Escolar Documentos
Profissional Documentos
Cultura Documentos
Versin 0.1
IMPLANTACIN,
MANTENCIN
Y
ACTUALIZACIN DEL PROCESO DE
GESTIN DE RIESGOS EN EL
SECTOR PBLICO
MINISTERIO
SECRETARA GENERAL
DE LA PRESIDENCIA
Marzo 2015
CAIGG
rea de Estudios
TABLA DE CONTENIDOS
MATERIAS
PGINA
PRESENTACIN
I.- INTRODUCCIN
11
14
17
17
17
17
34
38
40
43
47
49
53
54
55
56
58
59
61
64
70
79
82
85
99
100
PRESENTACIN
INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que las organizaciones gubernamentales mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
es necesario que las organizaciones gubernamentales, mantengan y mejoren las actividades
del Proceso de Gestin de Riesgos que se viene desarrollando en la Administracin del Estado
desde el ao 2007. Lo anterior, considerando el levantamiento de procesos de la institucin o la
revisin del mismo; la identificacin, anlisis y valorizacin de los riesgos crticos y sus
controles y, en especial, la formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
gubernamental, las organizaciones gubernamentales podrn previa solicitud y aprobacin por
parte del Consejo de Auditora, proponer e implementar, si corresponde, un modelo de gestin
de riesgos basado principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos
aceptados, que estn adaptados a las caractersticas y particularidades especficas de la
organizacin.
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento
del Proceso de Gestin de Riesgos en la entidad.
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.
www.coso.org
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.
10
11
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
4.1.- Mandato y Compromiso
La introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un
compromiso fuerte y sostenido de la direccin de la organizacin gubernamental, as como
establecimiento de una planificacin estratgica y rigurosa para lograr el compromiso a todos
los niveles.
4.2.- Diseo del Marco de Trabajo de la Gestin del Riesgo
4.2.1.- Comprensin de la Organizacin y de su Contexto. Antes de iniciar el diseo y la
implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender
el contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir
significativamente en el diseo del marco de trabajo.
4.2.2.- Establecimiento de la Poltica de Gestin del Riesgo. La poltica de gestin del
riesgo debera indicar claramente los objetivos y el compromiso de la organizacin en materia
de la gestin del riesgo.
12
13
Evaluacin del Riesgo: La evaluacin del riesgo es el proceso global de identificacin del
riesgo, de anlisis del riesgo y de valoracin del riesgo.
Identificacin del Riesgo: Proceso de bsqueda, reconocimiento y descripcin de
riesgos. Comprende identificar los riesgos que podran impedir, degradar o demorar
el cumplimiento de los objetivos estratgicos y operativos de la organizacin, as
como las oportunidades que puedan contribuir al logro de los referidos objetivos.
Anlisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo. El anlisis del riesgo proporciona las bases para la
valoracin del riesgo y para tomar las decisiones relativas al tratamiento del riesgo.
El anlisis debera considerar el rango de consecuencias potenciales y cun
probable es que los riesgos puedan ocurrir. Consecuencia y probabilidad se
combinan para producir un nivel estimado de riesgo segn la definicin de la
14
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
cambios que se puedan producir en el nivel de desempeo requerido o esperado y dar
cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin.
15
16
17
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad de la organizacin gubernamental, y que sea publicada y comunicada a travs de
todos los niveles de dicha organizacin, estableciendo responsables de las comunicaciones. En
Anexo N 1 se entrega un ejemplo de poltica de gestin de riesgos.
Acciones a Desarrollar Peridicamente
En esta fase debe definirse la poltica de gestin de riesgos y aprobarse por el Jefe de Servicio
mediante Resolucin. En el caso de estar dictada, debe revisarse, para determinar su
consistencia con las polticas y objetivos estratgicos de la organizacin gubernamental,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
18
11
19
i.- Metodologa
Paso N 1: Identificacin y Priorizacin de Procesos Crticos en la Institucin
Para efectos de este documento, se entender como proceso un conjunto de actividades
ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene uno o
ms clientes y proveedores, internos y/o externos a la organizacin en que opera. Podemos
agregar a esta definicin, que aquellos identificados como claves para el logro de la misin
institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos.
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
las organizaciones gubernamentales deberan tener realizada y respaldada a travs de
documentos formales, tales como; bases tcnicas, trminos de referencia, reglamentos y
normativas internas de los programas y servicios que entregan las instituciones.
En caso que dichas estructuras estn implcitas en la documentacin o no estn formalizadas,
se debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la
estructura de los procesos. Con esa informacin se debe analizar la relacin entre la misin
objetivos estratgicos formales declarados y los procesos organizacionales, identificando para
cada proceso especfico, el nivel de contribucin que realiza a cada objetivo estratgico,
mediante la metodologa definida por el Consejo de Auditora.
20
Valor
Alto
Medio
Bajo
Nulo
A continuacin se presenta un esquema matricial que permite identificar los procesos crticos
de acuerdo con esta metodologa, al relacionar cada uno de los procesos de la organizacin
gubernamental con los objetivos estratgicos de la misma. El procedimiento especfico
corresponder al siguiente:
Una vez identificados todos los procesos que existen en la organizacin, se debe aplicar la
siguiente metodologa para determinar la priorizacin de los procesos en base a su nivel de
contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para
determinar cules sern los procesos crticos que se les realizar el modelamiento de riesgos.
21
Procesos
institucionales
Proceso 1
Proceso 2
Proceso 3
...
Proceso n
Objetivo
Estratgico
1
Objetivo
Estratgico
2
Objetivo
Estratgico
...
Objetivo
Estratgico
n
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
..........
Alto (3),
Medio(2),
Bajo(1),
Nulo(0)
Nivel
de
Contribucin
Promedio
del
Proceso
al
Cumplimiento de los
Objetivos
Proceso
seleccionado
(2,0 3,0)
Promedio Aritmtico
Proceso 1
Promedio Aritmtico
Proceso 2
Promedio Aritmtico
Proceso 3
..........
Promedio aritmtico
Proceso n
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la organizacin gubernamental. Se analiza cada proceso en relacin con el
nivel en que aporta al cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o
Nulo, de acuerdo con la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2,0 y 3,0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
22
Procesos
institucionales
Abastecimiento
Financiero
Crediticio
Recursos Humanos
Comercializacin
Objetivo
Estratgico
1
Objetivo
Estratgico
2
Objetivo
Estratgico
3
Nivel de contribucin
promedio
del
proceso
al
cumplimiento de los
objetivos
Proceso
seleccionado
(2,0 3,0)
3
2
1
3
1
2
1
2
2
2
3
0
1
1
1
2,6
1,0
1,6
2,0
1,3
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
En todo caso, independiente de la clasificacin previamente explicada, la organizacin
gubernamental debe considerar en el reporte al CAIGG, el porcentaje mnimo (valor porcentual
mnimo) de procesos crticos que deben analizarse en la organizacin, que este Consejo
informe oportunamente.
Paso N 2: Identificacin de Subprocesos en los Procesos Crticos
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales de la organizacin gubernamental). Los
subprocesos corresponden a aquellos componentes principales en el desarrollo de los
procesos. Al igual que los procesos, los subprocesos que los componen pueden ser de diversa
importancia y tener distinta influencia en la generacin de los productos o servicios.
Paso N 3: Identificacin de Etapas en cada Subproceso
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la organizacin,
entre otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada organizacin gubernamental.
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
23
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
24
25
y Descripcin
Procesos Transversales
en la Administracin del
Estado
Subsidios
fomento
privados
de
privados
de
Procesos
Transversales
en
la
Descripcin
Procesos de Negocio
Se entienden aquellos cuyo objetivo es promover,
incentivos econmicos, que los particulares realicen por
actividades productivas.
Se entienden como tales los procesos cuyo objetivo es la
de ciertos objetivos sociales como la integracin, etc.
Consisten en procesos cuya finalidad es entregar
subsistencia a particulares.
mediante
s mismos
promocin
ayuda de
26
Crditos
prestamos
recuperacin
Almacenamiento y distribucin
Infraestructura
Asesora a infraestructura
Estudios para marco cultural
Estudios para regulaciones,
normativa y fijacin tarifaria
Administracin
de
bienes
estratgicos
Otorgamiento
y/o
reconocimiento de derechos
Estudios e investigaciones
Legal estratgico
Control de outsourcing
Seguridad y Control
Personas y/o Recintos
de
Calificacin ambiental
Produccin
materiales
de
bienes
Comercializacin
Coordinacin de Acciones de
Emergencia
Descripcin
Procesos que se orienten a prestar una atencin de salud,
previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Se refiere a procesos de entrega de prstamos, incluyndose los
procesos de planificacin, ejecucin y cobranzas.
Procesos que consistan en bodegaje, mantenimiento de stock y
distribucin de materiales o bienes.
Procesos que se refieran a los bienes muebles e inmuebles de la
organizacin gubernamental que se utilizan para cumplimiento del rol
de la misma.
Procesos que impliquen estudios y acciones que apoyen decisiones
sobre la infraestructura.
Procesos de estudios culturales que releven las artes, literatura,
pintura y todo lo relacionado a temas culturales.
Procesos de estudios que sirvan o puedan servir de base para la
emisin de normativa, regulaciones, tarifas, etc.
Proceso a travs del cual la organizacin gestiona aquellos bienes
que son indispensables para el cumplimiento de su funcin; que son
de la esencia de su negocio.
En el caso de aquellas organizaciones que entregan derechos o
beneficios a personas naturales como ser parte de un registro,
derechos de aguas, etc.
Aquellos estudios cuyo sentido es investigar un tema econmico,
financiero, de mercado u otra situacin determinada importante para
la organizacin.
Desarrollo de acciones legales y/o judiciales como negocio de la
organizacin gubernamental.
Equivalen a la gestin y monitoreo de los contratos que externalizan
funciones propias de la organizacin gubernamental.
Proceso relacionado con seguridad que realizan determinados entes
del estado en relacin a las personas en distintas calidades:
victimas, imputados, reos, reclutas y la ciudadana en general. Esto
podra incluir operaciones de distinta naturaleza como vigilancia,
traslados, control u otros de ndole distinta, relacionados con la
seguridad.
Procesos relacionados con seguridad operacional y respuestas ante
situaciones de emergencias de los servicios de transporte terrestre,
martimo y areo, as como de las instalaciones portuarias y
aeroportuarias o de cualquier otra ndole, en donde exista trfico de
pasajeros o carga.
Procesos relacionados a anlisis, autorizaciones y permisos medio
ambientales.
Corresponde a aquellos procesos productivos que generan bienes
materiales como resultado
Procesos que desarrollan aquellas organizaciones gubernamentales
que venden productos y/o servicios a terceros.
Procesos asociados a la ejecucin y coordinacin de operaciones de
emergencia, gestin de recursos para emergencias, monitoreo y
27
Descripcin
28
Recursos materiales
Mejoramiento de la gestin
Descripcin
Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza la organizacin gubernamental para cumplimiento
de sus objetivos.
Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Es necesario relevar que las organizaciones gubernamentales deben clasificar sus procesos
slo en una de las categoras antes definidas, basados en las caractersticas organizacionales
y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de
uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y
discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un
nuevo proceso transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir organizaciones
gubernamentales cuyos procesos de negocio correspondan a los que generalmente para las
dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de
recursos humanos, entre otros.
En el cuadro siguiente se entrega un ejemplo de dicha clasificacin.
Cuadro N 4: Ejemplo de Clasificacin de Procesos Crticos
Proceso Transversal
Proceso
Subproceso
Etapas
Objetivos
Entrega de crditos de
fomento
Programa de beneficios
econmicos
para
mujeres emprendedoras
Subsidios
para
capacitacin
Entrega de bonos para
produccin de leche
Personal
Proceso
de
alerta
temprana
Compras
y
contrataciones
Subproceso 1
Subproceso 2
Etapa 1
.
.
.
---.
.
29
30
Crdito
de
fomento para
mujeres
microempresar
ias
Capacitacin
para los
negocios
Presupuesto y
Contabilidad
13
Descripcin
Subprocesos
Postulacin
crdito
Evaluacin
crdito
Entrega crdito
Pond.
13
10%
30%
25%
Recuperacin
crdito
35%
Postulacin
20%
Capacitacin
50%
Evaluacin
30%
Planificacin
40%
Pagos
30%
Registro
30%
Justificacin de la ponderacin
La ponderacin baja considera que la postulacin
es una accin externa, propia de las usuarias.
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
31
Financieros
Econmicos
Se
relacionan
con
elementos
financieros,
comerciales
y
presupuestarios
Sociales
Tecnolgicos
14
Se
relacionan
con
elementos de comunidad
social, cultural, demogrfica,
comportamientos sociales.
32
Tipos de Riesgos
Gubernamental
-
Estratgicos
Medioambientales
Procesos
Legal
Personas
Imagen
Sistemas
Relacionado
con
los
sistemas de informacin de
la
Organizacin
Gubernamental,
las
tecnologas que posee y los
datos que maneja.
33
Tipos de Riesgos
Bienes muebles e
inmuebles
Se
relacionan
con
elementos asociados a los
recursos
materiales
muebles o bienes races
que utiliza la Organizacin
Gubernamental
para
el
cumplimiento
de
sus
objetivos institucionales.
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo
con el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn
sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y
ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la
imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
2.- FASE IDENTIFICACIN DE RIESGOS
La metodologa del Consejo de Auditora, considera la identificacin, anlisis y valoracin de
riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos de la
organizacin gubernamental. Las oportunidades y riesgos, son eventos, que se definen como
un incidente que emana de fuentes internas o externas que afectan la implementacin de la
estrategia o logro de los objetivos.
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
Como puede apreciarse, la identificacin de eventos consta de dos aspectos, oportunidades y
riesgos.
15
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los
objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las
que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
34
Misin
Procesos
Sistema Crediticio
de Fomento
Servicio Apoyo
al Microcrdito
(ficticio).
Entregar apoyo
crediticio de
fomento a
grupos
vulnerables, de
mujeres y
jvenes.
Apoyo a la
Capacitacin
Recursos
Humanos
Sistemas de
Informacin
Contabilidad y
Presupuesto
Eventos/Oportunidades
Est dentro de los lineamientos del nuevo Gobierno.
Cambios sociales que apuntan a un papel protagnico de la
mujer.
La mujer estadsticamente es ms cumplidora y responsable con
sus deudas y compromisos.
Se han aumentado los fondos para apoyar a microempresarias
afectadas por el terremoto
La mujer en general, es responsable en asistencia a los cursos.
Los jvenes reclaman alternativas de mejoramiento.
En los ltimos aos ha existido una gran demanda por
capacitacin.
Existen muchos organismos tcnicos en el mercado que ofrecen
diversas alternativas.
El presupuesto de este ao contempla ms recursos que el ao
anterior para este proceso.
..
..
..
35
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del
control realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin
lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es
distinta a la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la
efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin.
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
36
Proceso
Subproceso
Pond.
Etapas
Objetivos
Recuperar
oportunamente
crditos
Riesgos especficos
los
Cobranza
Contar
garantas
crditos
Crditos
Recuperacin
de prstamos
Crditos
de
fomento a
mujeres
microempr
esarias
Recuperaci
n del crdito
Falta de garantas
Ingreso
inoportuno
incompleto de pagos
25%
Ingreso
fondos
recuperados
de
con
los
Falta
de
acciones
oportunas de cobranza
Insolvencia
de
los
deudores
Errores en la digitacin de
los montos
Problemas
en
la
transformacin
de
la
informacin del sistema
de
la
Organizacin
Gubernamental al SIGFE
Fuente de
Riesgos
Tipo de
riesgo
Prob.
Cons.
Interna
Procesos
Externa
Econmico
Interna
Procesos
Interna
Personas
Interna
Personas
Interna
Tecnolgico
37
38
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma
directa, de tal manera que los riesgos identificados impidan o dificulten el resultado
esperado por la organizacin gubernamental al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que
hayan afectado a la organizacin gubernamental (modificaciones presupuestarias,
nuevos objetivos, eliminacin de programas, entre otras situaciones); determinando si
estos controles estn documentados y si existe segregacin de funciones. Ver Anexo N
9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y
cundo lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu
se hace) a travs de comparar una muestra de al menos 30% de los contratos firmados
con las resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza
por el Jefe de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo
hace) emitiendo un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los
riesgos y controles.
Proceso
Proceso
Transversal
1
Proceso
1
Proceso
Transversal
2
Proceso
2
Proceso
Transversal
3
Proceso
3
Subproceso
Subproceso
1
Subproceso
2
Subproceso
3
Subproceso
4
Subproceso
5
Subproceso
6
Pond.
18
70%
30%
60%
40%
50%
50%
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Etapa 7
Etapa 8
Etapa 9
Etapa 10
Riesgo
Especfico
3
3
3
2
5
2
2
6
2
2
Etapa 11
Etapa 12
Etapa 13
2
4
4
Etapa
3
3
3
2
5
2
2
6
2
2
2
4
4
Subproceso
3
Proceso
2,8
2,5
3,5
Subproceso
3 x 70% = 2,1
3,8
2 x 50% = 1
2
2,7
3,3
Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.
17
39
SEVERIDAD DEL
RIESGO
(Probabilidad X
Consecuencias)
EXPOSICIN AL
RIESGO
(Severidad del Riesgo/
Efectividad del Control)
40
Nivel de Exposicin al
Riesgo
4,0
3,5
3,0
.
1
2
3
.
Entrega Crditos
Capacitacin
Contabilidad y Presupuesto
41
Procesos
Subprocesos
Subproceso 1
Nivel de
Exposicin al
Riesgo
Ponderado
por
Subproceso
Ranking para
priorizar
estrategias de
tratamiento en
los
subprocesos
1,8
1,0
1,7
Subproceso 1
1,0
.
Subproceso 2
2
Capacitacin
Etapa 1
2,1
Etapa 2
1,9
Etapa 2
Etapa 1
Formar
Parte del
Plan de
Tratamiento
a nivel de
Subproceso y
a nivel de
Etapa
No formar
parte del
Plan de
Tratamiento
por razones
de costos
1
Entrega
Crditos
Subproceso 2
Etapas
Ranking para
Nivel de
priorizar
Fundamentos
Exposicin estrategias de
para la
al Riesgo tratamiento de los Priorizacin
por Etapa
riesgos en las
etapas
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
Acciones a Desarrollar Peridicamente
Para el adecuado desarrollo del Proceso de Gestin de Riesgos, la organizacin
gubernamental debe hacer un ranking de procesos, de subprocesos y etapas. Se sugiere la
utilizacin de los cuadros N 11 y N 12, respectivamente, como apoyo para el sealado
ranking.
Es importante que, en base la informacin proporcionada por los Ranking de Procesos y
Subprocesos (incluyendo el Ranking de Etapas), la organizacin gubernamental determine qu
etapas, subprocesos y procesos sern abordados con acciones para tratar los riesgos
especficos. Dicha determinacin debe fundamentarse debidamente, en consideracin de
aquellos riesgos para los cuales no se tomarn acciones para disminuir los niveles de riesgo.
Para una adecuada fundamentacin, se debern considerar variables tales como la importancia
estratgica de los procesos y subprocesos, aspectos presupuestarios, nfasis de las
autoridades y todas aquellas variables que permitan justificar adecuadamente su tratamiento
versus las materias que no sern abordadas con planes de tratamiento.
42
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM - COSO II, seala que existen
cuatro estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos,
desde el punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de
la exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
43
COMPARTIR
o
o
o
o
o
o
o
o
o
REDUCIR
o
o
o
o
o
o
o
o
44
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la
Severidad del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los
controles.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
Efecto potencial en
la Efectividad del
Control
La probabilidad e impacto no se
reducen.
Reducir
Mejora su efectividad
Mejora su efectividad
Compartir
Aceptar
La probabilidad e impacto no se
reducen.
Estrategias
Genricas
Evitar
45
Situacin esperada en
relacin con el Nivel de
Exposicin al Riesgo
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de
manera de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deberan ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy
limitada en el sector pblico.
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que
se deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento que contendr las medidas a
adoptarse ante los riesgos crticos de la organizacin gubernamental. Se sugiere el uso del
formato del cuadro N 15 siguiente:
46
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Proceso
Transversal
(1)
Proceso
(2)
Ranking
de
Procesos Subproceso
(3)
(4)
Etapa
(5)
Riesgo
Especfico
(6)
Fuente del
Riesgo
(7)
Tipo de
Riesgo
(8)
Estrategia
Genrica
(9)
Efecto
Periodo
Potencial en
Medicin
Evidencia
Descripcin
la Severidad Responsable
del
que se
de la
Indicador
Meta
de Riesgo y/o
de la
Plazo
Indicador
Observar
Estrategia a
de Logro
(16)
Efectividad
Estrategia
(13)
(15)
(17)
Aplicar
(14)
del Control
(12)
(10)
(11)
Significado
Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de acuerdo
a la clasificacin del documento (Cuadro N 3).
Denominacin especfica que el proceso tiene en la Organizacin Gubernamental.
Prioridad de tratamiento del proceso, de acuerdo al nivel de exposicin al riesgo.
Subprocesos que conforman el proceso priorizado.
Etapas que conforman cada uno de los subprocesos del proceso priorizado.
Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a
cabo.
Origen externo o interno de los riesgos, de acuerdo al control que tiene la Organizacin
Gubernamental de la fuente que los produce.
Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el cuadro N 6.
Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir,
compartir, aceptar).
Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que se
desarrollarn para llevar a cabo la estrategia genrica.
Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos)
y/o a potenciar el control y de qu manera.
Sealar quien es la persona y cargo responsable de la implementacin de las acciones especficas
de la estrategia.
Definir en qu plazo se debe implementar la estrategia.
Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la
estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia
mitiga el riesgo al cual se asocia.
Sealar periodos en que se va a medir el indicador dependiendo de la naturaleza del mismo
(mensual, trimestral, semestral, etc.)
Resultado tangible que se espera lograr con la implementacin de la estrategia.
Documento o instrumento que se utilizar en la medicin del indicador.
47
La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora
deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la
implantacin de las estrategias de tratamiento de los riesgos.
Proceso
transversal
Proceso
Subproceso
Etapa
Riesgo
especfico
Estrategia
genrica
Descripcin
de la
estrategia a
aplicar
Periodo de
Resultados
evaluacin de
de la
Evidencia del Proyecciones de
Recomendaciones
implementacin medicin de cumplimiento cumplimiento
(e)
de la estrategia
la metas
(c)
(d)
(a)
(b)
48
49
Criterio
Responsable
Plazos
Das de retraso respecto del Plan de en conjunto con los enero de cada
coordinadores
de ao.
comunicacin.
riesgos.
Calidad
Encargado de Riesgos En el mes de
Riesgos
extremos
con
controles
menos
Controles
coordinadores
de ao.
efectivos.
riesgos.
Procesos en los primeros lugares del ranking y en conjunto con los enero de cada
coordinadores
de ao.
su relacin al soporte.
50
Posteriormente, se debera analizar, a una fecha dada, los resultados de la aplicacin de los
Planes de Comunicacin y Consulta y emitir un informe. Solicitar a los usuarios de la
informacin contestar algunas de las siguientes preguntas relacionadas con el contenido,
oportunidad, actualidad, exactitud y accesibilidad de los reportes internos y externos, puede ser
de utilidad para esta tarea. Entre otros se pueden considerar las siguientes:
51
19
Sin perjuicio de las actualizaciones posteriores que se requiera hacer al Plan de Comunicacin y Consulta.
52
Tipo de registro.
Contenido del registro.
Responsable del registro.
Cmo se tendr acceso al registro.
Cmo se almacenarn los registros.
Por cunto tiempo se deben almacenar y quin puede destruirlos y reemplazarlos.
Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho
caso.
53
54
55
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
Como elementos importantes en la Gestin de Riesgos se considerarn:
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para
la gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos
asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
Prevalecer el enfoque PREVENTIVO y PROACTIVO.
El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos:
56
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo;
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad;
Eliminar la fuente del riesgo;
Modificar la probabilidad;
Modificar las consecuencias;
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo);
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
La Direccin de la organizacin gubernamental se compromete peridicamente a realizar una
revisin de la poltica de riesgos aqu establecida.
57
58
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Por lo tanto, en base a normas de auditora interna20 y en la experiencia que se ha obtenido en
el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol
fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer
aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de
gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo
gestionados apropiadamente y que el sistema de control interno est siendo operado
efectivamente.
En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la
responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y
motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de
riesgo.
Estas directrices21 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector
Gubernamental
Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la
direccin.
Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de
Gestin de Riesgos.
Evaluar los procesos de gestin de riesgos.
Revisin del manejo y evaluacin de reportes de riesgos claves.
Evaluar la elaboracin de informes sobre los riesgos clave.
Revisar la gestin de riesgos clave.
20
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
21
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
59
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
60
22
Se recomienda leer en forma complementaria, el Documento Tcnico sobre metodologas para el levantamiento y
modelamiento de procesos, publicado por el Consejo de Auditora.
61
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema
explicativo a continuacin:
62
PROCESO CRTICO
T
SUBPROCESO 1
SUBPROCESO n
S
T
ETAPA 1
.
S
Objetivos
operativos de la
etapa 1
Objetivos
operativos de la
etapa n
Riesgos
operativos de la
etapa 1
Riesgos
Operativos de la
etapa n
Controles
Mitigantes de los
riesgos
Controles
Mitigantes de los
riesgos
ETAPA n
Actividad n
Actividad n
Actividad 1
Actividad 2
Actividad 1
Actividad 2
63
1.1.-
Categora
Valor
Descripcin
Casi certeza
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado
de seguridad que ste se presente en el ao en curso. (90% a 100%).
Probable
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
de seguridad que ste se presente en el ao en curso.
Moderado
Improbable
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30%
de seguridad que ste se presente en el ao en curso.
Muy improbable
1.2.-
Categora
Valor
Catastrficas
Mayores
Moderadas
Menores
Insignificantes
Descripcin
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen
pblica de la organizacin y del Gobierno. Su materializacin daara gravemente el
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que
estos se logren en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto importante en el presupuesto y/o comprometen fuertemente la imagen
pblica de la organizacin y del Gobierno. Su materializacin daara
significativamente el desarrollo del proceso y el cumplimiento de los objetivos,
impidiendo que se desarrollen total o parcialmente en forma normal en el ao en
curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
pblica de la organizacin y del Gobierno. Su materializacin causara un deterioro
en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus
objetivos, impidiendo que ste se desarrolle parcialmente en forma normal en el ao
en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto menor en el presupuesto y/o comprometen de forma menor la imagen
pblica de la organizacin y del Gobierno. Su materializacin causara un bajo dao
en el desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao
en curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la organizacin y del Gobierno. Su
materializacin puede tener un pequeo o nulo efecto en el desarrollo del proceso y
que no afectara el cumplimiento de los objetivos en el ao en curso.
64
1.3.-
NIVEL PROBABILIDAD
(P)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Casi Certeza
(5)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Probable
(4)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Moderado
(3)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
Improbable
(2)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
muy improbable (1)
NIVEL IMPACTO
(I)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
Catastrficas (5)
Mayores
(4)
Moderadas
(3)
Menores
(2)
Insignificantes (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD
(P)
muy improbable (1)
Probable
(4)
Probable
(4)
Moderado
(3)
NIVEL IMPACTO
(I)
Mayores
(4)
Insignificantes (1)
Moderadas
(3)
Mayores
(4)
65
Descripcin
Preventivo (Pv)
Correctivo (Cr)
Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt)
Controles claves que slo actan una vez que el proceso ha terminado.
Permanente (Pe)
Descripcin
Peridico (Pd)
Ocasional (Oc)
Descripcin
Manual (Ma)
66
2.2.-
CUMPLIMIENTO CON
NORMAS O
REQUISITOS DE
CONTROL
OPORTUNIDAD
(O)
AUTOMATIZACIN
(A)
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
PERMANENTE
PERMANENTE
PERMANENTE
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
PERIODICO
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
PREVENTIVO
PREVENTIVO
PREVENTIVO
CORRECTIVO
CORRECTIVO
CORRECTIVO
DETECTIVO
DETECTIVO
DETECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
INFORMATIZADO
SEMI INFORMAT
MANUAL
NO
DETERMINADO
NO
DETERMINADO
NO
DETERMINADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
CUMPLIMIENTO
ADECUADO
INSUFICIENTE
CLASIFICACIN
VALOR DEL
DISEO DEL
CONTROL
OPTIMO
BUENO
MAS QUE
REGULAR
REGULAR
DEFICIENTE
INEXISTENTE
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
67
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL
RIESGO
VALOR
NIVEL DE EXPOSICIN
AL RIESGO
8,0 25,0
NO ACEPTABLE (Na)
4,0 7,99
MAYOR (Ma)
3,0 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
68
69
Subprocesos
Etapas
Planificacin operativa
anual de compras.
.
.
.
Definicin naturaleza del
proceso.
Confeccin y publicacin
de Bases.
Compra de bienes y
servicios.
Compras y
abastecimiento
Seleccin.
Entradas del
subproceso o
proceso
.
.
.
Plan Operativo
de compras.
Adjudicacin.
Recepcin y evaluacin
de bienes y servicios
adquiridos.
.
.
Salidas del
subproceso o
proceso
.
.
.
Bienes y servicios
(insumos)
de
calidad
que
satisfagan
los
requerimientos
para produccin
de
la
organizacin
gubernamental.
....
.
.
.
.
.
.
Etapas
Etapa
Definicin de la
naturaleza del
proceso de
compras a utilizar
(convenio marco,
licitacin pblica,
privada, trato
directo).
Etapa Confeccin
y publicacin de
bases.
Objetivo
operativo de la
etapa
Definir de acuerdo a
las caractersticas
del bien o servicio a
comprar, la forma
de adquirirlo en el
mercado,
de
conformidad a la
normativa
de
compras.
Actividades de la etapa
Responsables
De gestin
De control
Comit de Compras
70
Jefe Finanzas
Jefe Unidad Jurdica
Encargado
de
especificaciones
tcnicas de compras
Etapas
Objetivo
operativo de la
etapa
Actividades de la etapa
Responsables
De gestin
De control
2.-Validan y visan la
definicin tcnica.
4.Aprobacin
oportuna de las Bases
de Licitacin.
5.- Publicar en diarios en
forma completa, oportuna y
legal
6.- Aclarar en forma completa
e igualitaria las dudas de los
oferentes.
Jefe de
Abastecimiento
y Jefe Unidad
solicitante
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Jefe de la Unidad
Jurdica
Jefe de Servicio
Jefe de Finanzas
Jefe de Finanzas
Jefe de la Unidad
Jurdica
Encargado de
anlisis del rea de
compras
Comit de Compras
Encargado Sistema
de Informacin de
Compras
Comit de Compras
Etapa
Seleccin
Realizar una
seleccin
transparente,
garantizando la
participacin
igualitaria de los
oferentes.
4.- Participacin de
Ministro de Fe en la
apertura.
5.- Confeccin de acta
de
recepcin
de
ofertas, especificando
da y hora de las
ofertas recibidas.
6.- Confeccin de acta
de apertura con todos
los participantes que
cumplen requisitos.
7.- Entrega de reportes
del sistema al comit
de compras.
71
Encargado del
Sistema de
Informacin de
Compras
Funcionario de la
Unidad Jurdica
Encargado Of. de
Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
sistema de compras
y supervisor
Etapas
Objetivo
operativo de la
etapa
Actividades de la etapa
Responsables
De gestin
De control
Compra directa
Jefe de Finanzas y
Comit de Compras
2.- Cruces de datos
entre
funcionarios
participantes
del
proceso de compras y
proveedores.
Cotizadores
designados.
1.- Evaluacin tcnica,
de acuerdo a criterios
previos y objetivos
dispuestos
en
procedimiento.
Etapa
Adjudicacin
7.Aprobacin
Adjudicacin
72
de
Comit de Compras.
Comit de Compras.
3.- Revisin de la
adjudicacin
para
determinar
su
conformidad
al
procedimiento
y
Bases.
4.- Revisin de la
consistencia
y
legalidad del proceso.
5.- Se verifica que el
proveedor adjudicado
no
tengan
inhabilidades respecto
de funcionarios de la
organizacin
gubernamental
y
cumplan obligaciones
laborales.
6.- Visacin de la
adjudicacin
Adjudicar la compra
al
oferente
que
presente la oferta
ms
conveniente
para
la
organizacin.
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Jefe de Finanzas.
Jefe de Recursos
Humanos.
Jefe de la Unidad
Jurdica
Jefe de Servicio o
delegatario.
Etapa
Etapa
Etapa
Objetivo operativo
de la etapa
Actividades de la etapa
Riesgos asociados a la
realizacin de las actividades
Etapa Seleccin
Compra directa
1.- Se designan cotizadores al
interior
de
la
organizacin
gubernamental.
2.- Cruces de datos entre
funcionarios
participantes
del
proceso de compras y proveedores
3.- Obtencin de a lo menos tres
cotizaciones en el caso de trato
directo.
Adjudicar la compra al
oferente que presente la
oferta ms conveniente
para la organizacin.
Etapa
Adjudicacin
73
Designacin de cotizadores
incompatibilidades.
con
para
Etapa
Objetivo operativo
de la etapa
Actividades de la etapa
Riesgos asociados a la
realizacin de las actividades
respecto de funcionarios de la
organizacin
gubernamental
y
cumplan obligaciones laborales.
Funcionarios
que
realizan
verificacin no cuentan con las
competencias necesarias.
No se cuenta con
antecedentes
para
operacin.
todos
visar
los
la
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o Proceso
Etapa Seleccin
Objetivo operativo de
la etapa
Entradas al subproceso o
proceso
74
Etapas
Riesgos asociados a la
realizacin de las
actividades
Responsables
Etapa Seleccin
Recepcin de ofertas en
forma distinta a la sealada
en las bases.
La apertura no se realiza a
travs del sistema y no se
cumple
el
procedimiento
aprobado.
La apertura se realiza en da
y hora distinta al establecido
en las bases.
Ministro
de
Fe
incompatibilidades.
con
Sin control
75
Encargado Sistema
de Informacin de
Compras
Encargado Oficina
de Partes
Jefe de Finanzas
Comit de Compras
Ministro de Fe
Encargado del
Sistema de
Compras
Encargado
Sistema
Informacin
supervisor
Funcionario de
Unidad Jurdica
de
de
su
la
Etapas
Riesgos asociados a la
realizacin de las
actividades
Las
actas
se
firman
posteriormente
por
las
personas que no asisten a la
apertura.
No se entregan reportes en
forma oportuna o tienen datos
errneos.
Responsables
Comit de Compras
Ministro de Fe
Encargado Sistema
de Compras
Supervisor
Compra directa
Designacin de cotizadores
con incompatibilidades.
Sin control
Errores en
tcnica.
Etapa
Adjudicacin
la
evaluacin
Adjudicacin no es
consistente con el proceso de
evaluacin.
Sin control
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
requisitos establecidos en la Ley, las bases y el
procedimiento, emitiendo un informe tcnico,
con visto bueno del Jefe de Abastecimiento.
Cundo: Esto se realiza por cada proceso de
licitacin.
Quin: El Comit de Compras y Jefe de
Abastecimiento.
Qu: Examen de criterios y aplicacin de
check list.
Cmo: Se revisa cada adjudicacin en contra
de los requisitos de las bases (check list) y
pone visto bueno slo si se cumplen todos los
requisitos.
Cundo: Esto se realiza por cada proceso de
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
Qu: Chequeo de consistencia.
Cmo: Se revisa y se da visto bueno a la
resolucin de adjudicacin antes de la firma del
Jefe Superior y revisa la consistencia del
proceso.
Cundo: Cada resolucin es revisada y
chequeada.
Quin: Unidad Jurdica.
76
Jefe de Recursos
Humanos
Comit de Compras
Jefe de
Abastecimiento
Jefe de
Abastecimiento
Jefe de la Unidad
Jurdica
Etapas
Riesgos asociados a la
realizacin de las
actividades
Inexistencia de antecedentes
para realizar la verificacin.
Responsables
Jefe de Finanzas
Jefe de Recursos
Humanos
Sin control
77
Etapa que
afecta
Etapa
Seleccin
Riesgos
asociados a las
entradas del
subproceso o
proceso
1.- Deficiencias
tcnicas en la
formulacin del Plan.
El Plan no representa
las necesidades de la
organizacin
gubernamental.
2.Falta
de
aprobacin
o
autorizacin del Plan.
Responsables
Jefe de Finanzas
Jefe de Cada
Unidad Operativa
Jefe de Servicio
Qu: Participacin en distintos niveles.
Cmo:
Existen
procedimientos
formales
con
participacin de las diversas instancias para definir el
Plan (Comisin de Planificacin), que se revisa y
aprueba anualmente por el Jefe de Servicio previo
informe de la Comisin de Planificacin y del Jefe de
Finanzas.
Cundo: Anualmente.
Quin: Comisin de Planificacin / Jefe de Servicio.
Qu: Aprobacin del Plan.
Cmo: Se revisa el Plan y se consideran los anlisis de
la Comisin de Planificacin y del Jefe de Finanzas
para aprobar, rechazar o modificar el Plan propuesto.
Cundo: Hasta el 30 de diciembre de cada ao.
Quin: Jefe de Servicio.
78
Comisin de
Planificacin
Jefe de Servicio
Comisin de
Planificacin
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
1.- Ejemplos de Tcnicas de Identificacin de Riesgos:
1.1.- Matriz de Consecuencias/Probabilidad
Es un medio de combinar clasificaciones cualitativas o semicuantitativas de consecuencia y
probabilidad para producir un nivel de riesgo o una clasificacin del riesgo. El formato de la
matriz y las definiciones que se apliquen dependen del contexto en el que se usa, y es
importante que se utilice un diseo apropiado a las circunstancias.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orgenes de riesgo o
tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una
herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir
cules son los riesgos que necesitan anlisis adicionales o ms detallados, cules son los que
se han de tratar primero, o cules se han de referenciar a un nivel de gestin ms elevado.
1.2.- Tormenta de Ideas
Esta tcnica implica el estmulo y el fomento de conversaciones fluidas entre un grupo de
personas competentes, con objeto de identificar los posibles modos de falla y los peligros
asociados, los riesgos, los criterios para la toma de decisiones, y/o las opciones de tratamiento.
El trmino "tormenta de ideas" se utiliza frecuentemente de forma muy imprecisa cuando se
79
80
81
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
82
Para identificar los controles, se debe tener presente que en el caso de sistemas de
informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual
a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados
y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de
funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento,
accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la
administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse
como controles generales los contratos con proveedores de servicios de tecnologas de
informacin, la capacitacin y generacin de competencias, las instrucciones sobre correo
electrnico seguro, el monitoreo del cumplimiento de los procedimientos establecidos y la
tecnologa basada en encriptacin de datos, firmas electrnicas y certificados digitales.
83
84
23
COSO I
COSO I
25
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
24
85
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
2. Tipos de Actividades de Control
Entre los tipos de actividades de control de transacciones ms comunes se encuentran:
Controles Fsicos: Los equipos, existencias, valores, efectivo y otros bienes o activos se
resguardan de manera fsica, se contabilizan peridicamente y se comparan con los montos
reflejados en los registros y documento de control.
Ejemplo: bodegas de bienes con acceso restringido y protegidas con guardias o con
vigilancia a travs de cmaras digitales.
Controles sobre Datos Vigentes: Los datos vigentes, como puede ser por ejemplo el
archivo maestro de perfiles de autorizacin en una organizacin, se utilizan a menudo para
contrastar automticamente la autorizacin de determinadas transacciones contra quienes
tienen formalmente esa responsabilidad dentro de un proceso de negocio.
86
26
87
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
88
89
90
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
91
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
7.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y
el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento27.
El Marco COSO versin 1992 fue mejorado en el 201328 a travs de la ampliacin de la
categora de objetivos de la informacin financiera, incluyendo otras formas importantes de
reporting, como por ejemplo la informacin no financiera y el reporting interno. Asimismo, el
Marco COSO I, versin 2013 refleja los cambios en el entorno empresarial y operativo de las
ltimas dcadas, entre los que se incluyen:
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
COSO I
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
28
92
29
En las organizaciones del Sector Pblico el equivalente al Consejo es la Mxima Autoridad o Jefe de Servicio.
93
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
94
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de
efectividad de los controles en base al diseo del control y cumplimiento de los elementos de
un control adecuado. Nivel definido por los atributos periodicidad, oportunidad y nivel de
automatizacin del control, en base al esquema que se presenta en la pgina siguiente.
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
95
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
No es Fundamental
Etapa
Riesgo
Relevante
Descripcin del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
96
Registro
Nivel adecuado
Errores
o
irregularidades en
Nivel
el clculo de las
adecuado
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
iii.-
Autorizacin
Divisin o
Segregacin
Supervisin
Acceso
Nivel adecuado
Nivel
adecuado
Nivel
adecuado
Nivel
regular
Controles
Claves/fundament
ales
Nivel de
Cumplimiento
de los
elementos de
control
adecuado
El
sistema
biomtrico
de
control
horario,
contiene
un
Adecuado
algoritmo
que
r
e
specto a los
calcula las horas
e
l
e
mentos de
trabajadas,
control del
indicando en forma
modelo
precisa
aquellas
que exceden de las
44 semanales.
Periodicidad
Automatizacin
Clasificacin
Valor
Preventivo
(previene
errores y se
encuentra al
principio del
proceso)
Peridico
(a la fecha de
corte mensual
para pago)
Automatizado y
Manual
ptimo
El
jefe
de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
97
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
98
ANEXO N 10
EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Ranking
Proceso
de
transversal Proceso
procesos Subproceso
(1)
(2)
(3)
(4)
Crditos
Crdito
de
Recuperaci fomento a
n de
mujeres
prestamos microemp
resarias
Recuperaci
n del crdito
Etapa
(5)
Fuente
Riesgo
del
Especfic riesgo
o (6)
(7)
Ejecucin
Falta de
de
garantas
Garantas
Interna
Tipo de
riesgo
(8)
Procesos
Periodo
Efecto potencial
Medicin
en la severidad Responsable
Estrategia Descripcin de la
Indicador
Meta
del
de riesgo y/o
de la
Plazo
genrica estrategia a aplicar
de logro Indicador (16)
efectividad del
estrategia
(13)
(9)
(10)
(14)
(15)
control (11)
(12)
Reducir
99
Evidencia
que se
observar
(17)
Carpeta del
crdito
Informacin
del sistema
- 3%
Actas
Comit
Actas de
revisin
Proceso
Transversal
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Crdito
Recuperacin de
prestamos
Proceso
Crtico
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Crditos de
fomento
a
mujeres
microempres
arias
Recursos
Humanos
Capacitacin
Subproceso
Pd.
(1)
Etapas
Objetivos
RIESGOS CRTICOS
Descripcin
Riesgos
Especficos
Probabilidad
Fuente de
Riesgos
Impacto
Severidad del
Riesgo
Tipo de
Riesgo
Clasif.
valor
Clasif
valor
Clasif
valor
Postulacin
10%
Evaluacin
35%
Entrega de
crditos
20%
..
Recuperacin
del crdito
35%
Cobranza
Procesos
Moderado
Moderado
Alto
Recuperacin
del crdito
35%
Cobranza
Econmico
Improb.
Mayores
Alto
Recuperacin
del crdito
35%
Cobranza
Recuperacin
del crdito
35%
Ingreso
fondos
Recuperacin
del crdito
35%
Recuperacin
del crdito
35%
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Falta
acciones
oportunas
cobranza
de
de
Interna
Insolvencia de
los deudores
Externa
Falta
garantas
Ingreso
inoportuno
incompleto
pagos
de
o
de
Errores en la
digitacin
de
los montos
Procesos
Muy
improb.
Mayores
Alto
Personas
Probable
Moderado
Alto
12
Personas
Moderado
Mayores
Extremo
12
Tecnolgico
Improb.
Mayores
Alto
Interna
Interna
Interna
Ingreso
fondos
Obtener el pago
completo
y
oportuno de los
crditos otorgados
a las usuarias
Problemas en
la
transformacin
de
la
informacin del
sistema
del
Servicio
al
SIGFE
Interna
(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras
variables relevantes.
100
C
o
n
T
i
n
a
e
n
l
a
p
g
i
n
a
s
i
g
u
i
e
n
t
e
Riesgo
Descripcin
Controles
(Norma, quin lo realiza,
qu actividades
desarrolla, cmo las
ejecuta y cundo y cmo
se evidencia su
cumplimiento)
V
i
e
n
e
d
e
l
a
p
g
i
n
a
a
n
t
e
r
i
o
r
Cumple
Elementos
de Control
Adecuado
Nivel de
Eficiencia
PD
Etapa
Valor
Nivel
ER
(3)
Valor
ER
(3)
Mayor
Subproceso
Nivel
ER
(3)
Valor ER
(3)
Nivel ER
(3)
Mayor
Mayor
Valor
ER
(3)
Proceso
Valor
Ranking
ERP (4)
0,6
Media
Media
Media
1,05
Nivel
ER
(3)
Valor
ER
(3)
Media
3,8
Media
3,8
Ranking
1
1
menor
2,5
menor
2,5
menor
2,5
0,5
Media
3,8
Pd
Cr
Media
Mayor
medio
3,8
1,33
Media
3,8
Sin control.
No
aceptable
Mayor
medio
3,8
1,33
Media
3,8
No
Mayor
Mayor
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
Pd
Cr
Menor
2,7
Menor
2,5
medio
3,8
1,33
Media
3,8
.
.
.
.
.
.
2
3
.
El Comit de crdito no
puede entregar crdito
sin garanta.
Qu:
Validacin
de
pagos:
Cmo y quin: El
Tesorero ingresa los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas
Qu:
Validacin
de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos
fuera de plazo se
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu:
Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
101