO 5) de la institución/proceso teniendo en cuenta los factores
externos del entorno que pueden ser aprovechados.
 Las AMENAZAS (CAMPO 6) de la institución/proceso teniendo en cuenta los factores externos del
entorno que atentan contra la estabilidad de la organización.
EJEMPLO
1. NOMBRE DE LA INSTITUCIÓN / PROCESO Servicio de Control Específico a Hechos con presunta

(CAMPO 2) Irregularidad
Ejercer el control gubernamental puntual y abreviado,

que permita identificar la existencia de presuntas
2. MISIÓN / OBJETIVO DEL PROCESO: responsabilidades respecto de la utilización y gestión de
(CAMPO 2) los recursos y bienes del Estado, así como el
cumplimiento de las normas legales aplicables.
CONTEXTO INTERNO
FORTALEZAS (F) DEBILIDADES (D)
(CAMPO 3) (CAMPO 4)
F1. Ejecución de servicios de control posterior a través

de las modalidades control sobre hechos específicos D1. Limitaciones en la implementación del Reglamento
con presunta irregularidad y acciones de oficio de Infracciones y Sanciones (RIS), debido a su
posterior, que buscan el ejercicio de un control complejidad.
abreviado y puntual en áreas de riesgo identificadas.
CONTEXTO EXTERNO
OPORTUNIDADES (O) AMENAZAS (A)
(CAMPO 5) (CAMPO 6)
O1. Incremento de interés de la ciudadana y de sus A1. Falta de transparencia y una débil cultura de
organizaciones por participar en la gestión pública y el rendición de cuentas por parte de las autoridades y
control social de los recursos públicos. funcionarios públicos.

F06(PR-NORM-02)00
6.1.3. ¿Qué son los criterios?

Son las normas o principios que permiten definir, identificar y delimitar los riesgos a los cuales se ve
expuesta la institución; asimismo, son los parámetros establecidos por la institución de acuerdo a su
naturaleza, para que pueda proceder a describir los riesgos / oportunidades y tomar decisiones,
teniendo en cuenta el comportamiento que la organización tiene frente al riesgo. En función a la
naturaleza del riesgo, la institución podrá tomar decisiones para evaluar el riesgo y seleccionar el
tratamiento.
Los criterios para el riesgo son, entre otros:
Apetito al riesgo: Nivel de riesgo que la institución está dispuesta a asumir con el fin de alcanzar los
objetivos (se puede contar con dos líneas de apetito una para riesgos y otra para oportunidades).
1. Apetito para riesgos4: “Nivel Medio”.
2. Apetito para oportunidades: “Nivel Medio”.
Declaración de apetito de riesgo:
“En la CGR el apetito para los riesgos y oportunidades se ha determinado:

el Nivel Medio.”
En el caso de los riesgos de corrupción, el apetito es Nivel Bajo.
Tipo de riesgo: Clasificación de los riesgos de acuerdo a su naturaleza, entre los cuales tenemos:
Estratégico, reputacional, corrupción, cumplimiento, y operativo.
TIPOS DE RIESGOS
Tipos Conceptos
Asociado a la forma de administrar la institución. Se enfoca en asuntos
globales relacionados con la misión y el cumplimiento de los objetivos
Estratégico ES
estratégicos, la clara definición de políticas y el diseño y conceptualización de
la institución por la Alta Dirección.
Vinculado a la percepción, confianza y credibilidad por parte de los clientes y

Reputacional RE
partes interesadas hacia la institución.
Relacionado con acciones, omisiones, uso indebido del poder, de los

Corrupción CO recursos o de la información para la obtención de un beneficio particular o de
un tercero.
Vinculado a la capacidad de la institución para dar cumplimiento a la

Cumplimiento CU
legislación, normativa y obligaciones contractuales.
Asociado a la parte operativa y técnica de la entidad, incluye riesgos

Operativo OP provenientes del uso de tecnologías, de los sistemas de información y de la
definición e implementación de los procesos y la estructura organizacional.
4 Para el caso de los riesgos de soborno, de acuerdo al Sistema de Gestión Antisoborno (basado en la norma
internacional ISO 37001), se tratan los riesgos más que bajos.
F06(PR-NORM-02)00
6.2. Evaluación del riesgo

La evaluación del riesgo sigue tres etapas: (1) identificación del riesgo, (2) análisis del riesgo y (3)
valoración del riesgo.
A continuación, detallamos como desarrollar la evaluación del riesgo.
6.2.1. Identificación del riesgo

La identificación del riesgo u oportunidad se realiza sobre la base de los factores internos o externos
de la institución para el caso de los riesgos a nivel estratégico, y de los factores internos o externos de
los procesos para la identificación de riesgos tácticos; los mismos que pueden impactar en el logro de
sus objetivos, dependiendo de su naturaleza.
6.2.1.1. ¿Cómo se identifica el riesgo?

Pasos para la identificación del riesgo u oportunidad:
1. Teniendo en cuenta el nivel de gestión del riesgo a aplicarse (ver capítulo 6.1.2), se conforma un
grupo de trabajo, el cual estará integrado por colaboradores con conocimiento de la institución o
del proceso (según sea el caso); así como por un especialista en gestión del riesgo.
2. Luego, utilizando la información registrada en el formato F01(PR-MODER-04) “Determinación del

Contexto”, identifican y registran los riesgos que puedan afectar el cumplimiento de los objetivos
estratégicos, de los procesos en el formato F02(PR-MODER-04) “Matriz Integral de Riesgos y
Oportunidades”.
A continuación, se detalla las instrucciones para el llenado del formato F02(PR-MODER-04) “Matriz
Integral de Riesgos y Oportunidades”, secciones “Encabezado” e “Identificación del Riesgo”:
Encabezado
 NOMBRE DE LA INSTITUCIÓN (CAMPO 01): Registrar “Contraloría General de la República”.

 ÓRGANO O UNIDAD ORGÁNICA (CAMPO 02): Registrar el Órgano o Unidad Orgánica a la que
pertenece.
 PROCESO (CAMPO 03): Registrar el nombre del proceso a analizar sus riesgos y oportunidades.

F06(PR-NORM-02)00
 OBJETIVOS PROCESO, PROYECTO (CAMPO 04): Registrar el objetivo a lograr por el proceso o
proyecto.
Identificación del Riesgo parte I
IDENTIFICACIÓN DEL RIESGO
CÓDIGO DEL RIESGO U NOMBRE DEL PROPIETARIO

CONSECUENCIA TIPO DE RIESGO
NRO. CONTEXTO OPORTUNIDAD RIESGO DEL RIESGO
(CAMPO 08) (CAMPO 09)
(CAMPO 05) (CAMPO 06) (CAMPO 07) (CAMPO 10)
 NRO.: Número correlativo de los riesgos u oportunidades.

 CÓDIGO DEL CONTEXTO (CAMPO 05): Registrar el código de la fortaleza, debilidad, oportunidad
y amenaza de la matriz de contexto relacionado con el Riesgo u Oportunidad.
 RIESGO U OPORTUNIDAD (CAMPO 06): Seleccionar si va a registrar un Riesgo o una
Oportunidad.
 NOMBRE DEL RIESGO (CAMPO 07): Debe comprender la causa y el efecto de la materialización
del riesgo. El riesgo debe estar escrito en un lenguaje común, compresible y breve. Redactar el
nombre del riesgo bajo la siguiente estructura: [EFECTO] + [CAUSA].
Recuerda: La claridad en el nombre del riesgo, es fundamental para su

posterior análisis y el desarrollo de acciones efectivas.
 CONSECUENCIA (CAMPO 08): Redactar el efecto resultante si el riesgo se materializa.

 TIPO DE RIESGO (CAMPO 09): Seleccionar de la lista los tipos de riesgo: Estratégico, Corrupción,
Operativo, Cumplimiento o Reputacional.
 PROPIETARIO DEL RIESGO (CAMPO 10): Seleccionar de la lista, el órgano o unidad orgánica
responsable del tratamiento del riesgo. El propietario es responsable de la gestión, seguimiento y
control del riesgo asignado.
Identificación del Riesgo parte II

SISTEMA AFECTADO INTERACCIÓN (CAMPO 13)
(CAMPO 11) (Completar solo para Antisoborno)
OBJETIVO ASOCIADO
SEGURIDAD Y SALUD
(CAMPO 12)
SEGURIDAD DE LA
ANTISOBORNO
INFORMACION
OCUPACIONAL
CONTINUIDAD
OPERATIVA
CALIDAD
TERCERA PARTE PUESTOS RELACIONADO

RELACIONADA (externo) (interno)

F06(PR-NORM-02)00
 SISTEMA AFECTADO (CAMPO 11): Marcar con una "X" el sistema de gestión afectado. Pueden
ser: Antisoborno, Calidad, Seguridad de Información, Seguridad Ocupacional, Continuidad
Operativa.
 OBJETIVO ASOCIADO (CAMPO 12): Escribir el(los) número(s) del(los) objetivo(s) estratégico(s)
que puede(n) ser afectados por el riesgo identificado.
 INTERACCIÓN (CAMPO 13) (Completar solo para Antisoborno): En ambos campos solamente
para el Sistema de Gestión Antisoborno, redactar quien(s) (nombre de la función o rol) sea interno
y externo interactúan para que se materialice el riesgo de antisoborno identificado.
Nota: Sólo en caso de marcar “Sistema de Gestión Antisoborno”, se debe

llenar el (CAMPO 13).
EJEMPLO
Encabezado
NOMBRE DE LA INSTITUCIÓN: (CAMPO 01) CONTRALORÍA GENERAL DE LA REPUBLICA
ÓRGANO O UNIDAD ORGÁNICA: (CAMPO 02) Vicecontraloría de Servicios de Control Gubernamental
Servicio de Control Específico a Hechos con presunta

PROCESO: (CAMPO 03)
Irregularidad
OBJETIVOS PROCESO, PROYECTO (CAMPO 04) Ejercer el control gubernamental puntual y abreviado, que
permita identificar la existencia de presuntas
responsabilidades respecto de la utilización y gestión de los
recursos y bienes del Estado, así como el cumplimiento de
las normas legales aplicables.
Identificación del Riesgo parte I
CÓDIGO DEL RIESGO U PROPIETARIO DEL

NOMBRE DEL RIESGO CONSECUENCIA TIPO DE RIESGO
NRO. CONTEXTO OPORTUNIDAD RIESGO
(CAMPO 07) (CAMPO 08) (CAMPO 09)
Que los Servicios de

Control no se
realicen de manera
Incumplimiento
oportuna, debido a la Vicecontraloría de
AHE- de plazos de los
D1, A1 RIESGO complejidad de la OPERATIVO Servicios de Control
001 servicios de
implementación del Gubernamental
control.
RIS y la débil cultura
de rendición de
cuentas.

F06(PR-NORM-02)00
Mayor participación
ciudadana en el
Incrementar el
control social a partir
número de
de los resultados de
denuncias de la
los servicios de Vicecontraloría de
AHE- ciudadanía que
O1, F1 OPORTUNIDAD control de hechos OPERATIVO Servicios de Control
002 cuenten con
específicos que Gubernamental
mejor
buscan el ejercicio de
información
un control abreviado
(sustento)
y puntual en áreas de
riesgo identificadas.
Identificación del Riesgo parte II
SISTEMA AFECTADO INTERACCIÓN (CAMPO 13)

(CAMPO 11) (Completar solo para Antisoborno)
OBJETIVO ASOCIADO
SEGURIDAD Y SALUD
(CAMPO 12)
SEGURIDAD DE LA
ANTISOBORNO
INFORMACIÓN
OCUPACIONAL
CONTINUIDAD
OPERATIVA
CALIDAD
TERCERA PARTE PUESTOS RELACIONADO

RELACIONADA (externo) (interno)
NRO.
AHE-001 X OEI2 N/A N/A
AHE-002 X OEI2 N/A N/A
6.2.2. Análisis del riesgo
6.2.2.1. ¿Por qué se analiza el riesgo?

Los riesgos y las oportunidades se analizan para comprender su probabilidad de ocurrencia, así como
el impacto en el cumplimiento de objetivos estratégicos y tácticos (operativos) planificados.
Para entender mejor lo que implica realizar el análisis del riesgo debemos conocer los siguientes
conceptos:
 Probabilidad: Grado de posibilidad de que ocurra el evento de riesgo en un período de tiempo

determinado (cuántas veces históricamente ha ocurrido, o qué posibilidad existe de que ocurra en
el corto, mediano y largo plazo).
 Impacto: Consecuencia que ocasiona la materialización de un riesgo (en costo, tiempo, alcance,
calidad, entre otros).

F06(PR-NORM-02)00
Para el análisis del riesgo, revisar los criterios para estimar la probabilidad e
impacto. Los criterios se encuentran en las hojas “ CRITERIOS RIESGOS” y
“CRITERIOS OPORTUNIDAD” en el formato F02(PR-MODER-04) “Matriz
Integral de Riesgos y Oportunidades”.
6.2.2.2. ¿Cómo se analiza el riesgo?

El análisis de riesgo se realiza en el formato F02(PR-MODER-04) “Matriz Integral de Riesgos y
Oportunidades”, teniendo en cuenta los siguientes pasos:
1. Determinar la probabilidad de que suceda el riesgo.

2. Determinar el impacto de que ocurra el riesgo.
3. Calcular el índice del riesgo.
Una vez determinado el índice del riesgo, se continua con la valoración del riesgo para determinar su
tratamiento posteriormente.
ANÁLISIS DEL RIESGO
IMPACTO (CAMPO 16)
ÍNDICE DEL RIESGO

PROBABILIDAD (P)
VALOR IMPACTO (I)

(CAMPO 15)
(CAMPO 17)
CUMPLIMIENTO
(IR = P x I)
REPUTACIONAL
ESTRATÉGICO
CORRUPCIÓN
OPERATIVO
CONTROLES ACTUALES
(CAMPO 14)
 CONTROLES ACTUALES (CAMPO 14): Redactar la(s) acción(es) realizada(s) para controlar el
riesgo asociado, con la finalidad de evitar que se materialice. En el caso que exista algún
documento relacionado al control, pero no se efectúe ninguna acción, colocar: “No hay un control
implementado”.
 PROBABILIDAD (P) (CAMPO 15): Seleccionar el valor que defina el grado de posibilidad que el
evento de riesgo u oportunidad ocurra (revisar criterios de evaluación).
Tabla N° 1: Criterios para estimar la probabilidad para Riesgos
ÍNDICE NIVEL PROBABILIDAD
10 MUY ALTO Es seguro que el riesgo se materialice de manera inmediata.
8 ALTO Existe la posibilidad que el riesgo se materializarse en el corto plazo.
6 MEDIO Existe la posibilidad que el riesgo se materialice en el mediano plazo.
4 BAJO Hay una posibilidad leve que el riesgo pueda materializarse en el largo plazo.
Fuente: Elaboración propia

F06(PR-NORM-02)00
Tabla N° 2: Criterios para estimar la probabilidad para Oportunidades
ÍNDICE NIVEL PROBABILIDAD

Hay indicios que se presente y se pueda aprovechar la oportunidad de manera
10 MUY ALTO
inmediata.
Hay indicios que se presente y se pueda aprovechar la oportunidad en el corto
8 ALTO
plazo.
Hay indicios que se presente y se pueda aprovechar la oportunidad en el mediano
6 MEDIO
plazo.
4 BAJO Es posible que se presente la oportunidad en el largo plazo o que tal vez no suceda.
 IMPACTO (CAMPO 16): Para cada tipo de riesgo, evaluar el nivel de impacto o consecuencia que
ocasiona si el riesgo y oportunidad se materializa (revisar criterios de evaluación en la tabla 3 y 4).
Para determinar el nivel del impacto, se selecciona el mayor valor asignado de todos los tipos de
riesgo evaluado.
Tabla N° 3: Criterios para determinar el nivel de impacto para el Riesgo

ÍNDICE NIVEL ESTRATÉGICO REPUTACIONAL CORRUPCIÓN CUMPLIMIENTO OPERATIVO
Continua
Responsabilidad
exposición Afecta gravemente Impedimento para
Impedimento para penal, civil o
MUY negativa regional o a los servicios y el logro de algún
10 ALTO
el logro de algún
nacional en los bienes que brinda
administrativa para
objetivo
objetivo estratégico la institución o sus
medios de el estado. operacional.
funcionarios.
comunicación.
Afecta Continua Afecta Afecta

Alta
considerablemente exposición considerablemente considerablemente
responsabilidad
8 ALTO el logro de algún negativa local en a los servicios y
legal frente a
el logro de algún
objetivo los medios de bienes que brinda objetivo
terceros.
estratégico. comunicación. el estado. operacional.
Limitada Afecta Afecta

Afecta Alguna
exposición moderadamente a moderadamente el
moderadamente el responsabilidad
6 MEDIO negativa local en los servicios y logro de algún
logro de algún legal frente a
los medios de bienes que brinda objetivo
objetivo estratégico terceros.
comunicación. el estado. operacional.
Afecta levemente Afecta levemente a Las Afecta levemente

Sin cobertura por
el cumplimiento de los servicios y responsabilidades el cumplimiento de
4 BAJO
algún objetivo
los medios de
bienes que brinda son mínimas o algún objetivo
comunicación.
estratégico. el estado. nulas. operacional.
Tabla N° 4: Criterios para determinar el nivel de impacto para la Oportunidad

Mejora importante
Reducir
de la imagen, Mejora
Asegura el logro de considerablemente Asegura el logro de
MUY Cobertura positiva considerable en el
10 algún objetivo
y sostenida por los
los riesgos de
desempeño de la
algún objetivo
ALTA
estratégico. corrupción a nivel operativo
medios de institución.
institucional.
comunicación.

F06(PR-NORM-02)00
Impacto positivo
Reducir los riesgos Mejora en el
sobre la imagen,
Facilita el logro de de corrupción en desempeño de los Facilita el logro de
posible cobertura
8 ALTA un objetivo los procesos procesos un objetivo
puntual por los
estratégico. misionales de la misionales de la operativo.
medios de
institución. institución.
comunicación.
Reducir los riesgos Mejora en el

Puede facilitar el de corrupción en desempeño de
Mejora perceptible Puede facilitar el
logro de un algunos procesos algunos procesos
6 MEDIA
objetivo
en la imagen de la
estratégicos y de estratégicos y de
logro de un
institución. objetivo operativo.
estratégico. apoyo de la apoyo de la
institución. institución.
Reducir de manera
Impacto marginal marginal los Mejora marginal en
Impacto neutral Impacto marginal
en el logro de un riesgos de el desempeño de
4 BAJA
objetivo
sobre la imagen de
corrupción en los procesos de la
en el logro de un
la institución. objetivo operativo.
estratégico. algún proceso de institución.
la institución.
 ÍNDICE DEL RIESGO (IR = P x I) (CAMPO 17): Es el valor resultante de multiplicar la probabilidad
por el impacto.
EJEMPLO
Análisis del Riesgo
ANÁLISIS DEL RIESGO
IMPACTO (CAMPO 16)
ÍNDICE DEL RIESGO

PROBABILIDAD (P)
VALOR IMPACTO (I)

(CAMPO 15)
(CAMPO 17)
CUMPLIMIENTO
(IR = P x I)
REPUTACIONAL
ESTRATÉGICO
CORRUPCIÓN
NRO.
OPERATIVO
CONTROLES ACTUALES
(CAMPO 14)
Normativa sobre servicios de control

AHE-001 y Reglamento de Infracciones y 8 6 6 10 4 8 10 80
Sanciones (RIS).
Programa de actividades a nivel
AHE-002 nacional para promover la 8 8 8 8 4 8 8 64
participación ciudadana
6.2.3. Valoración del riesgo
6.2.3.1. ¿Por qué se valora el riesgo?

El propósito de la valoración del riesgo u oportunidad es apoyar a la toma de decisiones.
Considerando los niveles de riesgo u oportunidad, se priorizará la respuesta a aquellos que se

encuentren fuera del nivel de apetito. Esto puede conducir a una decisión de:
F06(PR-NORM-02)00
 Considerar opciones para el tratamiento del riesgo.

 Realizar un análisis adicional para comprender mejor el riesgo.
 Mantener los controles existentes.
 Reconsiderar los objetivos.
6.2.3.2. ¿Cómo se valora el riesgo?

La valoración del riesgo u oportunidad implica comparar los resultados del análisis del riesgo con los
criterios establecidos (apetito del riesgo, tipo del riesgo), para determinar cuándo se requiere adoptar
una acción para su tratamiento.
Recuerda: el apetito del riesgo para la CGR es el Nivel Medio. Ello implica
tratar los riesgos altos y muy altos; y aprovechar las oportunidades altas y
muy altas.
En el caso de los riesgos de corrupción, el apetito es Nivel bajo.
Para valorar un riesgo, se deben tener en cuenta el resultado del índice del riesgo, el apetito del riesgo
y la Matriz de Probabilidad e Impacto-Riesgo y Matriz de Probabilidad e Impacto-Oportunidad.
 NIVEL DEL RIESGO (NR) (CAMPO 18): De acuerdo al resultado del índice del riesgo (CAMPO
17), se registrará la siguiente información:
1. Muy alto: entre los valores 80 - 100 para el índice del riesgo/oportunidad.
2. Alto: Entre los valores 48 - 64 para el índice del riesgo/oportunidad.
3. Medio: Entre los valores 32 - 40 para el índice del riesgo/oportunidad.
4. Bajo: Entre los valores 16 - 24 para el índice del riesgo/oportunidad.
Tabla N° 5: Matriz de Probabilidad e Impacto - Riesgo
ÍNDICE NIVEL
ÍNDICE Y NIVEL DE RIESGO
PROBABILIDAD PROBABILIDAD
PROBABILIDAD
10 MUY ALTO 40 60 80 100
8 ALTO 32 48 64 80
6 MEDIO 24 36 48 60
4 BAJO 16 24 32 40
NIVEL
BAJO MEDIO ALTO MUY ALTO
IMPACTO
ÍNDICE
4 6 8 10
IMPACTO
IMPACTO

F06(PR-NORM-02)00
Tabla N° 6: Matriz de Probabilidad e Impacto - Oportunidad
ÍNDICE NIVEL
ÍNDICE Y NIVEL DE LA PROBABILIDAD
PROBABILIDAD PROBABILIDAD
PROBABILIDAD
10 MUY ALTA 40 60 80 100
8 ALTA 32 48 64 80
6 MEDIA 24 36 48 60
4 BAJA 16 24 32 40
NIVEL
BAJA MEDIA ALTA MUY ALTA
IMPACTO
ÍNDICE
4 6 8 10
IMPACTO
IMPACTO
EJEMPLO
Valoración
ANÁLISIS DEL RIESGO VALORACIÓN DEL RIESGO

RIESGO U OPORTUNIDAD
NRO. ÍNDICE DEL RIESGO (IR = P x I) NIVEL DEL RIESGO (NR)
(CAMPO 06)
AHE-001 RIESGO 80 MUY ALTO
AHE-002 OPORTUNIDAD 64 ALTA
6.3. Tratamiento del riesgo
6.3.1. ¿Cómo se trata el riesgo?

Para cada uno de los riesgos o de las oportunidades identificados, se deberá seleccionar una opción
de tratamiento.
El tratamiento del riesgo se realiza en el formato F02(PR-MODER-04) “Matriz Integral de Riesgos y

Oportunidades”, teniendo en cuenta los siguientes pasos:
1. Determinar la opción de tratamiento de acuerdo al apetito del riesgo5 de la CGR y conforme a las
siguientes opciones:
- Reducir: Implica tomar las medidas necesarias tendientes a reducir la probabilidad y el
impacto, o ambos casos a la vez (para los riesgos).
- Evitar: Implica no proseguir con la actividad riesgosa cuando esto sea factible. (para los
riesgos).
5Para determinar la opción de tratamiento del riesgo deberá considerarse el apetito del riesgo previamente definido
por la organización en el “Manual del Sistema Integrado de Gestión” MG-MODER-02
F06(PR-NORM-02)00
- Aceptar: Implica asumir el riesgo sin gestionarlo o dejar de aprovechar una oportunidad.
(para los riesgos u oportunidades).
- Compartir: Implica distribuir con una parte interesada que pueda gestionarlo con mayor
eficacia. (para los riesgos u oportunidades).
- Aprovechar: Implica tomar las medidas necesarias tendientes al aprovechamiento de la
oportunidad detectada. (para las oportunidades).
2. Determinar acciones a implementar relacionadas al tipo de tratamiento seleccionado.
3. Determinar el personal responsable de la implementación.
4. Establecer plazo de implementación de las acciones.
TRATAMIENTO DEL RIESGO
OPCIÓN DE RESPONSABLE(S) DE
ACCIONES PROPUESTAS PLAZO
TRATAMIENTO IMPLEMENTACIÓN
 OPCIÓN DE TRATAMIENTO (CAMPO 19): Seleccionar la opción de tratamiento adecuada para

riesgo/oportunidad identificado.
 ACCIONES PROPUESTAS (CAMPO 20): Definir y numerar las acciones de acuerdo al
tratamiento seleccionado, considerar que el costo-beneficio de las acciones no deben ser mayores
a la materialización del riesgo/oportunidad6. Las acciones propuestas deben estar dirigidas a tratar
cada uno de los tipos de riesgos identificados en el campo 16 y que cuentan con puntaje mayor o
igual que el tipo de riesgo identificado en el campo 09.
 RESPONSABLE(S) DE IMPLEMENTACIÓN (CAMPO 21): Registrar los nombres y apellidos del
responsable de la implementación de las acciones propuestas y la OUO a la que pertenece.
 PLAZO (CAMPO 22): Registrar y numerar el plazo propuesto de cada acción, fecha de inicio y
fecha de fin programada, tener en cuenta que los plazos deben estar acordes a las acciones
propuestas.
 MEDIOS DE VERIFICACIÓN (CAMPO 23): Registrar el medio que evidenciará el cumplimiento de
la implementación de las acciones propuestas.
6 Riesgo inteligente.
F06(PR-NORM-02)00
EJEMPLO
Tratamiento del Riesgo
TRATAMIENTO DEL RIESGO
RESPONSABLE(S) DE
IMPLEMENTACIÓN PLAZO
NRO. OPCIÓN DE
MEDIOS DE
ACCIONES PROPUESTAS
TRATAMIENTO VERIFICACIÓN
(CAMPO 20)
NOMBRES Y
OUO FECHA DE INICIO FECHA DE FIN
APELLIDOS
1. Mejorar el proceso de 1. Carlos Perez VSCG 1. 01/03/2023 1. 30/03/2023 1. Procedimiento
aplicación del RIS 2. David de aplicación del
2. Difundir y desplegar el Ramírez VSCG 2. 01/05/2023 2. 28/05/2023 RIS actualizado.
proceso de aplicación 3. María Flores 2. Listas de
del RIS, en casos de 4. Julia López VSCG 3. 01/07/2023 3. 23/07/2023 asistencia/actas de
demora o rehusamiento reunión de la
de entrega de 4. 01/07/2023 4. 23/07/2023 difusión del
VSCG
información. proceso de
AHE-
3. Aplicar el RIS vía la aplicación del RIS.
002 REDUCIR
implementación de la 3. Registros de
Ejecución Coactiva aplicación de la
4. Implementar un ejecución coactiva.
programa de 4. Listas de
sensibilización para asistencia de los
fortalecer la cultura de programas de
rendición de cuentas por sensibilización.
parte de las autoridades
y funcionarios públicos.
1. Registros de
planificación de
servicios de control
1. Incrementar la
a hechos
cobertura de servicios
específicos en áreas
de control de hechos
de riesgos
específicos en áreas de
identificadas.
riesgos identificadas.
2. Documento de la
2. Fortalecer la 1. María Flores 1. 30/03/2023
estrategia de
AHE- APROVECHAR estrategia de
"Audiencias
002 "Audiencias Públicas", 2. Julia López 2. 23/07/2023
Públicas",
"Monitores Ciudadanos"
"Monitores
y "Auditores Juveniles"
Ciudadanos" y
como mecanismo
"Auditores
generador de confianza
Juveniles" donde se
con la ciudanía.
evidencien los
cambios a
efectuados.
6.4. Seguimiento y revisión

El seguimiento y revisión continua de los planes de tratamiento de los riesgos y oportunidades, así
como la revisión periódica del proceso de gestión del riesgo, permite asegurar y retroalimentar mejoras
al mismo, por lo que estos deben tener lugar en todas las etapas del proceso.
Esta actividad es realizada por la Subgerencia de Modernización, como unidad orgánica competente
de la implementación y mantenimiento de la gestión del riesgo en la CGR.

F06(PR-NORM-02)00
El seguimiento y revisión se realiza en el formato F02(PR-MODER-04) “Matriz Integral de Riesgos y

Oportunidades”:
Recuerda: una vez implementadas las acciones propuestas en el plan de

tratamiento, estas deben ser puestas en conocimiento de la Subgerencia de
Modernización para el registro correspondiente en la sección “Seguimiento y
medición”.
Seguimiento y Medición parte 1
SEGUIMIENTO Y MEDICIÓN DEL RIESGO

ESTADO FECHA REPLANIFICADA OBSERVACIONES
 ESTADO (CAMPO 24): de acuerdo a la implementación de las acciones propuestas, se selecciona

el estado de la lista desplegable de la siguiente manera:
1. En implementación: Cuando la actividad se encuentra en proceso de ejecución según lo
planificado.
2. Pendiente: Cuando la actividad ha excedido la fecha registrada en el campo PLAZO
(CAMPO 22).
3. Cerrado: Cuando la actividad se implementó completamente de acuerdo a lo planificado.
 FECHA REPLANIFICADA (CAMPO 25): En caso que el plazo de implementación haya vencido,
registrar la fecha de replanificación, para ello colocar entre paréntesis el número de la actividad que
se ha replanificado y la nueva fecha para completar su ejecución.
 OBSERVACIONES (CAMPO 26): Aquí se registran todas las fechas que se han replanificado, con
la finalidad de mantener un registro de los cambios, igualmente colocar entre paréntesis el número
de la actividad que se replanificó.
IMPACTO DEL RIESGO RESIDUAL

ÍNDICE DE RIESGO RESIDUAL
NIVEL DE RIESGO RESIDUAL

PROBABILIDAD DEL RIESGO
EFICACIA
(IR = P x C) (CAMPO 30)
( CAMPO 28)
IMPACTO RESIDUAL (C)
RESIDUAL (P)
(CAMPO 27)
(CAMPO 31)
CUMPLIMIENTO
REPUTACIONAL
ESTRATÉGICO
CORRUPCIÓN
(CAMPO 29)
(CAMPO 32)
OPERATIVO
EFICACIA
RESPONSABLE FECHA

F06(PR-NORM-02)00
 PROBABILIDAD DEL RIESGO RESIDUAL (CAMPO 27): Seleccionar el valor que defina el grado
de posibilidad que el evento de riesgo u oportunidad ocurra luego de ejecutada las acciones
propuestas (revisar criterios de evaluación).
 IMPACTO DEL RIESGO RESIDUAL (CAMPO 28): Para cada tipo de riesgo, evaluar el nivel de
impacto o consecuencia residual que ocasiona si el riesgo y oportunidad se materializa luego de
ejecutar las acciones propuestas (revisar criterios de evaluación).
 IMPACTO RESIDUAL (CAMPO 29): Es el mayor valor asignado a cada tipo de riesgo residual
evaluado. Este campo se registra automáticamente.
 ÍNDICE DE RIESGO RESIDUAL (IR = P x C) (CAMPO 30): Es el valor resultante de multiplicar la
probabilidad residual por el impacto residual. Este campo se registra automáticamente.
 NIVEL DE RIESGO RESIDUAL (CAMPO 31): El nivel de riesgo residual se calcula de acuerdo a
la tabla de evaluación definida en los criterios.
 EFICACIA (CAMPO 32): Registrar SI o NO en el campo. Una vez que la acción propuesta ha sido
implementada y ha tenido resultados favorables, marcar con SI, caso contrario, NO.
 RESPONSABLE (CAMPO 33): Registrar el nombre de la persona que ha realizado la evaluación
de la eficacia.
 FECHA (CAMPO 34): Registrar la fecha en la que se ha realizado la evaluación de la eficacia.
EJEMPLO

NRO. ESTADO FECHA REPLANIFICADA OBSERVACIONES
Actividad concluida dentro de los
Cerrado N/A
AHE-001 plazos previstos.
AHE-002 Actividad concluida dentro de los
Cerrado N/A
plazos previstos.
IMPACTO DEL RIESGO RESIDUAL

ÍNDICE DE RIESGO RESIDUAL
PROBABILIDAD DEL RIESGO
NIVEL DE RIESGO RESIDUAL
EFICACIA
RESIDUAL (P) (CAMPO 27)
( CAMPO 28)
(IR = P x C) (CAMPO 30)
IMPACTO RESIDUAL (C)
(CAMPO 31)
NRO.
CUMPLIMIENTO
REPUTACIONAL
ESTRATÉGICO
CORRUPCIÓN
(CAMPO 29)
(CAMPO 32)
OPERATIVO
EFICACIA
RESPONSABLE FECHA
AHE-
4 4 6 4 6 24 BAJA SI María Flores 30/07/2021
001
AHE-
4 4 6 4 6 24 BAJA SI María Flores 30/07/2021
002

F06(PR-NORM-02)00
La gestión del riesgo y sus resultados se deben documentar e informar a las instancias pertinentes, a
fin de mejorar el proceso. El objetivo del registro e informe de la gestión del riesgo es:
 Comunicar actividades de la gestión del riesgo y sus resultados a las diferentes instancias de la
institución.
 Proporcionar información para la toma de decisiones.
 Mejorar las actividades de la gestión del riesgo.
 Asistir la interacción con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del riesgo.
El informe contendrá los avances en la implementación de los planes de tratamiento de riesgos y los
resultados consolidados de la gestión del riesgo en la institución.
Recuerda: Por lo menos una vez al año, la Subgerencia de Modernización

informará los resultados de la implementación del plan de tratamiento al
Comité de Modernización Institucional.
6.5. Comunicación y consulta
El propósito de la comunicación y consulta es asistir a las partes interesadas a comprender el riesgo o

las oportunidades, las bases con las que se toman decisiones y las razones por las que son necesarias
acciones específicas para gestionar el riesgo.
Es por ello que, la Subgerencia de Modernización, establecerá canales de comunicación para promover
la toma de conciencia y la comprensión del riesgo, mientras que con la consulta busca obtener
retroalimentación e información para apoyar la toma de decisiones en los diferentes niveles de la
institución, con el fin de contribuir al cumplimiento de los objetivos.
La comunicación y consulta con las partes interesadas apropiadas, externas e internas, se debe realizar
en todas y cada una de las etapas del proceso de la gestión del riesgo.
La Subgerencia de Modernización en coordinación con los órganos y unidades orgánicas de la CGR

correspondientes, implementa mecanismos de comunicación y difusión a nivel institucional con el objeto
de generar una cultura de gestión del riesgo en la institución en el marco del Plan de Modernización de
la CGR.

F06(PR-NORM-02)00
REFERENCIAS DOCUMENTALES
CÓDIGO NOMBRE DEL DOCUMENTO

N/A Directiva de Gestión del Riesgo en la Contraloría General de la República
PR-MODER-04 Procedimiento “Gestión del Riesgo”
REGISTROS
NOMBRE DEL RESPONSABLE RUTA/ TIEMPO DE DISPOSICI

CÓDIGO
REGISTRO DEL REGISTRO UBICACIÓN CONSERVACIÓN ÓN FINAL
Especialista en
F01(PR- Determinación del Carpeta Mientras esté
Gestión del Eliminar
MODER-04) Contexto compartida vigente
riesgo
Matriz Integral de Especialista en
F02(PR- Carpeta Mientras esté
Riegos y Gestión del Eliminar
MODER-04) compartida vigente
Oportunidades riesgo
Informe de Estado de
las Acciones de los Especialista en
Carpeta Mientras esté
N/A Planes de Gestión del Eliminar
compartida vigente
Tratamiento de riesgo
Riesgos

F06(PR-NORM-02)00
CONTROL DE CAMBIOS
Control de Cambios
Versión Fecha Descripción del(los) Cambio(s)
En la sección 6.1.2 se agregó a la matriz de caracterización del proceso

como elemento de entrada para elaborar el contexto.
En la sección 6.2.2.2. se actualizó la escala de valoración para estimar la

probabilidad y el impacto de riesgos y oportunidades.
En la sección 6.2.3.2. se actualizaron los valores de la matriz de

02 12/12/2022 probabilidad e impacto de riesgos y oportunidades.
En la sección 6.3.1 se agregó el campo 23 Medios de verificación,

modificando de esta manera la numeración de los demás campos.
Justificación:
Se incluyeron mejoras identificadas durante la aplicación de la metodología
de gestión del riesgo con el fin de alinearla a la metodología de Control
Interno.

F06(PR-NORM-02)00

(GU-MODER-01) 02 Gestion Del Riesgo en La CGR

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(GU-MODER-01) 02 Gestion Del Riesgo en La CGR

Cargado por

Copyright:

Formatos disponibles

Código: GU-MODER-01

Contraloría General de la República Versión: 02

GESTIÓN DEL RIESGO EN LA CONTRALORÍA

NOMBRE CARGO FIRMA FECHA

Firmado digitalmente por LOAYZA

Firmado digitalmente por TUPA PARDO

Firmado digitalmente por TRESIERRA

“Cualquier impresión no es válida para el SGC”

“Cualquier impresión no es válida para el SGC”

El objetivo del presente documento es brindar orientación metodológica para el desarrollo y

II. MARCO CONTEXTUAL

“Cualquier impresión no es válida para el SGC”

III. SIGLAS Y DEFINICIONES

3.1. ¿Qué es un riesgo?

Para los efectos del presente documento aplicaremos la siguiente definición:

“Riesgo es el efecto de la incertidumbre, que, si se produce, puede afectar positiva o

3.2. ¿Qué significa la gestión del riesgo en la CGR?

En el marco del ejercicio de la función sustantiva de la CGR, el riesgo

 COSO : Committee of Sponsoring Organizations of the Treadway Commission.

“Cualquier impresión no es válida para el SGC”

La Subgerencia de Modernización en su calidad de unidad orgánica competente en materia de

 Conducir, ejecutar y supervisar las actividades y acciones propias de la implementación y

“Cualquier impresión no es válida para el SGC”

 Absolver las consultas referidas al uso y aplicación de la presente guía.

Otras responsabilidades están definidas en la Directiva Nº 017-2020-CG/MODER “Gestión del

V. MARCO TÉCNICO Y NORMATIVO

5.1. Marco técnico

5.1.2. COSO ERM 2017 - Marco de Gestión de Riesgos Empresarial. Integrando

Este modelo tiene cinco componentes y veinte principios:

Figura N° 2: Componentes y Principios del COSO ERM

5.1.3. Norma ISO 31000:2018, Gestión del Riesgo – Directrices

“Cualquier impresión no es válida para el SGC”

Este proceso se ilustra a continuación:

Figura N° 3: Proceso de Gestión del Riesgo – ISO 31000

Fuente: Norma ISO 31000-2018.

5.2. Marco normativo

5.2.1. La gestión del riesgo en el marco de la modernización de la gestión pública

5.2.2. La gestión del riesgo en el marco de la integridad y lucha contra la

5.2.3. La gestión del riesgo en el marco del control interno

5.2.4. Plan de Modernización de la CGR

5.2.5. Política Institucional de Gestión de Riesgos de la CGR

2 Ley N° 28716 Ley de Control Interno de la Entidades del Estado.

metodología, procedimientos y otras herramientas pertinentes para la adecuada gestión de riesgos,

5.2.6. Directiva de Gestión del Riesgo en la Contraloría General de la República

5.2.7. Procedimiento “Gestión del Riesgo”

Figura N° 4: Componentes de la Gestión del riesgo en la CGR

Alcance, contexto y criterios

Evaluación del riesgo

Análisis del riesgo

Valoración del riesgo

Tratamiento del riesgo

Fuente: Elaboración propia basado en diferentes marcos de referencia.

3 Procedimiento “Gestión del Riesgo” PR-MODER-04.

6.1. Alcance, contexto y criterios

6.1.1. ¿Qué es el alcance?

Figura N° 5: Nivel de Gestión del Riesgo en la CGR

Fuente: Elaboración propia.

6.1.2. ¿Qué es el contexto?

El contexto de la institución se debe revisar por lo menos una vez al año.

“Cualquier impresión no es válida para el SGC”

Así como en factores internos, que están relacionados a:

Para la determinación del contexto se utiliza principalmente la información consignada en la

A continuación, se detallan las instrucciones de llenado de información para la determinación del