2023

200-00

COMPONENTE EVALUACIÓN DE RIESGOS

 200-00 Componente Evaluación de los Riesgos
Aspectos clave:
1. Se vincula directamente con el Componente Actividades de Control;

2. El riesgo es la probabilidad de ocurrencia de eventos no deseados que podrían

afectar adversamente el logro de los objetivos;

3. El control se establece mediante normativas, políticas, procedimientos, instructivos y

otras acciones para mitigar los riesgos; y,

4. A más altos objetivos, mayores serán los riesgos aceptados.

 200-00 Componente Evaluación de los Riesgos
Proceso
La gestión de los riesgos inicia con los objetivos institucionales que son las entradas al
proceso y se originan en el Componente Entorno de Control.

Evaluación y Análisis de
Objetivos Identificación categorizació los Riesgos y Respuesta a Planes de
institucionales de eventos n de los Riesgo los Riesgos mitigación
riesgos Residual

Los planes de mitigación son las salidas del proceso y se desarrolla en el

Componente Actividades de Control
 Estructura del MARCI
200-00 COMPONENTE EVALUACIÓN DE LOS RIESGOS
PRINCIPIOS NORMAS DE CONTROL INTERNO
CÓDIGO TÍTULO CÓDIGO TÍTULO
PCI-TSC/210-00 Objetivos NCI-TSC/211-00 Alinear al plan estratégico todos los demás objetivos
Institucionales
NCI-TSC/212-00 Priorizar los objetivos para gestionar sus riesgos y establecer
responsables para su implementación
PCI-TSC/220-00 Identificación, NCI-TSC/221-00 Involucrar a toda la organización en la gestión de los riesgos
Evaluación y
Respuesta a los NCI-TSC/222-00 Identificar factores de riesgo internos y externos
Riesgos NCI-TSC/223-00 Evaluar y analizar los riesgos
NCI-TSC/224-00 Respuesta a los riesgos
PCI-TSC/230-00 Identificación, NCI-TSC/231-00 Identificar los distintos tipos de fraude y potenciales actores
Evaluación y Análisis
del Riesgo de NCI-TSC/232-00 Evaluar los incentivos, las presiones y oportunidades
Fraude
NCI-TSC/233-00 Respuesta al Riesgo de Fraude
PCI-TSC/240-00 Evaluación de NCI-TSC/241-00 Identificación de los cambios externos e internos
Cambios con Efectos NCI-TSC/242-00 Evaluar y responder a los cambios
en el Control Interno
 PCI-TSC/210-00 OBJETIVOS INSTITUCIONALES
No. Actividades para la implementación Difusión
La MAE, con la participación de los directivos, consolidará los objetivos priorizados por éstos en
sus respectivos procesos, mediante la elaboración de un plan preliminar para la gestión de
riesgos, y someterá a la aprobación de la MAI, quien emitirá el plan de gestión de riesgos
institucional definitivo.
37 Para cumplir esta actividad la MAE y los directivos utilizarán los siguientes formularios: Interna

Anexo 23: Formulario de alineación estratégica

Anexo 24: Formulario de relación macroproceso y proceso
Anexo 25: Plan de gestión de los riesgos
Aspectos claves del Principio Objetivos Institucionales
Su cumplimiento es uno de
los objetivos del control
interno Puntos Mínimos para la Autoevaluación y la
Evaluación Independiente
Deben ser organizados y 1. Procedimiento para formular objetivos alineados y
priorizados por la MAI y la
MAE
criterios para su priorización; y,
2. Listado o detalle de objetivos priorizados
Permite gestionar riesgos de
acuerdo con criterios
gerenciales
 PCI/TSC 220-00IDENTIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS
RIESGOS
NCI-TSC/221-00 Involucrar a toda la organización en la gestión de los riesgos

No. Actividades para la implementación Difusión

La MAI emitirá una política que establezca la obligatoriedad de gestionar los riesgos en toda
la organización, con el propósito de facilitar el logro de los objetivos con la participación de
Interna y
38 autoridades, directivos y otros servidores públicos.
externa
Anexo 4: Políticas Institucionales
 PCI/TSC 220-00 IDENTIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS
RIESGOS
NCI-TSC/222-00 Identificar factores de riesgo externos e internos, NCI-TSC/223-00
Evaluar y analizar los riesgos; y, NCI-TSC/224-00 Respuesta a los riesgos
No. Actividades para la implementació n D ifusión

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, elaborarán, adoptar án o adaptarán
una m etodolog ía para la gestión de los riesgos que será socializada con el personal que
39 Interna
coord ina y ejecuta los procesos de la entidad.

Anexo 22: Instructivo para la ge stión de los rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, identifi carán los riesgos o evento s
internos y externos, a fi n de describirlos, establecer las causas por las que se originan, los
40 efectos que ocasionarían en caso de que ocurr an y d ónde se presentan. Interna

Anexo 26: Formulario para la ide ntificaci ón de rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, evaluar án los riesgos inherentes por
cada objetivo de los procesos (esta acción se podr á realizar por subpro cesos u otras etapas del
proceso).

Com o resultado de esta evaluación se obtend r á una calificació n prelim inar del riesgo, que
41 puede ser: m uy alta, alta, m oderada, baja y m uy baja, de acuerdo con los puntajes que Interna
establezcan los participantes en esta evaluación para las prob abilidades y los impactos,
utilizando los anexos que se describen a continuació n:

Anexo 27: Matriz para la e valuaci ón, análisis y re spuesta a los rie sgos
Anexo 28: Mapa para la valoración pre liminar y final de los rie sgos
La MAE y los directivos, dentro de las áreas de su com petencia, con la participación del
personal responsable de aplicar los procesos y actividades, y utilizando los form ularios del
punto anterior analizará la efectividad de los controles existentes para determ inar su efecto
frente a los riesgos. Com o resultado de ese análisis se puede m antener el nivel de los riesgos o
m odifi carse con lo que se obtend ría una calificació n fi nal de los riesgos y com o consecuencia el
42 riesgo residual. Los resultados de este proceso de evaluació n, análisis y respuesta a los riesgos Interna
son insum os para desarrollar el Com pon ente 300-00 Actividades de Con trol.

Anexo 29: Formulario para analizar la e fe ctividad de los controles e xistentes

Anexo 30: Mapa consolidado de los rie sgos
 PCI/TSC 220-00 IDENTIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS
RIESGOS
NCI-TSC/222-00 Identificar factores de riesgo externos e internos, NCI-TSC/223-00
Evaluar y analizar los riesgos; y, NCI-TSC/224-00 Respuesta a los riesgos
No. Actividades para la implementació n D ifusión

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, elaborarán, adoptar án o adaptarán
una m etodolog ía para la g estión de los riesgos que será socializada con el personal que
39 Interna
coord ina y ejecuta los procesos de la entidad.

Ane xo 22 : Instructivo para la ge stión de los rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, identifi carán los riesgos o evento s
internos y externos, a fi n de describirlos, establecer las causas por las que se originan, los
40 efectos que ocasionarían en caso de que ocurr an y d ónde se presentan. Interna

Ane xo 26: Formulario para la ide ntificaci ón de rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, evaluar án los riesgos inherentes por
cada objetivo de los procesos (esta acción se podr á realizar por subpro cesos u otras etapas del
proceso).

Com o resultado de esta evaluación se obtend r á una calificació n prelim inar del riesgo, que
41 puede ser: m uy alta, alta, m oderada, baja y m uy baja, de acuerdo con los puntajes que Interna
establezcan los participantes en esta evaluación para las prob abilidades y los impactos,
utilizando los anexos que se describen a continuació n:

Ane xo 27: Matriz para la e valuaci ón, análisis y re spuesta a los rie sgos
Ane xo 28: Mapa para la valoración pre liminar y final de los rie sgos
La MAE y los directivos, dentro de las áreas de su com petencia, con la participación del
personal responsable de aplicar los procesos y actividades, y utilizando los form ularios del
punto anterior analizará la efectividad de los controles existentes para determ inar su efecto
frente a los riesgos. Com o resultado de ese análisis se puede m antener el nivel de los riesgos o
m odifi carse con lo que se obtend ría una calificació n fi nal de los riesgos y com o consecuencia el
42 riesgo residual. Los resultados de este proceso de evaluació n, análisis y respuesta a los riesgos Interna
son insum os para desarrollar el Com pon ente 300-00 Actividades de Con trol.

Ane xo 29: Formulario para analizar la e fe ctividad de los controles e xistentes

Ane xo 30 : Mapa consolidado de los rie sgos
 PCI/TSC 220-00 IDENTIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS
RIESGOS
NCI-TSC/222-00 Identificar factores de riesgo externos e internos, NCI-TSC/223-00
Evaluar y analizar los riesgos; y, NCI-TSC/224-00 Respuesta a los riesgos
No. Actividades para la implementació n D ifusión

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, elaborarán, adoptar án o adaptarán
una m etodolog ía para la g esti ón de los riesgos que será socializada con el personal que
39 Interna
coord ina y ejecuta los procesos de la entidad.

Anexo 22: Instructivo para la ge stión de los rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, identifi carán los riesgos o evento s
internos y externos, a fi n de describirlos, establecer las causas por las que se originan, los
40 efectos que ocasionarían en caso de que ocurr an y d ónde se presentan. Interna

Anexo 26: Formulario para la ide ntificaci ón de rie sgos

La MAE y los directivos, dentro de las áreas de su com petencia y con la participació n del
personal responsable de aplicar los procesos y actividades, evaluar án los riesgos inherentes por
cada objetivo de los procesos ( esta acción se podr á realizar por subpro cesos u otras etapas del
proceso) .

Com o resultado de esta evaluación se obtend r á una calificació n prelim inar del riesgo, que
41 puede ser: m uy alta, alta, m oderada, baja y m uy baja, de acuerdo con los puntajes que Interna
establezcan los participantes en esta evaluación para las prob abilidades y los impactos,
utilizando los anexos que se describen a continuació n:

Anexo 27: Matriz para la e valuaci ón, análisis y re spuesta a los rie sgos
Anexo 28: Mapa para la valoración pre liminar y final de los rie sgos
La MAE y los directivos, dentro de las áreas de su com petencia, con la participación del
personal responsable de aplicar los procesos y actividades, y utilizando los f orm ularios del
punto anterior analizará la efectividad de los controles existentes para determ inar su efecto
f rente a los riesgos. Com o resultado de ese análisis se puede m antener el nivel de los riesgos o
m odifi carse con lo que se obtend ría una calificació n fi nal de los riesgos y com o consecuencia el
42 riesgo residual. Los resultados de este proceso de evaluació n, análisis y respuesta a los riesgos Interna
son insum os para desarrollar el Com pon ente 300-00 Actividades de Con trol.

Anexo 29: Formulario para analizar la e fe ctividad de los controles e xistentes

Anexo 30: Mapa consolidado de los rie sgos
Aspectos claves del Principio Identificación, Evaluación y Respuesta a los
Riesgos
Riesgo es la probabilidad que
eventos afecten negativamente
La gestión de los riesgos debe ser
aplicados a todos los objetivos
Responder a los riesgos es, aceptar,
mitigar, compartir o evitar
Puntos Mínimos para la Autoevaluación y la
Evaluación Independiente
1. Listado o detalle de objetivos alineados a los
objetivos estratégicos;
2. Metodología para la evaluación de los riesgos;
3. Plan de implementación de la gestión de riegos;
4. Documento que identifiquen los factores de
riesgo internos y externos;
5. Matrices, mapas de riesgos o documentos
equivalentes;
6. Respuesta a los riesgos.
 PCI-TSC/230-00 IDENTIFICACIÓN, EVALUACIÓN Y ANÁLISIS DEL RIESGO DE FRAUDE

NCI-TSC/231-00 Identificar los distintos tipos de fraude y potenciales actores,

NCI-TSC/232-00 Evaluar los incentivos, las presiones y oportunidades; y, NCI-TSC/233-00
Respuesta al riesgo de fraude
No. Actividades para la implementación Difusión
La MAI, la MAE y los directivos, dentro de las áreas de su competencia, con la participación del
personal responsable de aplicar los procesos y actividades, utilizando la metodolog ía para la
gestión de riesgos institucionales tratadas en el principio PCI-TSC/220-00 Identificación,
evaluación y respuesta a los riesgos, realizar á las siguientes acciones relacionadas con la
identificación, evaluación, análisis y respuesta al riesgo del fraude:

a. Identificar los distintos tipos de fraude que podr ían ocurr ir en la entidad, de acuerdo
con su naturaleza, para para lo que se podr ía considerar el apoyo de profesionales
del derecho;
43 b. Determinar los incentivos que podr ían tener las autoridades y el resto de los Interna
servidores públicos para cometer fraude. Los incentivos pueden ser económicos, de
información privilegiada, de favores a terceros;
c. Establecer las presiones que pueden tener los servidores públicos para cometer
fraude, como el logro de objetivos de difícil cumplimiento, disposiciones de las
autoridades;
d. Identificar las oportunidades para cometer fraude, como la alteración de registros,
información, adquisición y disposición de activos; y,
e. Analizar la actitud de las autoridades y servidores públicos frente actos fraudulentos.
Aspectos claves del Principio Identificación, Evaluación y Análisis del
Riesgo de Fraude
Posibles alteraciones de
Puntos Mínimos para la Autoevaluación y la
registros de la organización
Evaluación Independiente
1. Documento en el que se identifican los factores de
Informaciones fraudulentas
riesgo al fraude;
2. Matrices, mapas o documentos equivalentes; y,
3. Procedimientos y otros controles para prevenir y
combatir la corrupción, principalmente en las áreas
Pérdida de activos o procesos de mayor riesgo al fraude.
PCI-TSC/240-00 EVALUACIÓN DE CAMBIOS CON EFECTOS EN EL CONTROL INTERNO
NCI-TSC/241-00 Identificación de los cambios externos e internos y NCI-TSC/242-00
Evaluar y responder a los cambios
No. Actividades para la implementación Difusión
La MAI, la MAE y los directivos, dentro de las áreas de su competencia, con la participación
del personal responsable de aplicar los procesos y actividades, utilizando la metodolog ía para
la gestión de riesgos institucionales tratadas en el principio PCI-TSC/220-00 Identificación,
evaluación y respuesta a los riesgos, realizará las siguientes acciones relacionadas con la
identificación, evaluación, análisis y respuesta al riesgo a los cambios internos y externos:

a. Cambios en el entorno operacional. Los cambios en el contexto económico, legal y

social pueden generar nuevos riesgos para la organización;
b. Nuevo personal. Principalmente en los niveles directivos que no se integren en la
filosofía y enfoque de la organización, o que promueven modificaciones
significativas en las pol íticas establecidas. Si estos cambios son frecuentes, como
Interna y
44 ocurre en algunas instituciones, los riesgos se incrementan significativamente;
externa
c. Sistemas de información nuevos o modernizados. Los nuevos sistemas deterioran
los controles claves que en el pasado funcionaban y requieren de cambios urgentes
pero programados;
d. Rápido crecimiento de la organización. El personal y los sistemas se ven sometidos a
requerimientos adicionales y los procedimientos de control deben responder a esas
necesidades;
e. Nuevos servicios y actividades. Es necesario adecuar los controles internos a las
nuevas actividades y ajustar los requerimientos de personal y tecnología; y,
f. Reestructuraciones internas. Ajustes para atender los requerimientos de las
autoridades gubernamentales. Esto puede debilitar el control interno por
limitaciones de Talento Humano y financieros.
Aspectos claves del Principio Evaluación de Cambios con Efectos en
el Control Interno
Analizar cambios o modificaciones
que puedan afectar al control Puntos Mínimos para la Autoevaluación y la
interno Evaluación Independiente
1. Informes o investigaciones sobre cambios
Frente a cambios significativos, externos e internos;
se deben analizar los riesgos
2. Disposiciones de la MAI y la MAE para atender
los cambios; y,
Los cambios frecuentes de 3. Actualización de la evaluación de los riesgos a
personal clave, son riesgos se los cambios.
deben prever
VIDEO
@stlcchn

ONADICI
@onadicihn