Escolar Documentos
Profissional Documentos
Cultura Documentos
METODOLOGÍA PARA LA
EVALUACIÓN DE
RIESGOS
Diseñado por:
CPC. José Gerardo Utrilla Márquez
Programa de Capacitación dirigido a Servidores Públicos
Estatales y Municipales PROFIS 2016
1.- MARCO
REFERENCIAL DEL MICI
PARA EL SECTOR
PÚBLICO
Diseñado por:
Nombre del Instructor
METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS
ANTECEDENTES
Los inicios del control interno los identificamos,
principalmente, en la contabilidad, así como en aspectos
de planeación durante la auditoría de estados
financieros. Los controles contables y administrativos se
enfocaban, fundamentalmente, a garantizar que el
proceso de presentación de reportes financieros
estuviera libre de información fraudulenta, por lo que
era fundamental la comprobación y verificación de cifras
y soportes contables.
Desde los años setentas del siglo XX, en diversas
organizaciones públicas y privadas, se han presentado
crisis de confianza con impactos financieros importantes
que han repercutido en las condiciones de vida de las
sociedades. Destaca entre otros casos, la crisis de
confianza en los mercados financieros en 1987, lo que
motivó la creación de la Comisión Treadway con el fin de
estudiar las causas subyacentes de la información
financiera fraudulenta.
Programa de Capacitación dirigido a Servidores Públicos
Estatales y Municipales PROFIS 2016
METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS
ANTECEDENTES
ANTECEDENTES
EVOLUCIÓN CRONOLÓGICA
Nivel Internacional
1992
COSO-MICI 2013
ACTUALIZACIÓN
Nivel Nacional
SECRETARÍA DE AUDITORÍA
LA FUNCIÓN SUPERIOR DE LA
PÚBLICA FEDERACIÓN
2006 EMITEN 2010 PUBLICAN
1RAS. NORMAS NUEVAS NORMAS 2012 ESTUDIO 2014 ACTUALIZÓ
2012
ACTUALIZACIÓN
Nivel Estatal
ANTECEDENTES
EVOLUCIÓN CRONOLÓGICA
SISTEMA
NACIONAL DE
FISCALIZACIÓN
SFP ASF
ENTES DE CONTROL ENTIDADES
ESTATALES SUPERIORES DE
CONTRALORÍAS FISCALIZACIÓN
MUNICIPALES LOCALES
¿QÚE ES EL CONTROL
INTERNO?
Es un proceso efectuado por el Órgano de Gobierno, el
Titular, la Administración y los demás servidores públicos
de una Institución, con objeto de proporcionar una
seguridad razonable sobre la consecución de los objetivos
institucionales y la salvaguarda de los recursos públicos,
así como para prevenir la corrupción.
Finalidad e importancia
La implementación de un Sistema de Control
Interno efectivo, representa una herramienta
fundamental que aporta elementos que
promueven:
Componentes de Estructura
Objetivos
Control Interno Organizacional
Definición de Objetivos
Los objetivos se pueden agrupar en una o más de las tres categorías siguientes:
Cumplimiento-. Este
Operación-. Se relacionan con las actividades
tipo de objetivos hacen
que permiten alcanzar el mandato legal, la misión y
referencia al apego a las
visión institucional. Es decir, la eficacia y eficiencia
disposiciones jurídicas y
en el logro de los objetivos institucionales.
normativas aplicables, lo
que incluye la salvaguarda
de la legalidad, honradez,
Información-. Se refiere a la confiabilidad de lealtad, imparcialidad,
los informes internos y externos. eficiencia y prevención de
la corrupción en el
Estos se pueden agrupar en tres subcategorías: desempeño institucional.
2.- COMPONENTES
DEL CONTROL
INTERNO
1
PRIMER COMPONENTE
AMBIENTE DE CONTROL
AMBIENTE DE CONTROL
AMBIENTE DE CONTROL
AMBIENTE DE CONTROL
• Estructura de Vigilancia.
• Vigilancia General del Control Interno.
• Corrección de Deficiencias.
AMBIENTE DE CONTROL
• Estructura Organizacional.
• Asignación de Responsabilidad y Delegación de Autoridad.
• Documentación y Formalización del Control Interno.
AMBIENTE DE CONTROL
AMBIENTE DE CONTROL
SEGUNDO COMPONENTE
ADMINISTRACIÓN DE RIESGOS
ADMINISTRACIÓN DE RIESGOS
ADMINISTRACIÓN DE RIESGOS
• Definición de Objetivos.
• Tolerancia al Riesgo.
ADMINISTRACIÓN DE RIESGOS
• Identificación de Riesgos.
• Análisis de Riesgos.
• Respuesta a los Riesgos.
ADMINISTRACIÓN DE RIESGOS
• Tipos de Corrupción.
• Factores de Riesgo de Corrupción.
• Respuesta a los Riesgos de Corrupción.
ADMINISTRACIÓN DE RIESGOS
TERCER COMPONENTE
ACTIVIDADES DE CONTROL
ACTIVIDADES DE CONTROL
ACTIVIDADES DE CONTROL
ACTIVIDADES DE CONTROL
ACTIVIDADES DE CONTROL
CUARTO COMPONENTE
INFORMACIÓN
Y
COMUNICACIÓN
INFORMACIÓN Y COMUNICACIÓN
INFORMACIÓN Y COMUNICACIÓN
INFORMACIÓN Y COMUNICACIÓN
INFORMACIÓN Y COMUNICACIÓN
QUINTO COMPONENTE
SUPERVISIÓN
SUPERVISIÓN
SUPERVISIÓN
SUPERVISIÓN
Si se utilizaron controles
sustancialmente diferentes en
distintas etapas del periodo bajo
revisión, la Administración debe
evaluar la eficacia operativa de
manera separada por cada
procedimiento individual de control
aplicado.
Programa de Capacitación dirigido a Servidores Públicos
Estatales y Municipales PROFIS 2016
METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS
COSO 2013 se tomó como referente para el diseño de dicho modelo de evaluación, en
razón de considerarse como la mejor práctica internacional en materia de control interno;
de igual manera que el “Marco Integrado de Control Interno para el Sector Público”,
acordado en el seno del Sistema Nacional de Fiscalización (SNF).
• De operación,
• De información y
• De cumplimiento.
Incluye 5 componentes:
• Ambiente de Control, Incluye 17 principios desarrollados alrededor
• Evaluación de Riesgos, de los mismos y puntos de interés.
• Actividades de Control,
• Información y Comunicación, y
• Supervisión
4.- INSTRUMENTOS,
PARÁMETROS,
CRITERIOS Y RANGOS DE
VALORACIÓN
Instrumento de valoración
1 (cuestionario).
El cuestionario tiene 66 preguntas, fundamentadas en
los 5 componentes del modelo COSO, y distribuidas de
la forma siguiente:
CUESTIONARIO
AMBIENTE DE CONTROL
Es la base del control interno. Proporciona la disciplina y estructura que impactan a la calidad de todo el control
interno. Influye en la definición de los objetivos y la constitución de las actividades de control. El Órgano de
Gobierno, en su caso, el Titular y la Administración deben establecer y mantener un ambiente de control en toda
la institución, que implique una actitud de respaldo hacia el control interno.
Principios Preguntas
1.- Mostrar Actitud de Respaldo y Compromiso.- Con 1.1 En el municipio o la institución existen normas
la integridad, los valores éticos, las normas de generales, lineamientos, acuerdos, decretos, u otros
conducta, así como la prevención de irregularidades ordenamientos aplicables en materia de control interno.
administrativas y la corrupción.
1.2 El municipio o La institución tiene formalizado un
Código de Ética .
•Actitud de Respaldo del Titular y la Administración.
•Normas de Conducta.
1.3 El municipio o la institución tiene formalizado un
•Apego a las Normas de Conducta.
Código de Conducta.
•Programa de Promoción de la Integridad y Prevención
de la Corrupción.
1.4 Medios utilizados para la difusión de los códigos de
•Apego, Supervisión y Actualización Continua del
ética y conducta al personal del municipio o la institución.
Programa de Promoción de la Integridad y Prevención
de la Corrupción.
1.5 Medios utilizados para la difusión de los códigos de
ética y conducta a otras personas con las que se relaciona
la institución .
CUESTIONARIO
Principios Preguntas
2.- Ejercer la Responsabilidad de Vigilancia.- 1.6 Obligación formal de hacer una manifestación por escrito
Supervisar el funcionamiento del control interno, a del cumplimiento de los códigos de ética y conducta por parte
través de la Administración y las instancias que de los servidores públicos de la institución .
establezca para tal efecto
1.7 Evidencia de que los funcionarios de la institución
• Estructura de Vigilancia. destacan los temas éticos, de integridad e importancia del
• Vigilancia General del Control Interno. control Interno.
• Corrección de Deficiencias.
1.8 Procedimiento para evaluar el apego y cumplimiento de
3.- Establecer la Estructura, Responsabilidad y los servidores públicos a los Códigos de Ética y de Conducta.
Autoridad.- Debe autorizar conforme a las
disposiciones jurídicas y normativas aplicables, la 1.9 Procedimiento formal para la investigación de actos
estructura organizacional, asignar responsabilidades contrarios a la ética y conducta diferente al establecido por la
y delegar autoridad para alcanzar los objetivos Contraloría Interna, Órgano Interno de Control o instancia de
institucionales, preservar la integridad, prevenir la auditoría correspondiente.
corrupción y rendir cuentas de los resultados
alcanzados. 1.10 Línea ética u otros mecanismos similares para captar
denuncias por actos contrarios a la ética y conducta, diferente
• Estructura Organizacional. al establecido por la Contraloría Interna, Órgano Interno de
•Asignación de Responsabilidad y Delegación de Control o instancia de auditoría correspondiente.
Autoridad.
• Documentación y Formalización del Control Interno 1.11 Informes a instancias superiores del estado que guardan
las denuncias de los actos contrarios a la ética y conducta .
CUESTIONARIO
Principios Preguntas
4.- Demostrar Compromiso con la Competencia 1.12 La institución cuenta con Comités formalmente
Profesional.- La Administración, es responsable de establecidos para tratar asuntos internos específicos .
establecer los medios necesarios para contratar,
capacitar y retener profesionales competentes. 1.13 La institución cuenta con un Reglamento Interior,
Estatuto Orgánico u otro documento normativo .
• Expectativas de Competencia Profesional.
• Atracción, Desarrollo y Retención de Profesionales. 1.14 La institución cuenta con Manual General de
• Planes y Preparativos para la Sucesión y Contingencias Organización.
5.- Establecer la Estructura para el Reforzamiento de la 1.15 Documento en el que se establezca la estructura
Rendición de Cuentas.- La Administración, debe evaluar organizacional, facultades y atribuciones de las áreas o
el desempeño del control interno en la institución y unidades administrativas y, delegación de funciones y
hacer responsables a todo el personal por sus dependencia jerárquica.
obligaciones específicas en la materia.
1.1 6 Reglamento, Estatuto o Manual en el que se
• Establecimiento de una Estructura para establecen las funciones y responsabilidades para dar
Responsabilizar al Personal por sus Obligaciones de cumplimiento en materia de transparencia, fiscalización,
Control Interno. rendición de cuentas y armonización contable.
• Consideración de las Presiones por las
Responsabilidades Asignadas al Personal. 1.17 Documento en el que se establezcan las líneas de
comunicación e información entre los funcionarios
superiores y los responsables de las áreas o unidades
administrativa .
CUESTIONARIO
Principios Preguntas
1.18 Manual para la administración de los recursos humanos que
considere el reclutamiento, selección, contratación, capacitación,
evaluación, promoción, ascenso y separación del personal.
CUESTIONARIO
ADMINISTRACIÓN DE RIESGOS
Después de haber establecido un ambiente de control efectivo, la Administración debe evaluar los riesgos que
enfrenta la institución para el logro de sus objetivos. Esta evaluación proporciona las bases para el desarrollo de
respuestas al riesgo apropiadas. Asimismo, debe evaluar los riesgos que enfrenta la institución tanto de fuentes
internas como externas.
Principios Preguntas
6.- Definir Objetivos y Tolerancias al Riesgo.- 2.1 Plan o Programa Estratégico o documento análogo, en el
El Titular debe instruir a la Administración y, que se establezcan sus objetivos y metas estratégicos.
en su caso, a las unidades especializadas, la
definición clara de los objetivos 2.2 Metodologías para la realización de las actividades de
institucionales para permitir la identificación planeación en el ámbito de su jurisdicción .
de riesgos y definir la tolerancia al riesgo.
• Definición de Objetivos. 2.3 Indicadores para medir el cumplimiento de los objetivos
• Tolerancia al Riesgo. de su Plan o Programa Estratégico, o documento análogo .
7.- Identificar, Analizar y Responder a los 2.4 Respecto de los indicadores seleccionados en la pregunta
Riesgos.- La Administración debe identificar, 2.3, indique si se establecieron metas cuantitativas y si se
analizar y responder a los riesgos determinaron parámetros de cumplimiento respecto de las
relacionados con el cumplimiento de los metas establecidas Institución.
objetivos institucionales.
• Identificación de Riesgos. 2.5 La programación, presupuestación, distribución y
• Análisis de Riesgos. asignación de los recursos se realiza con base en los
• Respuesta a los Riesgos. objetivos estratégicos establecidos por la institución .
CUESTIONARIO
Principios Preguntas
8.- Considerar el Riesgo de Corrupción.- La 2.6 A partir de los objetivos estratégicos ¿se establecieron objetivos y
Administración, con el apoyo, en su caso, de metas específicos para las diferentes unidades o áreas de la estructura
las unidades especializadas (por ejemplo, organizacional de la institución?.
Comité de Ética, Comité de Riesgos, Comité
de Cumplimiento, etc.), debe considerar la 2.7 Objetivos generales y específicos del plan o programa estratégico,
probabilidad de ocurrencia de actos comunicados y asignados a los titulares de las áreas responsables de
corruptos, fraudes, abuso, desperdicio y su cumplimiento .
otras irregularidades que atentan contra la
apropiada salvaguarda de los bienes y 2.8 Existencia de un Comité de Administración de Riesgos
recursos públicos al identificar, analizar y formalmente establecido.
responder a los riesgos.
2.9 Existencia de una unidad específica responsable de coordinar el
• Tipos de Corrupción. proceso de Administración de Riesgos.
• Factores de Riesgo de Corrupción.
• Respuesta a los Riesgos de Corrupción. 2.10 Objetivos alineados y vinculados al cumplimiento de la normativa
específica que regula sus funciones y los servicios públicos que presta.
9.- Identificar, Analizar y Responder al
Cambio.- La Administración debe identificar, 2.11 Riesgos identificados que pudieran afectar el cumplimiento de los
analizar y responder a los cambios objetivos y metas de la institución.
significativos que puedan impactar el
control interno 2.12 Metodología para identificar, evaluar, administrar y controlar los
riesgos que pudieran afectar el cumplimiento de los objetivos y metas
• Identificación del Cambio. establecidos en el Plan o Programa Estratégico .
• Análisis y Respuesta al Cambio.
CUESTIONARIO
Principios Preguntas
2.13 Tres procesos sustantivos y tres adjetivos a los que se haya
realizado el análisis y la evaluación de los riesgos que de materializarse
pudieran afectar la consecución de los objetivos de la institución.
CUESTIONARIO
ACTIVIDADES DE CONTROL
Son las acciones que establece la Administración mediante políticas y procedimientos para alcanzar los objetivos y
responder a los riesgos en el control interno, lo cual incluye los sistemas de información institucional
Principios Preguntas
10.- Diseñar Actividades de Control.- La Administración 3.1 En relación con la pregunta núm. 2.13, señale si se
debe diseñar, actualizar y garantizar la suficiencia e tiene formalmente implantado un programa para el
idoneidad de las actividades de control para alcanzar los fortalecimiento del control interno respecto de los
objetivos institucionales y responder a los riesgos. procesos sustantivos y adjetivos relevantes.
• Diseño de las Actividades de Control Apropiadas. 3.2 En el Reglamento Interior o Manual General de
• Diseño de Actividades de Control en Varios Niveles. Organización se establecen las atribuciones y funciones
• Segregación de Funciones. del personal responsable de los procesos sustantivos y
adjetivos por los que se da cumplimiento a los objetivos y
11.- Diseñar Actividades para los Sistemas de metas institucionales.
Información.- La Administración debe diseñar los
sistemas de información institucional y las actividades de 3.3 Manuales de Procedimientos de los procesos
control asociadas, a fin de alcanzar los objetivos y sustantivos y adjetivos mencionados en la pregunta núm.
responder a los riesgos. 3.2.
CUESTIONARIO
Principios Preguntas
12.- Implementar Actividades 3.5 En relación con los procesos sustantivos y adjetivos mencionados en la
de Control.- La Administración pregunta 3.4, señale los controles que se tienen establecidos para
debe implementar las asegurar que se cumplan los objetivos establecidos en el Plan o Programa
actividades de control a través Estratégico.
de políticas, procedimientos y
otros medios de similar 3.6 Política o manual en el que se establezca la obligación de evaluar y
naturaleza. actualizar periódicamente las políticas y procedimientos, particularmente
de los procesos sustantivos y adjetivos.
• Documentación y
Formalización de 3.7 Sistemas informáticos que apoyen el desarrollo de las actividades
Responsabilidades a través de sustantivas, financieras o administrativas. Anotar el nombre de los
Políticas. sistemas y los procesos que apoyan.
• Revisiones Periódicas a las
Actividades de Control. 3.8 Existe un Comité de Tecnología de Información y Comunicaciones
donde participen los principales funcionarios, personal del área de
tecnología y representantes de las áreas usuarias .
CUESTIONARIO
Principios Preguntas
3.10 Políticas y lineamientos de seguridad para los sistemas
informáticos y de comunicaciones (claves de acceso a los
sistemas, programas y datos; detectores y defensas contra
accesos no autorizados, y antivirus, entre otros).
CUESTIONARIO
INFORMACIÓN Y COMUNICACIÓN
La Administración utiliza información de calidad para respaldar el control interno. La información y comunicación
eficaces son vitales para la consecución de los objetivos institucionales. La Administración requiere tener acceso a
comunicaciones relevantes y confiables en relación con los eventos internos y externos.
Principios Preguntas
13.- Usar Información de Calidad.- La Administración 4.1 Plan de Sistemas de Información formalizado, debidamente
debe utilizar información de calidad para la alineado y que apoye los procesos por los que se da
consecución de los objetivos institucionales. cumplimiento a los objetivos establecidos en su Plan o
Programa Estratégico.
• Identificación de los Requerimientos de
Información. 4.2 Políticas y/o procedimientos autorizados que establezcan las
• Datos Relevantes de Fuentes Confiables. características y fuentes de obtención de datos, los elementos
• Datos Procesados en Información de Calidad. para su procesamiento y para la generación de información
sobre los procesos o actividades que lleva a cabo de
14.- Comunicar Internamente.- La Administración conformidad con la normativa aplicable.
debe comunicar internamente la información de
calidad necesaria para la consecución de los 4.3 Responsables designados para generar la información sobre
objetivos institucionales. el cumplimiento de los objetivos y metas (indicadores).
CUESTIONARIO
Principios Preguntas
15.- Comunicar Externamente.- 4.5 Política, disposición o lineamiento por el cual se establezcan las
La institución debe comunicar obligaciones y responsabilidades de los servidores públicos en materia de
externamente la información de control interno, en sus respectivos ámbitos de autoridad.
calidad necesaria para la
consecución de los objetivos 4.6 Documento formal por el cual se informe periódicamente al Titular de
institucionales. la institución o, en su caso, al Órgano de Gobierno, la situación que guarda
el funcionamiento general del sistema de control interno.
• Comunicación con
Partes Externas. 4.7 La institución cumple con la obligatoriedad de registrar contablemente
• Métodos Apropiados sus operaciones y que éstas se reflejen en la información financiera .
de Comunicación
4.8 La institución ha cumplido con la generación de la información de los
Acuerdos por los que se emiten los Manuales de Contabilidad
Gubernamental.
CUESTIONARIO
SUPERVISIÓN
Se alinea con los objetivos institucionales, el entorno operativo, las disposiciones jurídicas aplicables, los recursos
asignados y los riesgos asociados al cumplimiento de los objetivos, todos ellos en constante cambio, asimismo
permite evaluar la calidad del desempeño en el tiempo y asegura que los resultados de las auditorías y de otras
revisiones se atiendan con prontitud. Las acciones correctivas son un complemento necesario para las actividades de
control, con el fin de alcanzar los objetivos institucionales
Principios Preguntas
16.- Realizar Actividades de Supervisión.- La 5.1 De acuerdo con el Plan o Programa Estratégico, indique: A)
Administración debe establecer las periodicidad con que se evalúan los objetivos y metas, B) existe un
actividades de supervisión del control interno programa de acciones para resolver las problemáticas detectadas en la
y evaluar sus resultados. evaluación y, C) se realiza el seguimiento del programa de acciones
• Establecimiento de Bases de para resolver la problemática detectada.
Referencia.
• Supervisión del Control Interno. 5.2 De los procesos sustantivos y adjetivos(pregunta 2.13), se llevaron
• Evaluación de Resultados. a cabo autoevaluaciones de control interno por parte de los
responsables de su funcionamiento en el último ejercicio y, en su caso,
17.- Evaluar los Problemas y Corregir las se establecieron programas de trabajo para atender las deficiencias
Deficiencias.- La Administración debe identificadas.
corregir de manera oportuna las deficiencias
de control interno identificadas. 5.3 Procedimiento formal por el cual se establecen los lineamientos y
mecanismos necesarios para que los responsables de los procesos,
• Informe sobre Problemas. comuniquen los resultados de sus evaluaciones de control interno y de
• Evaluación de Problemas. las deficiencias identificadas al responsable de coordinar las
• Acciones Correctivas. actividades de Control Interno para su seguimiento.
CUESTIONARIO
Principios Preguntas
5.4 Auditorías internas o externas realizadas en el último ejercicio a
procesos sustantivos y adjetivos señalados en la pregunta 2.13.
5 Rangos de valoración
Tabla de rangos y estatus para la evaluación de la implantación de los
sistemas de control interno en la Administración Pública Estatal
Evaluación de Riesgos
Un sistema de control interno, de acuerdo con el Modelo COSO
2013, se encuentra conformado por cinco componentes
1. Ambiente de Control
2. Administración de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión
TIPOLOGIA DE RIESGOS
Identificación de Riesgos
¿Qué y cómo puede pasar?
Comunicación
Supervisión
Evaluación y análisis de riesgos
IDENTIFICACIÓN DE
RIESGOS
1. Talleres de
9. Registros de Autoevaluación
riesgos de riesgos 2. Mapeo
materializados de
procesos
8. Análisis 3. Análisis
comparativo Técnicas para de entorno
identificación de interno y
riesgos externo
7.
Cuestionarios
dirigidos a SP 4. Lluvia
5. Análisis
de mandos de
de ideas
superiores o indicadores
medios 6. de gestión,
Entrevistas desempeño
y riesgos
CLASIFICACIÓN DE RIESGOS
El proceso de identificación incluye la clasificación de los
riesgos considerando por lo menos las siguientes categorías:
RIESGO ESTRATÉGICO
RIESGO FINANCIERO
RIESGO OPERATIVO
RIESGOS DE
CUMPLIMIENTO LEGAL
RIESGO TECNOLÓGICO
RIESGO A LA INTEGRIDAD
RIESGO REPUTACIONAL O
DE IMAGEN
CLASIFICACIÓN DE RIESGOS
RIESGO ESTRATÉGICO
CLASIFICACIÓN DE RIESGOS
RIESGO FINANCIERO
CLASIFICACIÓN DE RIESGOS
RIESGO OPERATIVO
CLASIFICACIÓN DE RIESGOS
RIESGOS DE
CUMPLIMIENTO LEGAL
CLASIFICACIÓN DE RIESGOS
RIESGO TECNOLÓGICO
CLASIFICACIÓN DE RIESGOS
RIESGO A LA INTEGRIDAD
CLASIFICACIÓN DE RIESGOS
IMPACTO
con mayor valoración de probabilidad e impacto; a
partir de esto se deberá decidir qué respuesta a
los riesgos ubicados con niveles altos deben de
administrarse.
PRIORIZACIÓN DE RIESGOS PROBABILIDAD
RESPUESTA AL RIESGO
Vigilar Asumir
La entidad deberá
establecer las políticas de Evitar Transferir
administración de riesgos
considerando las siguientes
Compartir Mitigar
estrategias
1. Apetito 2.Tolerancia
de riesgo al riesgo