Taller macro regional de capacitación

Sistema de Control Interno, Gestión del Riesgo y Antisoborno

Piura 2018

Unidad de Planeamiento, Presupuesto y Modernización

Coordinación de Racionalización,
Organización y Métodos
Introducción
Parte a la gestión
1. Introducción de riesgos
a la gestión de
riesgos.

Parte 2. Proceso de Gestión de Riesgo

Parte 3. Tratamiento de riesgos

Parte 1. Introducción a la gestión de
riesgos.
 RIESGO

Riesgo es el efecto de la
incertidumbre sobre los objetivos,
(independientemente del ámbito o
circunstancias).

El riesgo se podría describir como la

combinación de la probabilidad de
un suceso (o peligro o fuente de
riesgo) y su impacto.
 i d a d
O p o rtun
Ries go -
 ¿Que es un Riesgo?

La posibilidad de que un evento ocurra y afecte de manera

adversa el logro de los objetivos de la entidad.1

El riesgo combina la probabilidad de que ocurra un evento negativo con

cuanto daño causaría (impacto)

Efecto de la incertidumbre sobre los objetivos

Según la norma ISO 31000:2009
Gestión del Riesgo: Principios y Directrices

(1) Resolución de Contraloría N° 320-2006-CG

 ¿Qué es la gestión de riesgos?

• “Actividades coordinadas para dirigir y

controlar una organización en lo relativo al
riesgo” (ISO 31000)
Tipos de Riesgos

Corrupción
 Tipo de Riesgo

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. Esta relacionado
con la misión y cumplimiento de objetivos estratégicos.

Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como
técnica de la entidad, incluye riesgos provenientes de deficiencias en, en los procesos, en la
estructura organizacional, en los sistemas de información.

Riesgos de corrupción:
Son los riesgos relacionados con actos indebidos e ilegales que afectan la operatividad de los
proyectos o actividades. Incluye el soborno.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, etc.

Riesgos de Cumplimiento: Se asocian con la capacidad de la Entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.

Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología

disponible satisfaga las necesidades y soporte el cumplimiento de la misión.
 Gestión de la calidad ISO 9001

Gestión medioambiental ISO 14001

Gestión de la seguridad y salud en el trabajo

OHSAS 18001

Gestión antisoborno ISO 37001

Gestión de la seguridad de
Gestión del Riesgo
A través de todos los sistemas
las tecnologías de la información ISO 27001

Gestión de la continuidad de negocio ISO

22301
Relacion con otros sistemas de gestión

Gestión de proyectos ISO 21500

 Principios de la Gestión de Riesgos
1 Parte integral de todos los procesos de la organización

2 Es estructurada y oportuna.
00

3 Se adapta a los contextos y perfiles de riesgo

310
IS O

4 Es inclusiva, transparente y participativa

ún
Se g

5
Es dinámica, iterativa, y responde a los cambios

6 Mejor información disponible

7 Integra los factores humanos y culturales

8 Facilita la mejora continua de la organización

 PROCESO DE GESTIÓN DE RIESGOS

ALCANCE, CONTEXTO Y CRITERIOS

El proceso de la gestión del
riesgo es una parte integral VALORACIÓN DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
de la gestión y de la toma
de decisiones y se debe ANÁLISIS DE RIESGOS
COMUNICACIÓN SEGUIMIENTO Y
integrar en la estructura, las Y CONSULTA REVISIÓN

operaciones y los procesos EVALUACIÓN DE RIESGOS

de la organización. Puede
aplicarse a nivel estratégico,
operacional, de programa o TRATAMIENTO DEL RIESGO

de proyecto. REGISTRO E INFORME

 6.2 Comunicación y consulta

Desarrollo del PLAN DE COMUNICACIÓN Y

CONSULTA: objetivos, alcance de las comunicaciones,
a quién, método de comunicación, calendario previsto,
feedback…

Comunicación y consulta
 Enfoque consultivo en equipo

Comunicación y consulta interna y externa eficaces

con las partes interesadas: veraces, exactas y
entendibles, teniendo en cuenta aspectos
confidenciales y de integridad personal

15
 6.3. Alcance, Contexto, Criterios

El propósito del establecimiento del alcance, contexto y criterios es adaptar el proceso de

la gestión del riesgo, para permitir una evaluación del riesgo eficaz y un tratamiento
apropiado del riesgo. El alcance, el contexto y los criterios implican definir el alcance del
proceso, y comprender los contextos externo e interno.

6.3.2 Definición del alcance

La organización debería definir el alcance de sus actividades de gestión del
riesgo.
Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos
(por ejemplo: estratégico, operacional, de programa, de proyecto u otras
actividades), es importante tener claro el alcance considerado, los objetivos
pertinentes a considerar y su alineamiento con los objetivos de la
organización.
Contexto de la organización
Factores y tendencias
CONTEXTO
claves con impacto en
los objetivos de la
EXTERNO
organización
Estrategi
Entorno a
natural Comunicación Objetivo
Tecnologí s
a
Recursos y
conocimien
Entorno social, Responsabilidades to
cultural y político y funciones Partes
interesadas
Entorno internas:
económico Cultura de la percepciones,
organización valores

Partes interesadas
17 externas:
relación, percepción,
CONTEXTO
Entorno legal y 17
reglamentario valores. INTERNO
 Definición de los criterios del riesgo.

Debería reflejar los valores, objetivos y recursos de la organización.

Pueden estar impuestos o derivarse de requisitos legales, reglamentarios o de la

organización.

 Se debe considerar una serie de factores:

 Naturaleza, tipos de causas, consecuencias y cómo medirlos

 Método de definición de la probabilidad
 Plazos de probabilidad y/o impacto
 Método para determinar el nivel del riesgo
 Opiniones de las partes interesadas
 Nivel al que el riesgo comienza a ser aceptable o tolerable
6.4 Valoración del Riesgo.
PROCESO DE GESTIÓN DE RIESGOS

La valoración del riesgo es el proceso ALCANCE, CONTEXTO Y CRITERIOS

global de identificación del riesgo,

VALORACIÓN DE RIESGOS
análisis del riesgo y evaluación del IDENTIFICACIÓN DE RIESGOS

riesgo.
La valoración del riesgo se debería COMUNICACIÓN ANÁLISIS DE RIESGOS SEGUIMIENTO Y
llevar a cabo de manera sistemática, Y CONSULTA REVISIÓN

iterativa y colaborativa, basándose en EVALUACIÓN DE RIESGOS

el conocimiento y los puntos de vista

de las partes interesadas. Se debería
TRATAMIENTO DEL RIESGO
utilizar la mejor información
disponible, complementada por REGISTRO E INFORME

investigación adicional, si fuese

necesario.
 6.4.2 Identificación del riesgo

Componentes de un riesgo
• Fuente de riesgo ,peligro o factor generador del ¿Qué puede ocurrir?
riesgo, que por sí solo o junto con otros presenta el ¿Por qué?
potencial intrínseco de generar un riesgo.
• Suceso, evento o incidente, algo que ocurre debido a un
¿Cuándo?
conjunto particular de circunstancias. ¿Cómo?
• Causas por la que se ha producido el evento. ¿Dónde?
• Efecto, consecuencia, impacto o resultado del suceso que
afecta a los objetivos.
• OTROS: cuándo podría ocurrir el riesgo y dónde podría
Generar
ocurrir o a qué activo afectar.
una lista
exhaustiva
Obtener información de: Identificar todos aquellos riesgos
Datos históricos, análisis teóricos, asociados a los OBJETIVOS que se
opiniones informadas, expertos,
expectativas de partes interesadas…. plantea la organización, y que pueden
cambiar el logro de los objetivos
 6.4.2 Identificación del riesgo

El propósito de la identificación del

riesgo es:
• Encontrar el riesgo
• Reconocer el riesgo
• Describir el riesgo

Para identificar riesgos es

importante contar con información:
• Pertinente
• Apropiada
• Actualizada
 Herramientas y Técnicas
de identificación de riesgos
en los procesos

Técnicas de Recopilación de Técnicas de Diagramación

Información

Tormenta de Ideas

Técnica Delphi

Cuestionarios y encuesta

Entrevistas Inventario de Riesgo

 Técnicas de identificación del riesgo

 Métodos basados en evidencias.

Ej: listas de verificación, revisión de datos históricos.

 Métodos con enfoque sistemático del equipo, donde un grupo de expertos

sigue un proceso sistemático para identificar riesgos por medio de un conjunto
estructurado de proposiciones o preguntas.
Ej: entrevistas estructuradas

 Técnicas de apoyo para mejorar la precisión y

exhaustividad
Ej: Tormenta de ideas , metodología Delphi., espina de pescado.
 Pasos para la identificación del riesgo

Procesos
•Determinar el proceso nivel 0
•Determinar el proceso nivel 1

Actividades
•Determinar los procedimientos que controlan el proceso
•Establecer las actividades secuenciales
•Priorizar aquellas actividades críticas

Identificación
•Aplicar herramientas o técnicas de identificación de riesgo
•Determinar causas y efectos del riesgo identificado
 Proceso Actividades / Tareas Valoración
1 = menor nivel 5 = mayor nivel
Selección de personal CAS
1. Preparatoria
- Unidades usuarias
solicitan requerimiento vía
memorando adjuntando perfil
- URH habilita 4
plaza en AIRHSP
- Publica proceso en el servicio
nacional de empleo

2. Convocatoria -
URH solicita publicación de
convocatoria en portal
2
institucional
Gestión del Empleo - Postulante llena y remite
los formatos vía el módulo de
registro de postulación

3. Selección -
Comité selección verifica
requisitos y documentación
mínima
5
- Comité selección califica apto
o no apto
- Comité evalúa hoja de vida
- Efectúa
entrevista - Se elige
al ganador y se publica
resultado
 Gestión de Recursos
Proceso Humanos Código: S03

1. IDENTIFICACIÓN DE RIESGOS, CAUSAS Y EFECTOS

Codigo Proceso
Proceso Actividades / Tareas RIESGO Tipo de Riesgo Causas Efectos
Nivel 1
Selección de personal
CAS 1.
Preparatoria
- Unidades usuarias
- Interes particular con
solicitan requerimiento via
determinado postulantes
memorando adjuntando - Contratación de personal
R1 Perfil direccionado De corrupción - Obtención
perfil - no idoneo para el puesto
de ventaja indebida por parte de
URH habilita plaza en
personal
AIRHSP
- Publica proceso en el
servicio nacional de
empleo
2. Convocatoria
- URH solicita
publicación de
convocatoria en portal
Postulante presente documentación
S03.03 Gestión del Empleo insitucional R2
incompleta
Operativo
- Postulante llena
y remite los formatos via el
módulo de registro de
postulación
3. Selección
- Comité selección
verifica requisitos y
documentación mínima
- - Comite no evalúa
Comité selección califica exhaustivamente la
Selección de postulante que no - Desempeño ineficiente
apto o no apto R3 De cumplimiento documentación
cumple los requisitos del trabajador contratado
- Comité evalua - Perfil con requisitos
hoja de vida muy elevados
- Efectua entrevista
- Se elige al
ganador y se publica
resultado
 6.4.3 Análisis del riesgo

Implica desarrollar una comprensión de cada riesgo identificado:

Busca establecer la
probabilidad de
ocurrencia del mismo y Determinar Determinar
PROBABILIDAD IMPACTO
sus consecuencias

Estimar el
NIVEL DE
RIESGO

NIVEL DE RIESGO = PROBABILIDAD X IMPACTO

 Técnicas de análisis del riesgo

 Métodos cualitativos: define las consecuencias, la

probabilidad y el nivel de riesgo, indicando niveles tales
como “casi cierto", “muy probable”, “probable“,
“improbable” y “raro", y puede combinar las
consecuencias y la probabilidad y evaluar el nivel de
riesgo resultante en función de criterios cualitativos.
 Métodos cuantitativos: Estima valores realistas para las
consecuencias y sus probabilidades y obtiene valores del
nivel de riesgo en unidades específicas definidas cuando se
desarrolla el contexto.

 Métodos semicuantitavos: escalas de valoración numérica

para las consecuencias y la probabilidad, y las combinan
para determinar un nivel de riesgo aplicando una fórmula.
Pueden ser escalas lineales o logarítmicas o tener otra
relación.

29
 Pasos para el analisis del riesgo inherente

Probabilidad •Determinarla la probabilidad de ocurrencia del riesgo sin tener en cuenta los controles que existan
•La probabilidad esta relacionadas con las causas identificadas

Impacto •Determinar el impacto del riesgo sin tener en cuenta los controles existentes
•El impacto está relacionado con los efectos encontrados

Nivel de riesgo •Determinar el nivel de riesgo = probabilidad x impacto

 6.4.3 Análisis del riesgo

Tabla de identificación de la probabilidad

Frecuencia de ocurrencia Probabilidad Valor

0-0.20 Raro 1

0.21-0.40 Improbable 2

0.41-0.60 Probable 3

0.61-0.80 Muy probable 4

0.81-1.00 Casi cierto 5

 6.4.3 Análisis del riesgo

Tabla de identificación de Impacto

Impacto Valor Descripción Estratégico Legal Operativo Cliente/parte
cumplimiento interesada/imagen

Leve 1 Si el hecho Sin efecto No se producen Se realizan No afecta a nivel de

llegara a ocurrir sobre los sanciones o multas ajustes en usuario ni de partes
tendría bajo objetivos para la entidad algunas interesadas
impacto o estratégicos actividades del
consecuencia. proceso
Menor 2 Si el hecho Efecto menor Se producen Se realizan Afecta levemente a
llegara a ocurrir sobre los sanciones para la ajustes en usuarios y/o partes
tendría un menor objetivos entidad por procedimientos interesadas.
impacto o estratégicos incumplimientos del proceso
consecuencia internos sin
pérdidas financieras

Moderado 3 Si el hecho Efecto poco Se producen Se realizan Afecta

llegara a ocurrir significativo sanciones o multas ajustes en varios moderadamente a
tendría impacto o sobre los para la entidad por procesos usuarios y/o partes
consecuencia objetivos incumplimientos interesadas. Hay
media. estratégicos internos con afectación en la
pérdida financiera reputación.
moderada
Crítico 4 Si el hecho Efecto Se producen Se producen Afecta
llegara a ocurrir significativo sanciones o multas intermitencias o significativamente a
tendría impacto o sobre los para la entidad por dificultades en usuarios y/o partes
consecuencia objetivos incumplimientos las operaciones interesadas. La
crítica. estratégicos regulatorios o del proceso reputación es
contractuales con afectada
pérdida financiera significativamente.
significativa
Catastrófico 5 Si el hecho Efecto muy Se producen Se producen Afecta
llegara a ocurrir significativo sanciones o multas paralizaciones en significativamente a
tendría alto sobre los para la entidad por las operaciones usuarios y/o partes
impacto o objetivos incumplimientos del proceso interesadas. Se
consecuencia. estratégicos regulatorios o pierde credibilidad y
contractuales con la reputación.
pérdida financiera
muy significativa
 6.4.3 Análisis del riesgo

ANÁLISIS DEL RIESGO INHERENTE

Probabilidad Impacto Nivel de Riesgo

Actividades / Tareas RIESGO
Nivel Valor Nivel Valor Valor Nivel

Selección de personal CAS

1. Preparatoria
- Unidades
usuarias solicitan requerimiento
via memorando adjuntando perfil Importante
- URH habilita
R1 Perfil direccionado Probable 3 Critico 4 12
plaza en AIRHSP
- Publica proceso en el
servicio nacional de empleo

3. Selección
- Comité selección verifica
requisitos y documentación
mínima
- Comité selección califica Selección de postulante
apto o no apto Importante
R3 que no cumple los Probable 3 Critico 4 12
- Comité evalua hoja de
vida - requisitos
Efectua entrevista -
Se elige al ganador y se publica
resultado
 Pasos para evalauar efectividad de
los controles
Controles •Determinar los controles existentes

Tipo de control •Determinar si el control es preventivo, correctivo o detectivo

Frecuencia del control •Determinar si el control es permanente, periódico u ocasional

Automatizadción •Determinar si el control es automatizado, semiautomatizado o manual

•Determina el nivel de efectividad del control
 Tipo de Control Valor Descripción
Controles que se aplican antes de que se materialice el riesgo. Son aquellos que
reducen la frecuencia con que ocurren las causas del riesgo,
Preventivo 3 Ejemplos : Letrero "No fumar", sistemas de claves de acceso, cámaras de seguridad,
sanciones, mantenimiento preventivo
Controles que se aplican cuando el riesgo se ha materializado. Ayudan a la
investigación y corrección de las causas del riesgo. Aseguran tomar acciones para
Correctivo 2 revertir un evento no deseado
Controles que se aplican cuando se esta materializando el riesgo. Son aquellos que
no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos.
Detectivo 1 Identifican eventos en el momento de presentarse. Ejemplo: Detectores de humo

Cuando no se tiene controles

No existe 0
 Frecuencia de control Valor Descripción

Permanente 3 Controles que se aplican en forma continua e ininterrumpida

Periodico 2 Controles que se aplican con frecuencia regular y previsible

Ocasional 1 Controles que se aplican irregular e imprevisiblemente

No existe 0 Cuando no se tiene controles

 Automatización de control Valor

Automatizado 3

Semiautomatizado 2

Manual 1

No existe 0
 EVALUACIÓN DE CONTROL EXISTENTE

Frecuencia de Valor del

Tipo de Control Valor Automatización de control Valor Nivel de
Valor tipo de control (Permanente, nivel de
Controles existentes (Preventivo/Detectiv frecuencia (Automático/Semiautomáti automatización efectividad del
control Ocasional, efectividad
o/Correctivo) de control co/Manual) control control
Periodico) del control

Procedimiento contratación
CAS Preventivo 3 Periodico 2 Manual 1 Regular 6
- RRHH evalua los perfiles

Procedimiento contratación
CAS Regular
Correctivo 2 Ocasional 1 Semiautomatizado 2 4
- RRHH evalua cumplimiento
de requisitos
 6.4.4 Evaluaciòn del riesgo

Consiste en ayudar a la toma de

decisiones, determinando los riesgos 5
TRANSFERIR
a tratar y la prioridad de EVITAR

impacto
implementación del tratamiento. 2 1

Se jerarquizan y clasifican los riesgos

y se establece su aceptabilidad.

Implica comparar entre:

REDUCIR
ACEPTAR
 Nivel de riesgo encontrado
 Criterios de riesgo establecidos 4 3

probabilidad
 Pasos para el analisis del riesgo
residual
Probabilidad •Determinarla la probabilidad de ocurrencia del riesgo aplicando controles

Impacto •Determinar el impacto del riesgo aplicando controles

Nivel de riesgo •Determinar el nivel de riesgo residual = probabilidad x impacto

 6.4.4 Evaluación del riesgo
ANÁLISIS DEL RIESGO RESIDUAL

Probabilidad Impacto Nivel de Riesgo

Nivel Valor Nivel Valor Nivel Valor

improbable 2 Critico 4 Moderado 8

improbable 2 Critico 4 Moderado 8

 6.4.4 Evaluación del riesgo

TABLA 08: MATRIZ DE PROBABILIDAD E IMPACTO - MAPA DE CALOR DEL RIESGO

5 10 15 20 25
5 Casi cierto TOLERABLE MODERADO IMPORTANTE INACEPTABLE INACEPTABLE

4 8 12 16 20
PROBABILIDAD

4 Muy probable TOLERABLE MODERADO IMPORTANTE IMPORTANTE INACEPTABLE

3 6 9 12 15
3 Probable
ACEPTABLE TOLERABLE MODERADO IMPORTANTE IMPORTANTE

2 4 6 8 10
2 Improbable ACEPTABLE TOLERABLE TOLERABLE MODERADO MODERADO

1 2 3 4 5
1 Raro ACEPTABLE ACEPTABLE ACEPTABLE TOLERABLE TOLERABLE

1 2 3 4 5
Leve Menor Moderado Crítico Catastrófico

IMPACTO
 Tabla de niveles de riesgo
Nivel de Riesgo Rango Descripción

Inaceptable 20<=x<=25 Se requiere acción inmediata. Evitar y/o prevenir el

riesgo. Compartir el riesgo. Proteger a la institución.
Planes de acción de tratamiento requeridos,
implementados y reportados a la Dirección Ejecutiva o
Jefe de Unidad.

Importante 12<=x<=16 Se debe reducir y(o compartir el riesgo. Seguimiento

continuo. Planes de acción de tratamiento requeridos,
implementados y reportados a los Jefes de Unidad.

Moderado 8<=x<=10 Debe ser administrado con procedimientos normales de

control. Seguimiento y acciones para reducir o compartir
el riesgo. Es opcional su incorporación en el plan de acción
de tratamiento del riesgo.

Tolerable 4<=x<=6 Se acepta o se comparte el riesgo. Se administra mantiene

con los controles existentes y procedimientos rutinarios.

Aceptable 1<=x<=3 Se acepta el riesgo. Riesgo insignificante. No se requiere

ninguna acción.
6.5.2. Selección de Opciones de Tratamiento del riesgo
b) RETENER EL RIESGO
Es posible que existan algunos riesgos para los cuales no se puede identificar
controles o el costo del control sobrepasa la potencial pérdida si ocurriese el
riesgo. En estos casos se puede tomar la decisión de retener el riesgo y vivir con
las consecuencias, si ocurriera.

c) ACEPTACIÓN DEL RIESGO

Significa asumir un riesgo y las consecuencias que este atraiga en el momento que
se presente. Los riesgos se aceptan cuando la frecuencia es baja e impacto leve, y
no pones en peligro la estabilidad de la organización.
6.5.3. Preparación e implementación de los planes de
Tratamiento del riesgo

 El propósito de los planes de tratamiento del riesgo es especificar la

manera en la que se implementarán las opciones elegidas para el
tratamiento, de manera tal que los involucrados comprendan las
disposiciones, y que pueda realizarse el seguimiento del avance
respecto de lo planificado.
 El plan de tratamiento debería identificar claramente el orden en el
cual el tratamiento del riesgo se debería implementar.
 MATRIZ DE TRATAMIENTO DEL RIESGO

TRATAMIENTO DEL RIESGO

RIESGO IMPLEMENTACIÓN DEL CONTROL

RESPUESTA ACCIONES FECHA INICIO FECHA FIN
ESTADO AVANCE %

R1 Incrementar el nivel de control en la

Perfil direccionado Reducir 01/08/2018 30/08/2018 EN PROCESO 70%
revisión de perfiles

R2 Selección de postulante que no cumple Reducir - Capacitar al personal que 15/08/2018 30/08/2018 EN PROCESO 30%
los requisitos formaparte de los comités
 6.6. Seguimiento y revisión

FINALIDAD:
Asegurar controles eficaces y eficientes tanto en su diseño
como utilización
 Obtener información adicional para mejorar la apreciación
del riesgo
 Analizar y sacar conclusiones de los sucesos, cambios,
tendencias, éxitos y fallos.
 Detectar los cambios en el contexto interno y externo, en los
criterios del riesgo y en el propio riesgo.
 Identificar riesgos emergentes
 Soborno

soborno a la oferta, promesa, entrega, aceptación o solicitud

de una ventaja indebida de cualquier valor (de naturaleza
financiera o no financiera), directa o indirectamente (como por
medio de un intermediario), como incentivo o recompensa para
que una persona actúe o deje de actuar en relación con el
desempeño de las obligaciones de esa persona.
 Soborno

Verificar la interacción de la operación/actividad con partes interesadas u otros

procesos internos.
Y sus preguntas:
 ¿El resultado de esta actividad afecta significativamente alguna parte interesada?
 ¿El resultado de esta actividad depende de la acción o decisión de alguna parte
interesada?
 ¿El resultado de esta actividad afecta significativamente en algún proceso de la
organización?

Viabilidad del Soborno

Y sus preguntas:
 ¿El tercero podría obtener una ventaja indebida de algún miembro de la organización a
cambio de algo?
 ¿Un miembro de la organización podría obtener una ventaja indebida de un tercero a
cambio de algo?
 ¿Qué tendría que hacer de forma diferente/irregular el miembro de la organización para
otorgar una ventaja indebida a un miembro de otro proceso o a un tercero?