Guía Técnica #53 - Proceso de Gestion de Riesgos

Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos _________________________________________________________________________________________________
PROGRAMA MARCO NORMA ISO 31.000
OBJETIVO DE AUDITORA GUBERNAMENTAL N 3 - AO 2011
GUA TCNICA N 53
MARZO 2011
_____________________________________________________________________________________________ 1
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________
TABLA DE CONTENIDOS ____________________________________________________________________________ MATERIAS

I.INTRODUCCIN
PGINA
3 5 5 5 6 6 7 8 9 ENTIDADES 12
II.- OBJETIVO GENERAL DEL DOCUMENTO III.- RELACIN CON EL ASEGURAMIENTO IV.V.MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2011 PROCESO DE GESTIN DE RIESGOS
1.- Algunos Conceptos sobre Gestin de Riesgos 2.- Modelos para la Gestin de Riesgos y de Control Interno 3.- Marco de Gestin de Riesgos de Acuerdo a la Norma ISO 31.000:2009 4.- Fases Genricas en el Proceso de Gestin de Riesgos VI.- ESTADO DEL PROCESO DE GESTIN DE RIESGOS EN LAS GUBERNAMENTALES
VII.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 3 - 2011 1.- Fase Establecimiento del Contexto 2.- Fase Identificacin de Riesgos y Oportunidades 3.- Fase Anlisis de Riesgos 4.- Fase Evaluacin de Riesgos 5.- Fase Tratamiento de Riesgos 6.- Fase Monitoreo y Revisin 7.- Fase Comunicacin y Consultas VIII.- RESUMEN DE REQUERIMIENTOS GUBERNAMENTAL DE AUDITORA N 3 - 2011 1.- Fase Establecimiento del Contexto 2.- Fase Identificacin de Riesgos y Oportunidades ESPECFICOS PARA EL OBJETIVO
12
12 25 29 31 35 40 41 43
43 44
______________________________________________________________________________________________ 2
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ 3.- Fase Anlisis de Riesgos 4.- Fase Evaluacin de Riesgos 5.- Fase Tratamiento de Riesgos 6.- Fase Monitoreo y Revisin 7.- Fase Comunicacin y Consultas 8.- Flujograma de Todas las Fases del Proceso de Gestin de Riesgos y Requerimientos Especficos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 IX.- BIBLIOGRAFA ANEXO N 1 ANEXO N 2 ANEXO N 3 ANEXO N 4 ANEXO N 5 ANEXO N 6 ANEXO N 7 ANEXO N 8 ANEXO N 9 ANEXO N 10 ANEXO N 11 45 46 47 47 48 49
51 52 54 56 58 61 67 76 78 81 92 93
______________________________________________________________________________________________ 3
I.-
INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o privada, la constituye su Gobierno Corporativo, descrito como es el sistema mediante el cual las empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un horizonte de largo plazo.1 Para la Organizacin para la Cooperacin y el Desarrollo Econmicos OCDE, el Gobierno Corporativo es el sistema por el cual las sociedades del sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores, accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la implementacin de procesos de gestin de riesgos, que ayudan a las organizaciones al cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos. En este sentido, y con la finalidad de que los Servicios y entidades del Estado mejoren sus procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada, se ha definido como Objetivo Gubernamental de Auditora N 3 para los aos 2011 a 2014, la implementacin de un Proceso de Gestin de Riesgos que considere la elaboracin de un levantamiento de procesos, identificando y describiendo los objetivos, riesgos y controles y, en especial, la formulacin de las medidas de tratamiento de los riesgos. El enfoque metodolgico estar basado principalmente en la Norma ISO 31.000 de diciembre 2009. El rol principal de la auditora interna en este proceso es coordinar las actividades para introducir el Proceso de Gestin de Riesgos. Para este ao 2011, la auditora interna tendr un rol de apoyo para que la direccin pueda implementar adecuadamente un Proceso de Gestin de Riesgos y adems, debe proveer aseguramiento a la direccin sobre la efectividad de la gestin de los riesgos mediante el cumplimiento del Objetivo Gubernamental de Auditora N 3, definido por el Instructivo Presidencial N 001, cuyos resultados en conjunto con las directrices emitidas por el Consejo de Auditora Interna de Gobierno, servirn para retroalimentar el proceso. En este documento se ha consolidado toda la informacin disponible referida al Proceso de Gestin de Riesgos en el Sector Gubernamental, establecindose para cumplir este objetivo la siguiente estructura: Como punto I esta introduccin; en el punto II se seala el objetivo general del documento; en el punto III, su relacin con el Objetivo Gubernamental de Auditora de aseguramiento del proceso de Gestin de Riesgos; en el punto IV, el marco metodolgico para el Proceso de Gestin de Riesgos para el ao 2011, bajo ISO 31.000; en el punto V, se establecen conceptos bsicos del Proceso de Gestin de Riesgos; en el punto VI se seala el anlisis
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G, Departamento de Ingeniera Industrial. Universidad de Chile. ______________________________________________________________________________________________ 4
de las fases del Proceso de Gestin de Riesgos en las entidades gubernamentales; en el punto VII se definen conceptos y elementos a incorporar para el Proceso de Gestin de Riesgos en las entidades del sector gubernamental bajo el Objetivo Gubernamental de Auditora y, en el punto VIII se sealan los requerimientos especficos para el cumplimiento del referido Objetivo Gubernamental de Auditora. Finalmente, se adjuntan anexos que contienen: en el anexo N 1, un ejemplo de Poltica de Riesgos; en el anexo N 2 un ejemplo de asignacin de roles y responsabilidades; en el anexo N 3 la descripcin del rol del auditor interno en el Proceso de Gestin de Riesgos; en el anexo N 4 se entrega una gua para el levantamiento de procesos; el anexo N 5 establece las tablas de valuacin para riesgos, controles y exposicin; el anexo N 6 entrega un ejemplo de levantamiento de procesos; el anexo N 7 enuncia tcnicas de identificacin de eventos generados de riesgos y oportunidades; el anexo N 8 entrega un ejemplo de riesgos genricos que afectan los procesos mejorados con Tecnologas de Informacin; el anexo N 9 define los conceptos generales de control; el anexo N 10 presenta un ejemplo de plan de tratamiento de riesgos con estrategias, acciones e indicadores y, por ltimo en el anexo N 11 acompaa un ejemplo de Matriz de Riesgos del Servicio o entidad construida con la metodologa descrita en el documento.
Hay que relevar, que cada Servicio o entidad del Estado debe tener implementado un Proceso de Gestin de Riesgos que sea til para identificar aquellos eventos que puedan afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse todas las fases que se definen en la presente gua tcnica, con la finalidad de tener una gestin de riesgos slida. Para el ao 2011 el Consejo de Auditora slo solicita algunos reportes derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes debe ejecutarse la metodologa contenida en la presente gua, para conseguir por una parte un Proceso de Gestin de Riesgos robusto funcionando en el Servicio y por otra, reportes de calidad, que entreguen informacin adecuada al Presidente de la Repblica, para la coordinacin y gestin adecuada de los diversos organismos del Gobierno. Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General de Gobierno deber focalizarse slo en los riesgos crticos para la entidad o Servicio, sin perjuicio que internamente, dicha entidad deba desarrollar un Proceso de Gestin de Riesgos, que le permita identificar todos los riesgos, de cualquier severidad y exposicin, para efectos de hacer una gestin ms eficiente, priorizando los temas y materias de mayor relevancia en cada proceso o actividad que desempea.
______________________________________________________________________________________________ 5
II.-
OBJETIVO GENERAL DEL DOCUMENTO
Documentar los procedimientos que permitan a las entidades del Estado, cumplir satisfactoriamente con el Objetivo Gubernamental de Auditora N 3 - 2011, referido a mantener y mejorar el Proceso de Gestin de Riesgos en las entidades de la Administracin del Estado. Para ello, todas las entidades del Estado deben cumplir al menos los siguientes objetivos:
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora Interna. Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al Consejo de Auditora Interna General de Gobierno. Disponer de los recursos necesarios para la correcta implementacin y funcionamiento del Proceso de Gestin de Riesgos en la entidad.
Este Objetivo Gubernamental slo estar regulado por la presente gua tcnica. III.RELACIN CON EL ASEGURAMIENTO
Durante el ao 2010, las entidades del Sector Gubernamental cumplieron con un proceso de gestin de riesgos simplificado, que consideraba el levantamiento de, al menos, sus 20 riesgos crticos. Estos riesgos fueron clasificados y valorados en una Matriz de Riesgos Simplificada. De acuerdo a la metodologa del ao 2010, deban tratarse por el Servicio o entidad todos los riesgos crticos levantados e identificados, considerando acciones y planes para la mitigacin de cada uno de esos riesgos. En este marco, es necesario que los auditores internos entreguen aseguramiento a sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de tratamiento de riesgos definidos y presentados al Consejo de Auditora al 30.12.2010. De esta manera, se informar a las jefaturas acerca del tratamiento de los riesgos crticos en el Servicio y si los planes determinados han logrado mitigar los riesgos hasta un nivel aceptable para la entidad o si por el contrario se requiere reformular las medidas contenidas en los planes de tratamiento. Esta materia ser regulada por la Gua Tcnica N 52. IV.MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2011 El modelo metodolgico para la Gestin de Riesgos en las entidades del Estado estar basado mayoritariamente en las disposiciones de la Norma ISO 31.000:2009 y, en menor medida, en otros marcos de gestin de riesgos. El presente documento se entender como el marco tcnico para el Objetivo Gubernamental N 3 - 2011, y en general como documento marco para el funcionamiento y mantencin del Proceso de Gestin de Riesgos.
______________________________________________________________________________________________ 6
V.-
PROCESO DE GESTIN DE RIESGOS
1.- Algunos Conceptos Sobre Gestin de Riesgos Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el que hacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y los administradores y a la creacin de valor para los interesados o stakeholders, en este caso, para el ciudadano. Para lograr todo ello, la alta direccin cuenta con herramientas como la gestin de riesgos y el control interno. La primera como un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organizacin; y el segundo, entendido como un sistema de acciones y medidas que asumidas por quienes toman las decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas.2 En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan a factores internos y externos que hacen incierto saber si y cundo van a alcanzar sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organizacin, se denomina riesgo3. La Gestin de Riesgos es un proceso estructurado, consistente y continuo implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la organizacin juegan un rol en el aseguramiento de xito de la Gestin de Riesgos, pero la responsabilidad principal de la misma recae sobre la Direccin. 4 La definicin anterior se puede complementar con otros importantes elementos: La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora organizacional a travs del perfeccionamiento de los procesos. Puede ser aplicada a todos los niveles de una organizacin, es decir, en los niveles estratgicos, tcticos y operacionales. Tambin puede ser aplicada a proyectos especficos, para sustentar decisiones especficas o para administrar reas especficas de riesgo. Para cada fase del Proceso de Gestin de Riesgos deberan mantenerse registros adecuados, suficientes como para satisfacer a una auditora externa o certificacin independiente. No slo considera la identificacin y tratamiento de riesgos, sino que tambin las oportunidades que contribuyan al logro de los objetivos. La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe adecuarse a la entidad y al sector que sta pertenece.
Normas Internacionales de Auditora Interna THEIIA. ISO 31.000. 4 Cfr. COSO II Gestin de Riesgos Corporativos. ______________________________________________________________________________________________ 7
2 3
Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos Mejora las posibilidades de alcanzar los objetivos en la organizacin. Incrementa el entendimiento de riesgos claves y sus implicaciones en la organizacin. Se identifica y comparte la responsabilidad de la administracin de los riesgos del negocio. Genera y fortalece el enfoque en asuntos que realmente importan a la organizacin. Contribuye a disminuir las sorpresas y crisis en la organizacin. Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma. Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y econmicas. Genera mayor informacin y con ms transparencia sobre los riesgos identificados, tomados y las decisiones realizadas. La gestin de riesgos debe considerar el apetito del riesgo o riesgo aceptado de la entidad o Servicio, que es la cantidad de riesgo, a nivel global, que la administracin est dispuesta a aceptar en su bsqueda de valor para el Servicio o entidad. Esto es, cuanto riesgo se puede aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. Otro concepto importante es la tolerancia al riesgo que es el nivel aceptable de la variacin alrededor del logro de un objetivo de negocio especfico y se debe alinear con el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en el cumplimiento de los objetivos y la atencin a los ciudadanos. Estos conceptos deben ser considerados al implementar el Proceso de Gestin de Riesgos, teniendo en cuenta que hay entidades del Estado que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo social son ms riesgosas por el tipo de usuario vulnerable). 2.- Modelos para la Gestin de Riesgos y de Control Interno Si bien existe una diversidad de modelos para la gestin y evaluacin de riesgos, en principio su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma ISO 31.000 de diciembre 2009. Esta norma internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general en el gobierno de la organizacin, la estrategia y la planificacin, gestin, procesos de informacin, polticas, valores y cultura, de manera que sea un proceso integrado en toda la entidad. La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en cualquier momento, as como a las funciones especficas, proyectos y actividades. Para que la gestin del riesgo sea eficaz, una entidad deben cumplir con los siguientes principios. a) La Gestin de Riesgos crea valor, ya que contribuye a la consecucin de los objetivos y mejora demostrable del desempeo (mejora la seguridad, cumplimiento normativo, aceptacin
______________________________________________________________________________________________ 8
del pblico, proteccin del medio ambiente, calidad del producto, gestin de proyectos, eficiencia en operaciones, la Gobernanza y la reputacin). b) La gestin de riesgos es una parte integral de todos los procesos de organizacin. No es una actividad independiente, separada de las principales actividades y procesos de la organizacin, sino que forma parte de las responsabilidades de gestin en todos los procesos de la organizacin. c) La gestin del riesgo es parte de la toma de decisiones, y ayuda a su adopcin informada, a priorizar las acciones y distinguir entre los cursos alternativos de accin. d) La gestin del riesgo considera la incertidumbre, su naturaleza, y cmo dirigirla. e) La gestin del riesgo tiene un enfoque sistemtico, oportuno y estructurado que contribuye a la eficiencia y resultados consistentes, comparables y confiables. f) La gestin del riesgo se basa en la mejor informacin disponible, como los datos histricos, experiencia, las opiniones de los interesados, observaciones, predicciones y opinin de expertos. g) La gestin de riesgos se alinea con el contexto externo e interno de la entidad y perfil de riesgo. h) La gestin de riesgos debe considerar factores humanos y culturales, reconociendo las capacidades, percepciones e intenciones de las personas y situaciones que pueden facilitar o dificultar el logro de los objetivos de la organizacin. i) La gestin del riesgo debe ser transparente e inclusiva. La adecuada y oportuna participacin de los interesados y, en particular de los decisores en todos los niveles de la organizacin, asegura que la gestin de los riesgos sigue siendo pertinente y actualizada y que las partes interesadas estn representadas y sus opiniones sean consideradas para determinar los criterios de riesgo. j) La gestin del riesgo es dinmica, interactiva y da respuesta al cambio, ya que debe ser flexible para adaptarse a los diversos escenarios. k) La gestin de riesgos facilita la mejora continua de la organizacin, ya que sta debe desarrollar e implementar estrategias para mejorar la madurez de su gestin de riesgos, junto con todos los dems aspectos de su organizacin. 3.- Marco de Gestin de Riesgos en Base a la Norma ISO 31.000:2009 El xito de la gestin de riesgos depender de la efectividad del marco para manejar los riesgos que proveen las bases y fundamentos que traspasa la organizacin en todos sus niveles. El marco colabora en la gestin efectiva de los riesgos a travs de procesos de administracin de riesgos en varios escenarios y contextos del Servicio o entidad. El marco asegura que la informacin derivada de ese proceso sea adecuadamente comunicada y se
______________________________________________________________________________________________ 9
utilice como una base para la toma de decisiones por parte de la autoridad y para la responsabilidad o accountability de las mismas. Se considera un mandato o compromiso del Servicio o entidad con la gestin de riesgos para disear un marco para la gestin de riesgos, que considere la comprensin del contexto de la entidad, el establecimiento de polticas y responsabilidades, la integracin de la gestin de riesgos a los proceso del Servicio, los recursos a usar, el establecimiento de comunicaciones externas e internas y mecanismos de reporte. Posteriormente debe implementarse el marco y el proceso de gestin de riesgos, que debe ser monitoreado y revisado peridicamente para obtener un mejoramiento continuo del sealado marco. El marco describe los componentes necesarios de para la gestin de riesgos y la forma cmo estos componentes se interrelacionan entre s, cmo se seala en el cuadro N 1 a continuacin. Cuadro N 1: Elementos del Marco de Gestin de Riesgos e Interrelaciones
______________________________________________________________________________________________ 10
4.- Fases Genricas en el Proceso de Gestin de Riesgos Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de mayor o menor difusin, como se seala al punto 2 anterior, el Consejo de Auditora ha decidido utilizar un modelo genrico, que recoge en su mayor parte la Norma ISO 31.000, que en su desarrollo y mejora a travs del tiempo permita a las entidades gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese necesario. Las fases en que se puede desagregar dicho modelo genrico se sealan a continuacin: Establecimiento del Contexto: Establecer los contextos estratgico, organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos. Deben establecerse los criterios contra los cuales se evaluarn los riesgos y definirse la estructura de anlisis, los roles y responsabilidades. Identificacin de Riesgos y Oportunidades: Identificar los riesgos que podran impedir, degradar o demorar el cumplimiento de los objetivos estratgicos y operativos de la organizacin, as como las oportunidades que puedan contribuir al logro de los referidos objetivos. Anlisis de Riesgos: El anlisis debera considerar el rango de consecuencias potenciales y cun probable es que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir un nivel estimado de riesgo segn la definicin de la organizacin. Adicionalmente se debe identificar y analizar los controles mitigantes existentes. Evaluacin de Riesgos: Comparar los niveles de riesgo encontrados contra los criterios de riesgo preestablecidos (si es que han sido establecidos por la direccin) considerando el balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar mediante un ranking los riesgos analizados. Tratamiento de Riesgos: De acuerdo al ranking de riesgos y al nivel de riesgo preestablecido por la organizacin (si es que ha sido establecido por la direccin), definir su tratamiento y/o monitoreo, desarrollando e implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro de los niveles aceptados por la organizacin. Monitoreo y Revisin: Definir y utilizar mecanismos para monitorear y revisar el desempeo del Proceso de Gestin de Riesgos y dar cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin. Comunicacin y Consulta: Definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos. Dichos mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto de los riesgos con mayores desviaciones en relacin a los niveles aceptado. En el cuadro N 2, se presenta un esquema representativo de la relacin entre las fases genricas que componen un Proceso de Gestin de Riesgos, bajo la perspectiva que se ha
______________________________________________________________________________________________ 11
adoptado para la implementacin de este proceso y para el cumplimiento del Objetivo Gubernamental N 3 - 2011. Cuadro N 2: Esquema representativo del Proceso de Gestin de Riesgos - ISO 31.000
Si el lector requiere ahondar en la teora que sustenta la Gestin de Riesgos Corporativos, puede acudir, entre otras, a las siguientes fuentes de informacin: NORMA ISO 31000:2009 Principios y Directrices para la Gestin de Riesgos. www.erm.coso.org. www.coso.org. Estndar Australiano/Neozelands AS/NZS 4360:1999.
______________________________________________________________________________________________ 12
VI.- ESTADO DEL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES GUBERNAMENTALES En consideracin al desarrollo del Objetivo Gubernamental N 2 2007, del Objetivo Gubernamental N 3 2008, del Objetivo Gubernamental N 3 2009, del Objetivo Gubernamental N 2 2010, y a la naturaleza y caractersticas del Sector Gubernamental, se puede concluir que las entidades gubernamentales desde el ao 2007, han implementado, mantenido y mejorado procesos de gestin de riesgos que han permitido identificar los procesos crticos que afectan en distintos niveles a los objetivos estratgicos y, mediante la desagregacin de dichos procesos, su ponderacin en base a su relevancia para la entidad y el anlisis de los riesgos y controles claves asociados a estos procesos, han construido la Matriz de Riesgo, con el fin de determinar los eventos a ser tratados para mantener el riesgo del Servicio en un nivel aceptable, enunciando planes de tratamientos con acciones concretas para mitigar los riesgos. Durante el ao 2010, en consideracin a la disminucin de los plazos de cumplimiento y reporte para el Objetivo Gubernamental asociado a la gestin de riesgos, se solicit a los Servicios que identificaran, al menos, los 20 riesgos de mayor criticidad para el logro de los objetivos de la entidad, informando de ello al Consejo de Auditora. Esta identificacin comprenda el desarrollo de una Matriz de Riesgos Simplificada (qu contena los riesgos crticos identificados) y la definicin de un Plan de Tratamiento que incluyera el manejo y administracin de todos los riesgos crticos identificados. Muchas entidades del Estado mantuvieron en forma paralela el Proceso de Gestin de Riesgos completo que se vena aplicando desde el ao 2007 y la Matriz de Riesgos Simplificada, ya que consideraron que la herramienta que les provea el Proceso de Gestin de Riesgo era til para mejorar la gestin de la direccin y orientarse al uso eficiente y eficaz de los recursos por parte de la entidad. VII.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 3 2011. En los prrafos siguientes, se revisar cada una de las fases del Proceso de Gestin de Riesgos, destacndose aquellos requerimientos que deben ser cumplidos por los Servicios o entidades gubernamentales para efectos del Objetivo Gubernamental N 3 - 2011. 1.- FASE ESTABLECIMIENTO DEL CONTEXTO En esta fase genrica, se contempla el establecimiento de los contextos estratgico, organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos. Comprende el contexto interno, el externo y el contexto de gestin de riesgos.
______________________________________________________________________________________________ 13
1.1.- Contexto Interno y Externo Para establecer el contexto organizacional o interno, es necesario comprender, entre otros, la organizacin, su estructura interna, recursos humanos, filosofa y valores, polticas, misin, metas, objetivos y estrategias para lograrlos. Para establecer el contexto estratgico o externo, es necesario analizar el entorno en que opera la organizacin, considerando aspectos tales como los financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales, legales, proveedores, comunidad local y sociedad. Para el establecimiento del contexto interno y externo, se sugiere utilizar como insumo los anlisis que se han realizado en el marco del control de gestin en las Definiciones Estratgicas (ver Instrucciones para la Formulacin - Formulario A1 Definiciones Estratgicas Ao 2011- DIPRES), ya que en ese mbito se han examinado y definido la misin ministerial e institucional, visin, ley orgnica, programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos que pueden utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de Programas, la Evaluacin de Impacto, entre otros antecedentes. En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos. i) Establecer la Poltica de Riesgos. La poltica de riesgos se debe definir y documentar, aprobndose por la direccin y debe contener al menos los siguientes elementos: Objetivos y compromisos con la gestin de riesgo. El alineamiento entre la poltica y los objetivos estratgicos. El alcance o amplitud de la poltica. Los procesos a ser utilizados para gestionar los riesgos. Los responsables de gestionar los riesgos y las competencias que estos requieren. El compromiso de la direccin para la revisin peridica.
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica de Calidad del Servicio, y, que sea publicada y comunicada a travs de todos los niveles del Servicio, estableciendo responsables de las comunicaciones. En anexo N 1 se entrega un ejemplo de poltica de riesgos. Acciones Ao 2011 Durante el ao 2011 debe definirse la poltica o revisarse en caso de estar dictada para determinar su consistencia con las polticas y objetivos estratgicos del Servicio o entidad, poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que ejecuta el Servicio y que sea consistente con la poltica de calidad del la entidad. ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los roles de las personas relacionadas con las siguientes materias: Iniciar acciones para prevenir o reducir los efectos de los riesgos.
______________________________________________________________________________________________ 14
Controlar el tratamiento de los riesgos. Identificar y registrar cualquier problema relacionado con la gestin de los riesgos. Iniciar, recomendar o proveer soluciones a travs de estrategias. Verificar a travs del monitoreo la implementacin de las soluciones contenidas en las estrategias.
En anexo N 2, se presenta un ejemplo de asignacin de roles y responsabilidades. Es importante sealar que el Auditor Interno del Servicio no puede ser nombrado como responsable en estos temas, ya que se estara afectando su objetividad e independencia al momento de auditar el funcionamiento y efectividad del Proceso de Gestin de Riesgos. En anexo N 3 se entrega un resumen del rol de la auditora interna en un Proceso de Gestin de Riesgos, destacndose aquellas funciones que puede realizar y aquellas que no le estn permitidas. Acciones Ao 2011 El Servicio o entidad deber definir los roles y las responsabilidades relacionados con el Proceso de Gestin de Riesgos, para ello deben tener en cuenta el tamao de la entidad, su estructura y cultura organizacional, la jerarqua y la disponibilidad del personal para asumir posiciones de coordinacin y/o responsabilidad. En caso de existir una asignacin de roles y responsabilidades, estos deben analizarse para determinar si responden en forma adecuada a los requerimientos del Proceso, examinando la necesidad de modificar roles, crear o eliminar instancias, mejorar la definicin de responsabilidades, entre otros elementos. Es necesario considerar en este anlisis el cambio de lineamientos y directrices que haya experimentado el Servicio con ocasin del cambio de Gobierno. iii) Establecer un Diccionario de Riesgos: A nivel terico y prctico se considera la necesidad de formular un diccionario de riesgos para la entidad. En este caso, como se trata de una entidad global (Sector Gubernamental), el Diccionario de Riesgos ha sido confeccionado y remitido por el Consejo de Auditora Interna a todos los Servicios y entidades gubernamentales para que lo utilicen. Acciones Ao 2011 Durante el ao 2011 y en general, siempre que sea necesario, el Servicio puede incorporar conceptos complementarios propios, a fin de hacer ms completo el Diccionario de Riesgos, sin perjuicio de las medidas que al respecto pudiera tomar el Consejo de Auditora. 1.2.- Contexto de Gestin de Riesgo Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del anlisis de riesgos. De acuerdo al modelo metodolgico adoptado por el Consejo de Auditora, el Proceso de Gestin de Riesgos debe aplicarse a nivel de procesos, desagregados en subprocesos, etapas, actividades y riesgos especficos.
______________________________________________________________________________________________ 15
Dentro de la sealada desagregacin en procesos, subprocesos y etapas, se agregan conceptos como la clasificacin en procesos transversales en la Administracin del Estado, la tipificacin de riesgos y la ponderacin porcentual de la importancia estratgica de los procesos y subprocesos en la organizacin, que tambin deben ser incorporados dentro del contexto de la gestin de riesgos. 1.2.1.- Desagregacin de Procesos Crticos y Modelamiento de Riesgos Para levantar informacin de los procesos, la tcnica a utilizar para documentar y estructurar el trabajo corresponde a la desagregacin de la informacin en una matriz de riesgos. Esta tcnica permite correlacionar la estructura desagregada de un proceso (proceso, subproceso y etapas) con los objetivos operativos, el nivel de riesgo, el nivel de eficiencia de los controles mitigantes y, finalmente, con el nivel de exposicin al riesgo. Esta tcnica tiene las siguientes ventajas: Obliga a los funcionarios encargados a conocer e interactuar en forma integral con su organizacin. Permite construir la Matriz de Riesgos del Servicio o entidad de tipo global y las matrices especficas para cada proceso relevante o materia especfica que se requiera analizar. Se genera una slida base para aplicar el Proceso de Gestin de Riesgos. Una vez identificados los procesos que desarrolla el Servicio se debe realizar la desagregacin de procesos y el modelamiento de los riesgos y los controles.
Los procesos deben ser desagregados en todos los subprocesos que los componen, y stos a su vez deben ser desagregados en todas las etapas que componen cada subproceso. Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el anexo N 4 de este documento. Deben ponderarse los procesos, de acuerdo a la relevancia que tengan para el Servicio o entidad. Deben tambin ponderarse los subproceso, de acuerdo a la relevancia o peso especfico que tengan en el proceso del cual forman parte. Desagregados los procesos, es necesario identificar los objetivos operativos de cada subproceso o etapa que los componen, (identificar cul es la finalidad especfica que se persigue en la generacin de un producto o servicio), basndose para ello en las declaraciones formales del Servicio, en el anlisis documental y en las entrevistas con los encargados de los procesos. Identificados los objetivos operativos de la etapa o subproceso, deben identificarse los riesgos operativos que pueden afectarlos, entendiendo como tales, aquellas situaciones cuya ocurrencia u omisin pudieran afectar total o parcialmente el logro de los objetivos operativos. Identificados los riesgos, debe calificarse su fuente y tipologa de acuerdo a lo sealado al punto 1.2.4 de este documento.
______________________________________________________________________________________________ 16
Una vez identificados la fuente y tipologa de los riesgos operativos, debe calificarse su severidad en trminos de probabilidad e impacto, utilizando al efecto la metodologa entregada por el Consejo de Auditora u otra propia del Servicio previamente validada por ese organismo (tablas para valuacin se presentan en el anexo N 5). El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene el Servicio y que se orientan a mitigar los riesgos operativos identificados. En este punto, debe hacerse un anlisis de los controles relevando slo aquellos claves, cuyo objetivo es la mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de acuerdo a su nivel de cumplimiento con las normas de control interno y segn su oportunidad, periodicidad y automatizacin, utilizando para ello la metodologa del Consejo de Auditora u otra propia del Servicio, validada previamente por este Consejo (tablas para valuacin se presentan en el anexo N 5). Debe calcularse el nivel de exposicin al riesgo, por riesgo, por etapa, por subproceso y finalmente por proceso (tablas para valuacin se presentan en el anexo N 5). Debe calcularse el riesgo ponderado por proceso y subproceso. De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos del Servicio o Entidad al momento del anlisis de los procesos crticos, la que contendr los siguientes elementos: Desagregacin de los procesos de la institucin. Identificacin de subprocesos en esos procesos. Identificacin de etapas en cada subproceso. Identificacin de los objetivos operativos por etapa o subproceso. Identificacin de todos los riesgos operativos relevantes. Identificacin de la fuente del riesgo y su tipologa. Valor y clasificacin de la severidad de los riesgos operativos. Identificacin, valor y clasificacin de la efectividad de los controles asociados al riesgo operativo. Valor de la exposicin al riesgo individual, por etapa, subproceso y proceso crtico. Valor de la exposicin ponderada por subproceso y proceso crtico.
Es importante destacar que la informacin recabada en la Matriz de Riesgos del Servicio o entidad, corresponde al momento en el cual se realiza este levantamiento de informacin, y debe ser actualizada en forma peridica. Un ejemplo de levantamiento de proceso, se establece en el anexo N 6. Acciones Ao 2011 Para el desarrollo del Objetivo Gubernamental N3 - 2011, el Servicio debe: a) Identificar los procesos que desempea el Servicio. b) Clasificar los procesos entre los procesos transversales definidos en esta Gua Tcnica. c) Ponderar la importancia del proceso para el Servicio o entidad.
______________________________________________________________________________________________ 17
d) e) f) g)
Identificar los subprocesos que componen los citados procesos. Ponderar los subprocesos en relacin a su importancia para el proceso que componen. Identificar las etapas que componen los subprocesos partes del proceso. Identificar los objetivos o finalidades que tiene cada una de esas etapas. Esta informacin debe derivarse de documentacin formal del Servicio, como reglamentos e instructivos o de informacin emanada de los encargados de los procesos. h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa. Para esta identificacin se pueden utilizar diversas herramientas como los talleres o la lluvia de ideas (anexo N 7). i) Clasificar los riesgos por tipo y origen definidos en esta Gua Tcnica. j) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad (tablas consideradas en Anexo N 7). k) Identificar los controles claves asociados a los riesgos identificados. l) Valuar los controles claves en relacin a la efectividad de su diseo. m) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso. En el caso de haberse trabajado procesos de gestin de riesgos con anterioridad, es necesario revisar nuevamente la desagregacin de procesos, subprocesos y etapas, as como los objetivos, riesgos y controles, determinando si esta desagregacin y la identificacin de riesgos y controles son adecuadas y corresponde a la realidad del Servicio. Otro punto en los que debe tenerse especial consideracin, son en los cambios que hayan enfrentado los lineamientos del Servicio, considerando que las nuevas autoridades, en los casos que as sea, aportarn nuevos enfoques y nfasis que hay tener en cuenta. Por ltimo, deber revisarse la identificacin de los riesgos con un especial nfasis en el origen financiero de los mismos, esto implica considerar preferentemente los montos y recursos involucrados en el proceso especfico que se est analizando. 1.2.2.- Procesos Transversales en la Administracin del Estado Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y productos finales. Dentro de ellos se agrupan los procesos especficos informados por los Servicios con distintas denominaciones, pero que responden a una misma raz. Acciones Ao 2011 Para el desarrollo de este Objetivo Gubernamental N3 - 2011, los Servicios, debern clasificar sus procesos en los procesos transversales definidos en la presente Gua Tcnica. Las categoras vigentes para el ao 2011, se sealan en el siguiente cuadro N 3. Cuadro N 3: Clasificacin Administracin del Estado
Procesos Transversales en la Administracin del Estado Subsidios a privados de fomento Subsidios a privados social Subsidios a privados asistencial:
y Descripcin
de
Procesos
Descripcin
Transversales
en
la
Procesos de Negocio Se entienden aquellos cuyo objetivo es la promover, mediante incentivos econmicos, que los particulares realicen por s mismos actividades productivas. Se entienden como tales los procesos cuyo objetivo es la promocin de ciertos objetivos sociales como la integracin, etc. Consisten en procesos cuya finalidad es entregar ayuda de subsistencia a
______________________________________________________________________________________________ 18

Procesos Transversales en la Administracin del Estado Descripcin Procesos de Negocio particulares. Son procesos en que, por ley o convenios, se entregan o reciben recursos de otro organismo del Estado. Procesos que se orienten a servir a todos los ciudadanos a travs de la entrega de atencin, servicios o productos. Procesos que se orienten a prestar una atencin de salud, previsional o social a personas que tengan ciertas calidades (Ej.: pensionados pblicos, ancianos, personas de las fuerzas armadas, etc.) Se refiere a procesos de entrega de prstamos, incluyndose los procesos de planificacin, ejecucin y cobranzas. Procesos que consistan en bodegaje, mantenimiento de stock y distribucin de materiales o bienes. Procesos que se refieran a los bienes muebles e inmuebles del servicio que se utilizan para cumplimiento del rol del Servicio. Procesos que impliquen estudios y acciones que apoyen decisiones sobre la infraestructura. Procesos de estudios culturales que releven las artes, literatura, pintura y todo lo relacionado a temas culturales. Procesos de estudios que sirvan o puedan servir de base para la emisin de normativa, regulaciones, tarifas, etc. Proceso a travs del cual el servicio gestiona aquellos bienes que son indispensables para el cumplimiento de su funcin; que son de la esencia de su negocio. En el caso de aquellos servicios que entregan derechos o beneficios a personas naturales como ser parte de un registro, derechos de aguas, etc. Entendiendo todos aquellos proceso relacionados al PMG, convenios de desempeo y otros estmulos por metas. Aquellos estudios cuyo sentido es investigar un tema econmico, financiero, de mercado u otra situacin determinada importante para el Servicio. Desarrollo de acciones legales y/o judiciales como negocio del Servicio. Equivalen a la gestin y monitoreo de los contratos que externalizan funciones propias del Servicio. Proceso relacionado con seguridad que realizan determinados entes del estado en relacin a las personas en distintas calidades: victimas, imputados, reos, reclutas y la ciudadana en general. Esto podra incluir operaciones de distinta naturaleza como vigilancia, traslados, control u otros de ndole distinta, relacionados con la seguridad. Procesos relacionados con seguridad operacional y respuestas ante situaciones de emergencias de los servicios de transporte terrestre, martimo y areo, as como de las instalaciones portuarias y aeroportuarias o de cualquier otra ndole, en donde exista trfico de pasajeros o carga. Procesos relacionados a anlisis, autorizaciones y permisos medio ambientales. Corresponde a aquellos procesos productivos que generan bienes materiales como resultado Procesos que desarrollan aquellos Servicios que venden productos y/o servicios a terceros. Procesos asociados a la ejecucin y coordinacin de operaciones de emergencia, gestin de recursos para emergencias, monitoreo y anlisis de los diversos factores y elementos relacionados con situaciones de emergencia o catstrofes. Procesos gerenciales Proceso anual que se realiza en el Servicio para programar la presupuestacin de las diversas acciones que ejecuta.
Transferencias a/de otras entidades pblicas Servicios de atencin al ciudadano contraprestacin Servicios de atencin social/ previsional /salud Crditos - recuperacin prestamos Almacenamiento y distribucin Infraestructura Asesora a infraestructura Estudios para marco cultural Estudios para regulaciones, normativa y fijacin tarifaria Administracin de bienes estratgicos Otorgamiento y/o reconocimiento de derechos Mejoramiento de la gestin Estudios e investigaciones Legal estratgico Control de outsourcing
Seguridad y Control de Personas y/o Recintos
Seguridad del transporte
Calificacin ambiental Produccin de bienes materiales Comercializacin Coordinacin Emergencia de Acciones de
Planificacin presupuestaria
______________________________________________________________________________________________ 19

Procesos Transversales en la Administracin del Estado Planificacin estratgica Coordinacin entre instancias Gobierno Electrnico Descripcin Procesos de Negocio Proceso que realiza el servicio en el que fija sus objetivos, sus metas y la forma como las cumplir. Procesos que implican relaciones entre diversos niveles, personas o entidades cuya organizacin y canalizacin son de responsabilidad del servicio. Procesos integrales para mejorar los servicios e informacin ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de la gestin pblica e incrementar la transparencia del sector pblico y la participacin de los ciudadanos a travs del uso de las tecnologas de informacin y comunicaciones (TIC) Inversin Todos los procesos de inversin considerados en el subttulo 31, desde los estudios a la ejecucin. Inversin en instrumentos financieros y de mercado accionario que realizan algunos Servicios autorizados. Informacin Aquellos sistemas de informacin que entregan reportes y datos a los que puedan tener acceso terceros
Iniciativas de inversin Mercado financiero
Sistemas de administrativos Sistemas informticos
informacin
Soporte informtico interno del servicio, que comprende sistemas de informacin contable, financieros y operativos que contienen datos internos del Servicio. Control operativo de los recursos pblicos Fiscalizacin Procesos a travs de los cuales los Servicios controlan a entes externos en el cumplimiento de normas y estndares. Evaluacin y control de substancias Proceso de control de substancias peligrosas. Control de gestin Proceso a travs del cual el servicio controla el cumplimiento de las metas, logros e indicadores que se ha definido en su planificacin. Soporte Financiero Procesos contables, de tesorera, registro presupuestario, etc. Legal Asesora y apoyo jurdico dirigido al quehacer interno del Servicio. Comunicaciones Acciones de difusin y publicidad de los programas y acciones desarrolladas por el Servicio. Adquisiciones y abastecimiento Incluye la programacin de compra, licitacin, compra, recepcin y distribucin de los bienes y servicios adquiridos. Recursos humanos Incluye todos los procesos relacionados al personal, su capacitacin, remuneraciones, feriados y bienestar. Administracin/mantenimiento Procesos de gestin de los recursos materiales del servicio, inventario, baja y recursos traslado. Gestin documental Procesos de administracin, direccin, manejo, registro, archivo y almacenamiento de documentacin del Servicio, con o sin apoyo de sistemas informticos, referido tanto a documentacin interna como externa del Servicio. Auditora Interna Proceso independiente y objetivo de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Se orienta a la prevencin y contempla actividades de planificacin, programacin, ejecucin, informe y seguimiento.
Es necesario relevar que los Servicios deben clasificar sus procesos slo en una de las categoras antes definidas, basados en las caractersticas organizacionales y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un nuevo proceso transversal, si fuese necesario.
______________________________________________________________________________________________ 20
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales, de negocio, entre otros, es slo genrica, ya que pueden existir Servicios cuyos procesos de negocio correspondan a los que generalmente para las dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de recursos humanos, entre otros. En el cuadro siguiente se entrega un ejemplo de dicha clasificacin. Cuadro N 4: Ejemplo de Clasificacin de Procesos
Proceso Transversal Crditos recuperacin de prstamos Subsidios a privados de fomento Proceso Entrega de crditos de fomento Programa de beneficios econmicos para mujeres emprendedoras Subsidios para capacitacin Entrega de bonos para produccin de leche Personal Proceso de alerta temprana Compras y contrataciones Subproceso Subproceso 1 Subproceso 2 . . . . . . Etapas Etapa 1 . . . . . . . Objetivos . . . . . . . . ---. . . . . . . .
Subsidios a privados social Subsidios a privados de fomento Recursos Humanos Coordinacin de Acciones de Emergencia Adquisiciones y abastecimiento
1.2.3.- Ponderacin Estratgica por Proceso y Subproceso Debido a que el levantamiento a nivel de procesos corresponde al 100% de los que desarrolla el Servicio (negocio, estratgicos y soporte) y considerando que no todos los procesos tienen la misma importancia estratgica dentro de una Institucin, debe realizarse una ponderacin porcentual de cada proceso, que permita determinar el peso relativo que tiene cada uno en el logro de los objetivos estratgicos y la misin del Servicio. Esta ponderacin por procesos, debe realizarse por la direccin del Servicio, en forma justificada, tomando en consideracin variables como las siguientes: Nivel de contribucin del proceso a la misin y objetivos estratgicos del Servicio. Impacto del proceso en la imagen del Servicio. Nivel de recursos que involucra cada proceso. Cobertura del proceso. Caractersticas de los usuarios, clientes y proveedores. Eficiencia de los sistemas de informacin del proceso. Complejidad y volatilidad de las actividades desarrolladas en el proceso. Dispersin geogrfica de las operaciones desarrolladas en el proceso. Cambios organizacionales, operacionales, tecnolgicos y econmicos producidos en el proceso.
De la misma manera, ponderados estratgicamente los procesos, debe definirse por la direccin el peso relativo que cada subproceso tiene dentro de un proceso, esto, atendiendo a la relevancia o importancia estratgica que tiene cada subproceso en la consecucin exitosa de
______________________________________________________________________________________________ 21
los objetivos de cada proceso. Esta ponderacin de los subprocesos al igual que la de los procesos debe ser justificada adecuadamente, considerndose para esta labor algunas variables como las siguientes: El impacto de la concrecin de los riesgos en el subproceso. El grado de complejidad de las etapas que se identifican al interior del subproceso. Especializacin del personal que se requiere para desarrollar las diversas etapas y actividades del subproceso. Los recursos involucrados y su cobertura regional. El uso de sistemas de medios de informacin, entre otros. Competencia, aptitud e integridad del personal. Nivel de sistemas computarizados de informacin. Oportunidad y efectividad de los sistemas de control interno. Cambios organizacionales, operacionales, tecnolgicos y econmicos.
La ponderacin porcentual distribuida en todos los procesos en la institucin debe sumar 100%, asimismo, la ponderacin porcentual distribuidas en todos los subprocesos dentro de un proceso, debe sumar 100%. Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los procesos o subprocesos, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3-2011, los Servicios deben ponderar y/o revisar las ponderaciones anteriores, considerando los siguientes puntos: Todos los procesos identificados deben ponderarse. La ponderacin de todos los procesos debe sumar cien por ciento (100%). La ponderacin es reflejo de la importancia del proceso en el quehacer del Servicio, de ello que los procesos que generan productos estratgicos del Servicio, deberan tener mayor ponderacin. La justificacin debe fundamentarse en algn criterio de los antes mencionados. No basta sealar en qu consiste el proceso o subproceso, ni tampoco es suficiente indicar que se trata de un proceso clave al interior del Servicio, si no que es necesario sealar el por qu de su relevancia. Las ponderaciones de los subprocesos dentro de un proceso, deben sumar cien por ciento (100%). La ponderacin de los procesos de negocios del Servicio debe ser mayor a la ponderacin de los procesos de soporte. La ponderacin y su justificacin deben considerar la relevancia financiera y los recursos que involucran los procesos identificados.
A continuacin en el cuadro N 5 se entrega a modo de ejemplo la ponderacin de los procesos y subprocesos de una organizacin ficticia, con la justificacin correspondiente:
______________________________________________________________________________________________ 22
Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Procesos y Subprocesos

Proceso Pond.5 Justificacin de la ponderacin Subprocesos Postulacin crdito Pond.6 10% Justificacin de la ponderacin La ponderacin baja considera que la postulacin es un accin externa, propia de las usuarias Este subproceso es importante para el xito del proceso por cuanto las deficiencias en la evaluacin del crdito afectan la recuperacin del mismo y la imagen del Servicio, por otra parte se trata de una labor altamente especializada, para la cual no siempre se cuenta con personal idneo. Una mala evaluacin puede dejar sin crdito a una mujer que perdi su negocio en el sismo. Su nivel de complejidad es medio, pero se le pondera con este porcentaje puesto que una mala entrega podra afectar a otros usuarios beneficiarios de los incentivos La baja recuperacin repercute en el presupuesto del Servicio, afectando directamente a las otras usuarias y la imagen del Servicio, adems en la actualidad se hace manualmente y los errores en su registro son frecuentes
Crdito de fomento para mujeres microempresar ias
35%
Se trata del proceso principal del Servicio, que cumple el objetivo estratgico de entregar apoyo a las iniciativas de la mujer microempresaria, involucra sobre M$ 20.000, y se orienta a usuarias en situacin vulnerable, con ingresos anuales inferiores a las 200 UF. Adems es un instrumento para colaborar con la recuperacin de las mujeres microempresarias afectadas por el terremoto
Evaluacin crdito
30%
Entrega crdito
25%
Recuperacin crdito
35%
Postulacin
20%
Se trata de un beneficio conocido por la poblacin objetivo, del cual se realiza difusin desde hace seis aos con buena respuesta de las usuarias. El personal tiene experiencia y se cuenta con un sistema de informacin para el ingreso y validacin de datos de los postulantes
Capacitacin para los negocios
25%
Proceso importante, ya que colabora al cumplimiento del el objetivo estratgico de entregar apoyo a las iniciativas de la mujer microempresaria, involucra un presupuesto superior a M$ 3.000 y se dirige a mujeres en situacin vulnerable con baja escolaridad
Capacitacin
50%
Se trata de cursos contratados en el mercado, entregados por personal externo al Servicio, que debe ser monitoreado a fin que entregue materias requeridas por las usuarias, con un nivel comprensible para el pblico objetivo, con la flexibilidad necesaria para mujeres y no siempre se cuenta con personal adecuado y recursos para la supervisin Es importante ya que es la forma de medir como se ha recibido por las usuarias los contenidos de los cursos y evaluar los resultados de los cursos. No se cuenta con personal idneo en todas las materias para hacer la evaluacin del curso y una mala capacitacin afecta la imagen del Servicio
Evaluacin
30%
Porcentaje de Ponderacin Estratgica de los procesos en relacin con los objetivos estratgicos y la misin de la institucin. 6 Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
______________________________________________________________________________________________ 23

Proceso Presupuesto y Contabilidad Pond.5 10% Justificacin de la ponderacin Se trata de un proceso de soporte, que colabora a la ejecucin de los procesos que genera los productos estratgicos del Servicio Subprocesos Planificacin Pond.6 40% Justificacin de la ponderacin Su importancia se debe a la complejidad de realizar una planificacin adecuada con antecedentes efectivos de los recursos que se utilizarn en el ao. Un pago mal realizado afecta la planificacin y el registro, sin embargo la adecuada planificacin facilita el control del pagos ..
Pagos
30%
Registro
30%
1.2.4.- Tipologa de Riesgos En el marco del levantamiento de procesos, debe utilizarse una tipologa o categorizacin de riesgos. En estas categoras deben clasificarse los riesgos especficos que se identifiquen en la prxima fase. La tipologa de riesgos, sirve para agrupar aquellos riesgos que tienen caractersticas y elementos comunes. En relacin a la fuente u origen de los riesgos, se pueden sealar que existen riesgos de fuente externa y riesgos de fuente interna7. Los riesgos de fuente externa, son aquellos que tienen su origen en situaciones que estn fuera de la administracin y control del Servicio, como los cambios polticos y sociales. Al contrario, son de fuente interna, los que se originan al interior del Servicio, como los relacionados a las capacidades del personal y a la efectividad de los sistemas de informacin. En el cuadro N 6, se sealan ejemplos de los tipos de riesgos, considerando los elementos que caracterizan a cada uno. Es necesario sealar, que la clasificacin propuesta, es una adaptacin de la establecida en el Modelo COSO II, que se ha modificado para ser aplicada en el Objetivo Gubernamental de Auditora N 3 - 2011. Cuadro N 6: Ejemplos de Tipificacin de Riesgos Tipos de Riesgos Elementos que los caracteriza
Se relacionan con el uso no adecuado de los recursos entregados por el Estado a sus entidades -
Ejemplos de riesgos especficos

Mal uso de los recursos Desviacin de recursos Entrega de recursos a no beneficiarios Malversacin de fondos Uso de recursos con fines distintos a los aprobados Falta de disponibilidad presupuestaria Modificaciones presupuestarias por deficiente ejecucin Errores en el servicio de la deuda Servicio de la deuda muy alto Exceso de compromisos del Servicio que afecten su presupuesto Malas inversiones en mercado de capitales Deficiencias en la ejecucin presupuestaria del Servicio Falta de Suplementos del Ministerio de Hacienda o falta de oportunidad en los mismos.
Financieros
Econmicos
Se relacionan con elementos financieros, comerciales y presupuestarios
Cfr. COSO II. Gestin de Riesgos Corporativos.
______________________________________________________________________________________________ 24
Tipos de Riesgos
Elementos que los caracteriza

Se relacionan con elementos de comunidad social, cultural, demogrfica, comportamientos sociales. Acerca de las tecnologas de la informacin como concepto y los cambios que producen a nivel global en el sector o el Servicio Aspectos claves para el desarrollo del Servicio, que se relaciona con decisiones superiores y poltica de Gobierno Aspectos que afectan la calidad del medioambiente, sean ocasionados por el hombre o la naturaleza -

Deficiente comportamiento de usuarios (bajo compromiso, bajo cumplimiento, etc.) Problemas con los datos personales y privados de los clientes o proveedores Falta de responsabilidad social del Servicio o excesivamente gravosa Cambios culturales en los usuarios del Servicio (bajo inters, dificultades para aplicar polticas, etc.) Interrupcin de servicios Complejidades del Comercio Electrnico gravosas para el Servicio Complejidades y requisitos del Gobierno Electrnico Falta de cumplimiento de las obligaciones emanadas del Gobierno Electrnico Falta de confiabilidad de los datos externos Desactualizacin del Servicio debido a las tecnologas emergentes Falta de poder adquisitivo del Servicio frente a las nuevas tecnologas. Falta de planificacin en los cambios de gobierno Deficiencias en el conocimiento, comprensin y aplicacin de las polticas pblicas por parte del Servicio Nuevas regulaciones y tarifas dificultan el quehacer institucional o lo hacen ms gravoso Falta de cumplimiento normativo en las emisiones y residuos Dificultades con el uso de la energa Situaciones producidas por catstrofes naturales Falta de garantas de desarrollo sustentable Malas decisiones de impacto medioambiental Deficiencias en el diseo del proceso Ejecucin errnea de los procesos Ejecucin inoportuna de los procesos Falta de supervisin Falta de responsables de ejecutar la supervisin y monitoreo Falta de medidas adoptadas ante la supervisin, o se adoptan medidas que no son adecuadas Falta de cumplimiento o deficiencias en el mismo por parte de los clientes Falta de actualizacin por cambios en la legislacin Aumento de los requerimientos por cambio de legislacin Falta de cumplimiento de normas por deficiencias en las mismas (normas oscuras o contradictorias, vacos legales) Falta de capacidad del personal Personal sin capacitacin Actividad fraudulenta del personal Deficiencias en la seguridad e higiene y en el ambiente de trabajo del Servicio. Deficiencias en el cumplimiento de normas de personal (dotacin, escalafn, etc.) Escndalos Corrupcin
Sociales
Tecnolgicos
Estratgicos
Medioambientales
Procesos
Elementos que se relacionan con los distintos aspectos de los procesos que desarrolla el Servicio; como el diseo, la ejecucin, la supervisin y los clientes
Legal
Aspectos de cumplimiento y de conformidad del actuar del Servicio con la normativa pblica general y especfica aplicable al Servicio Aspectos relacionados al personal del Servicio, desde su ingreso hasta su egreso del mismo. Aspectos relacionados con el perfil del Servicio y la
Personas
Imagen
______________________________________________________________________________________________ 25
Tipos de Riesgos
Elementos que los caracteriza

reputacin social del mismo. Percepcin de la comunidad del actuar del Servicio Relacionado con los sistemas de informacin del Servicio, las tecnologas que posee y los datos que maneja. -

Incumplimiento de las funciones del Servicio Disconformidad de los usuarios Mal uso de recursos Falta de integridad y confiabilidad de datos Falta de disponibilidad de datos y sistemas Deficiencias en la seleccin de sistemas Deficiencias en el desarrollo y despliegue de los sistemas Deficiencias en el mantenimiento Falta de interoperabilidad de los sistemas
Sistemas
Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, el Servicio debe calificar los riesgos identificados de acuerdo a esta tipologa de riesgos. La clasificacin y/o la revisin de las tipologas de riesgo deben tener en consideracin los siguientes puntos: Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo con el origen que sea ms relevante para el riesgo. Todos los riesgos deben clasificarse slo en una tipologa. Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos, stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. 2.- FASE IDENTIFICACIN DE RIESGOS Y OPORTUNIDADES La metodologa del Consejo de Auditora, considera la identificacin de riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos del Servicio. Las oportunidades y riesgos, son eventos, que se definen como un incidente que emana de fuentes internas o externas que afecta positiva o negativamente la implementacin de la estrategia o logro de los objetivos. Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos, se denominan oportunidades, y los negativos son conocidos como riesgos.8 El riesgo es el efecto de la incertidumbre sobre el objetivo.9 Como puede apreciarse, la identificacin de eventos consta de dos aspectos. Por una parte, la identificacin de oportunidades y por otra la identificacin de riesgos.
8
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las que afectan en forma negativa, se denominan riesgos. 9 ISO 31.000:2009. ______________________________________________________________________________________________ 26
2.1.- Identificacin de Oportunidades Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin de los mismos a la opinin pblica. La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que stas deben ser conocidas y evaluadas oportunamente por la direccin. A continuacin, en el cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a travs de eventos. Cuadro N 7: Ejemplo de Identificacin de Oportunidades por Proceso
Entidad Misin Procesos Eventos/oportunidades Est dentro de los lineamientos del nuevo Gobierno. Cambios sociales que apuntan a un papel protagnico de la mujer. La mujer estadsticamente es ms cumplidora y responsable con sus deudas y compromisos. Se han aumentado los fondos para apoyar a microempresarias afectadas por el terremoto La mujer en general, es responsable en asistencia a los cursos. Los jvenes reclaman alternativas de mejoramiento. En los ltimos aos ha existido una gran demanda por capacitacin. Existen muchos organismos tcnicos en el mercado que ofrecen diversas alternativas. El presupuesto de este ao contempla ms recursos que el ao anterior para este proceso. .. .. ..
Sistema Crediticio de Fomento
Servicio Apoyo al Microcrdito (ficticio).
Entregar apoyo crediticio de fomento a grupos vulnerables, de mujeres y jvenes.
Apoyo a la Capacitacin
Recursos Humanos Sistemas de Informacin Contabilidad y Presupuesto
Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 2011, se debe identificar oportunidades a nivel global de procesos de negocio. Es importante la realizacin de esta actividad, puesto que las oportunidades sirven a la institucin para retroalimentar las estrategias, en especial para incorporar los nuevos nfasis del Gobierno y la urgencia que imponen las acciones asociadas a la reconstruccin. 2.2.- Identificacin de Riesgos La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los objetivos es fundamental en un Proceso de Gestin de Riesgos. En el anexo N 7 se acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y oportunidades.
______________________________________________________________________________________________ 27
Acciones Ao 2011 Para cumplir el Objetivo Gubernamental N 3 - 2011, el Servicio debe identificar los riesgos o revisar y mejorar su identificacin de riesgos, poniendo especial nfasis en los siguientes puntos: Identificar o actualizar los riesgos, considerando los cambios normativos, presupuestarios o de los lineamientos del Gobierno o direccin, en especial los nuevos enfoques y nfasis de Gobierno y de los jefes de Servicio u otras autoridades. Identificar en la forma ms completa y desagregada posible los riesgos que se relacionan a una etapa dentro de un proceso. Para ello se sugiere examinar las actividades al interior de las etapas, identificando los riesgos que se asocian a dichas actividades. Identificar en forma prioritaria los riesgos asociados con aspectos econmicos y financieros, considerando los recursos involucrados en los procesos y subprocesos. Considerar que una etapa puede tener, y en general es as, ms de un riesgo. Considerar que una buena y completa descripcin del objetivo operativo de la etapa facilita la identificacin de riesgos.
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se sugiere: Identificar controles claves (ver definicin en el anexo N 9). Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su cumplimiento (registros documentales o electrnicos en el sistema). En base a la descripcin del control realizado, clasificar en forma consistente la efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin. Considerar que los controles que se identifican deben estar directamente relacionados con el riesgo que tericamente mitigan.
2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las entidades. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental de Auditora se debe sealar, de acuerdo a la tipologa entregada, a qu tipo genrico de riesgo corresponde el riesgo especfico determinado y cul es su fuente (externa o interna), como se seala a continuacin en el ejemplo del cuadro N 8. Lo anterior implica poner un especial cuidado en dilucidar si el riesgo identificado, tiene su origen al interior de la entidad, por lo tanto es manejable por esta, o si, en caso contrario se origina externamente y slo pueden tomarse acciones paliativas que afecten indirectamente el riesgo. Por ejemplo, cuando se trata de de decisiones que son de responsabilidad de otras reparticiones del Estado, tales como la Direccin de Presupuestos (modificaciones presupuestarias), Ministerio de Planificacin (RS de inversiones), entre otros casos.
______________________________________________________________________________________________ 28
Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa

Proceso Transversal Proceso Pond. Subproceso Pond. Etapas Objetivos Recuperar oportunamente crditos Cobranza Contar garantas crditos Crditos de fomento a mujeres microempr esarias 30% Recuperaci n del crdito 25% de con los los Riesgos especficos Falta de acciones oportunas de cobranza Insolvencia de los deudores Falta de garantas Fuente de Riesgos Interna Externa Interna Procesos 1 4 Tipo de riesgo Procesos Econmico Prob. 3 2 Cons. 3 4
Crditos Recuperacin de prstamos
Ingreso inoportuno incompleto de pagos Ingreso fondos recuperados Ingresar los fondos recuperados en forma oportuna y completa
Interna
Personas
Errores en la digitacin de los montos Problemas en la transformacin de la informacin del sistema del Servicio al SIGFE
Interna
Personas
Interna
Tecnolgico
Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, deber revisarse la clasificacin de los riesgos realizada de acuerdo a la tipologa desplegada en el cuadro N 6 anterior, prestando especial atencin a dos puntos especficos: a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo: Un riesgo relacionado con la mala calidad de los datos e informacin del Servicio, es un riesgo de origen interno, independientemente que la administracin del sistema de informacin se haya externalizado, ya que el riesgo parte de una debilidad interna. En cualquier caso, debe clasificarse slo en una fuente, no siendo vlido un riesgo interno /externo, debiendo optarse por aquella fuente que tenga mayor importancia en el origen del riesgo. b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua tcnica. Para ello, debe considerase principalmente la causa del mismo. Por ejemplo, si se identifica un riesgo de corrupcin o de falta de probidad en el personal, nos encontramos con un riesgo que se clasifica en la tipologa personas an cuando sus consecuencias afectan tambin a la imagen del Servicio. Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. 2.3.- Identificacin de Riesgos Relacionados con el Gobierno Electrnico: En la actualidad el Gobierno Electrnico constituye una gran herramienta para la modernizacin del Estado, las tecnologas de la informacin son el instrumento adecuado para proveer la participacin del ciudadano en las instancias de Gobierno y la transparencia en el quehacer del Estado. De acuerdo a lo sealado, los Servicios deben incorporar aquellos procesos y riesgos relacionados con el Sistema de Gobierno Electrnico. Para identificar los procesos relacionados con el Gobierno Electrnico y realizar el anlisis de los riesgos que los pueden afectar, es necesario considerar que ste consiste en el uso de las tecnologas de informacin y comunicaciones (TIC) que realizan los rganos de la
______________________________________________________________________________________________ 29
administracin para mejorar los servicios e informacin ofrecidos a los ciudadanos, aumentar la eficiencia y la eficacia de la gestin pblica e incrementar sustantivamente la transparencia del sector pblico, as como la participacin de los ciudadanos. Dentro del Programa de Mejoramiento de la Gestin, existe el Sistema de Gobierno Electrnico. Este sistema, consta de cuatro etapas en el marco bsico, que consideran, diagnstico, planificacin implementacin y evaluacin, respectivamente, y que podra ser un insumo importante en esta identificacin. En el anexo N 8, a modo ilustrativo, se presentan algunos ejemplos de riesgos genricos que pueden afectar los procesos que incorporan Tecnologa de la Informacin. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, el Servicio debe identificar riesgos relacionados con el Gobierno Electrnico o actualizarlos. Para ello se sugiere analizar y actualizar cules procesos dentro del Servicio, han sido mejorados con TIC10 y dentro de stos examinar cules son los riesgos nuevos que surgen producto de este mejoramiento. Otra posibilidad es analizar Gobierno Electrnico como un proceso separado en forma integral. Es necesario relevar que Gobierno Electrnico no es sinnimo de sistema de informacin, sino que se refiere al uso de tecnologas de informacin por parte del Estado para mejorar la calidad y oportunidad de la informacin que se le entrega al ciudadano, su participacin y la transparencia en el quehacer. 3.- FASE ANLISIS DE RIESGOS 3.1.- Anlisis General de Riesgos Los Servicios despus de desarrollar la identificacin de riesgos especficos, deben analizarlos, examinando los riesgos en relacin a su probabilidad y consecuencias. A su vez, los controles deben ser analizados en trminos de efectividad, para finalmente identificar el nivel de exposicin al riesgo por proceso, subproceso, etapa y riesgo especfico. Existen dos elementos que deben considerarse en esta fase: 3.1.1.- Anlisis de los Riesgos: Los Servicios debern poner al da su anlisis de riesgos, actualizando la Matriz de Riesgos del Servicio o entidad e incorporando los procesos relacionados con el Gobierno Electrnico y todos aquellos procesos nuevos que desarrolle el Servicio, con sus respectivos riesgos y controles, analizando especialmente los riesgos nuevos y los nuevos nfasis de Gobierno que han definido los Jefes de Servicio y otras autoridades.
10
TIC= Tecnologas de Informacin.
______________________________________________________________________________________________ 30
Acciones Ao 2011 Para cumplir el Objetivo Gubernamental N 3 - 2011, y en general para un buen desempeo del Proceso de Gestin de Riesgos, el Servicio debe analizar los riesgos y oportunidades, poniendo especial nfasis en los siguientes puntos: Analizar y/o actualizar los riesgos y su calificacin de probabilidad e impacto, de acuerdo a las ltimas auditoras, los antecedentes histricos que se tengan y a los cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos, eliminacin de programas, cambios en las polticas gubernamentales, modificaciones en la orientacin y lineamientos de la direccin, entre otras situaciones). Analizar y/o actualizar los riesgos del Servicio, con especial nfasis en los riesgos asociados con aspectos financieros, considerando los recursos involucrados en los procesos y subprocesos y el uso de los mismos. Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias de aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las auditoras a los diversos procesos del Servicio. Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos han sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en consideracin que muchas veces el mejoramiento de las TIC se realiza en etapas o actividades del proceso, pero su influencia e impacto irradia la totalidad del mismo. Analizar y/o actualizar los riesgos del Servicio, considerando los nuevos enfoques y lineamientos del Gobierno, as como los cambios que experimentan los riesgos identificados en aos anteriores (mayor o menor valuacin de los riesgos de acuerdo a la importancia que adquieran los procesos en el marco del plan de reconstruccin) Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma directa, de tal manera que los riesgos identificados impidan o dificulten el resultado esperado por el Servicio al desarrollar esa etapa. Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos, eliminacin de programas, entre otras situaciones). Ver anexo N 9. Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los riesgos y controles. 3.1.2.- Incorporacin del Concepto de Ponderacin Estratgica: Como ya se seal en el punto N 1 de este documento, Fase de Establecimiento del Contexto; debe aplicarse el concepto de ponderacin estratgica a nivel de proceso y subproceso. En efecto, para determinar el nivel de exposicin al riesgo de los subprocesos y procesos, deber multiplicarse el nivel de exposicin final por proceso y subproceso11 por el porcentaje de ponderacin estratgica que a cada uno de ellos les fue asignado, de la forma que se explica en el cuadro a continuacin:
11
Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.
______________________________________________________________________________________________ 31
Cuadro N 9: Ejemplo de Ponderacin Estratgica por Proceso y Subprocesos

Proceso Transversal Proceso Pond 12 Subproceso Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4 Subproceso 5 Subproceso 6 Pond. 13 70% 30% 60% 40% 50% 50% Nivel de Exposicin al Riesgo Etapas Etapa 1 Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Etapa 7 Etapa 8 Etapa 9 Etapa 10 Etapa 11 Etapa 12 Etapa 13 Riesgo Especfico 3 3 3 2 5 2 2 6 2 2 2 4 4 Etapa 3 3 3 2 5 2 2 6 2 2 2 4 4 Subproceso 3 2,5 3,5 4 2 2,7 3,3 3,3 x 50% = 1,65 3,8 Proceso 2,8 2,5 x 30% = 0,75 3,5 x 60% = 2,1 4 x 40% = 1,6 2 x 50% = 1 2,7 x 30% = 0,81 Nivel de Exposicin al Riesgo Ponderada Subproceso 3 x 70% = 2,1 2,8 x 50% = 1,4 3,7 x 20% = 0,74 Proceso
Proceso Transversal 1 Proceso Transversal 2 Proceso Transversal 3
Proceso 1
50%
Proceso 2
20%
Proceso 3
30%
Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando el resultado a la posicin y relevancia de stos. En efecto, en el ejemplo se observa que sin aplicar el porcentaje de ponderacin estratgica, aparece como de mayor nivel de exposicin al riesgo el proceso 2 (y por tanto, aparentemente como ms prioritario para actuar sobre l), sin embargo, aplicando la ponderacin estratgica definida por la direccin aparece como de mayor prioridad el proceso 1, el cual, de acuerdo a la determinacin realizada por la direccin es el ms importante al interior del Servicio. Acciones Ao 2011 Para el Objetivo Gubernamental N3 - 2011, el Servicio debe definir las ponderaciones o revisarlas y mejorarlas, de acuerdo a lo sealado en el punto 1.2.3 de este documento (Ponderacin estratgica por proceso y subproceso), teniendo presente que los cambios de polticas de Gobierno, las modificaciones presupuestarias y la orientacin en los lineamientos de la Direccin, las afectan directamente. En especial, debe considerarse el enfoque de los directivos y la relacin de los procesos con el cumplimiento de la misin institucional del Servicio y los recursos financieros involucrados. 4- FASE EVALUACIN DE LOS RIESGOS La Fase de Evaluacin de los Riesgos considera dos pasos. Primero la definicin del criterio que se escoger y segundo la confeccin de un ranking de riesgos en la organizacin. 4.1.- Definicin de Criterios En este caso se utilizar el criterio asociado al nivel de exposicin al riesgo ponderada, esto es el riesgo residual que subsiste despus de aplicados todos los controles claves existentes. Para el desarrollo del Objetivo Gubernamental, el nivel de exposicin al riesgo debe considerar la ponderacin estratgica de procesos y subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica que el criterio considerado para la evaluacin del riesgo es el de exposicin al riesgo ponderada (exposicin al riesgo x ponderacin estratgica).
______________________________________________________________________________________________ 32
En el cuadro N 10 que se presenta a continuacin, se muestra la relacin entre los distintos componentes del anlisis de riesgos, Cuadro N 10: Relacin entre Severidad del Riesgo y Exposicin al Riesgo
SEVERIDAD DEL RIESGO (Probabilidad X Consecuencias) Los riesgos sin los efectos mitigadores del control
EXPOSICIN AL RIESGO (Severidad del Riesgo/ Efectividad del Control) Nivel del Riesgo Residual determinado despus de aplicados los controles existentes
Controles existentes para mitigar la Severidad del Riesgo EFECTIVIDAD DEL CONTROL
4.2.- Ranking de Riesgos Basado en la informacin contenida en la Matriz de Riesgos del Servicio o entidad construida en las fases anteriores del proceso, se debe evaluar en cules mbitos organizacionales se requiere actuar en forma prioritaria (procesos y subprocesos). Para dar cumplimiento a esta tarea, la organizacin debe construir un Ranking de Riesgos en base al nivel de exposicin al riesgo ponderada, con un alcance y criterios que se detallan en los puntos a y b siguientes: a.- Ranking de Procesos por Nivel de Exposicin al Riesgo Ponderada En el cuadro N 11 se presenta el esquema del anlisis a realizar para un proceso desagregado hasta el nivel de riesgo especfico.
______________________________________________________________________________________________ 33
Cuadro N 11: Ejemplo de Matriz de Riesgos Simplificada del Servicio o Entidad. (Sin perjuicio del formato electrnico en MS Excel que debe enviarse al Consejo de Auditora en la fecha indicada)
Ministerio Servicio o entidad: Informacin proceso Riesgo Crtico Matriz de Riesgo Simplificada del Servicio o entidad 2011 Ministro: Jefe de Servicio o entidad: Informacin Riesgo Crtico Probabilidad Clasif Valor Impacto Clasif Valor Severidad Clasif Valor Control Clave Diseo P O A Efectividad Control Clasif Valor Exposicin al Riesgo Clasif Valor
Proceso
Subproceso
Etapa
Objetivo
Control
Cuadro N 12: Ejemplo de Ranking de Procesos por Nivel de Exposicin al Riesgo Ponderada
Procesos Nivel de Exposicin al Riesgo Ponderada Ranking para priorizar estrategias de tratamiento de los riesgos en los Procesos
Entrega Crditos Capacitacin Contabilidad y Presupuesto
0,98 0,67 0,38
1 2 3
De lo anterior, se deduce que el Servicio comenzar a definir los riesgos crticos a informar al Consejo de Auditora (al menos 20), de los procesos con mayor nivel en el ranking, es decir, en el ejemplo, comenzar por el Proceso de Entrega de Crditos, seguir con el de Capacitacin y as sucesivamente. b.- Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado Una vez priorizados los procesos, se debe priorizar por subprocesos que componen esos procesos, en base al nivel de exposicin al riesgo ponderado, tal como se explicara anteriormente. De esta manera, el ranking podra aparecer como sigue:
______________________________________________________________________________________________ 34
Cuadro N 13: Ejemplo de Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado
Nivel de Exposicin al Riesgo Ponderado por subproceso Ranking para priorizar estrategias de tratamiento de los riesgos en los subprocesos
Proceso
Subprocesos Subproceso 1
1,8 1,0 1,7 1,0
1 2 1 2
Entrega Crditos
Subproceso 2 Subproceso 2
Capacitacin Subproceso 1
Este ranking indica que los riesgos crticos (al menos 20) emanarn de los subprocesos 1 y 2 del proceso entrega de crditos y as sucesivamente con los dems. c.- Decisin del Jefe de Servicio Realizado el ranking de riesgos, es necesario que el Jefe de Servicio, de acuerdo a su responsabilidad por la gestin adecuada del Servicio o entidad que dirige, determine cules son, al menos, los veinte riesgos que considera claves para tratar en el Servicio, de acuerdo a criterios o factores de direccin estratgica, como la importancia de su concrecin en el cumplimiento de la misin y objetivos del Servicio, la cantidad de recursos que implica la materializacin de algunos de ellos, el nivel de impacto que potencialmente podran producir en la opinin pblica, la falta de servicio que provocara en la entidad, entre otros factores. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, el Servicio debe hacer un ranking de procesos de acuerdo a la identificacin y anlisis de riesgos y controles. Por otra parte, tambin debe realizar el ranking de subprocesos de acuerdo al cuadro N 13 anterior. Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, los Servicios y entidades debern remitir semestralmente al Sr. (a) Ministro (a) de la Cartera correspondiente para su conocimiento y al Consejo de Auditora, una Matriz de Riesgos del Servicio Abreviada (Cuadro N 11). Esta Matriz de Riesgos deber contener los riesgos crticos del Servicio o entidad (al menos 20), divididos en 50% financieros y 50% estratgicos; que a juicio de la jefatura del Servicio afecten en forma clave la entidad que dirige y que en forma especial deben ser tratados y monitoreados permanentemente. En el caso de no poder alcanzar esta proporcin en los riesgos, deber justificarse basado en causales como la naturaleza del Servicio, el tipo de actividades que desarrolla, etc. La primera fecha del envo de la Matriz Abreviada conteniendo los riesgos crticos ser al 30.06.2011.
______________________________________________________________________________________________ 35
La segunda fecha del envo de la Matriz Abreviada conteniendo los riesgos crticos ser al 30.12.2011. 5.- FASE TRATAMIENTO DE LOS RIESGOS La Fase Tratamiento de Riesgos, implica que la direccin debe tomar todas las acciones necesarias en forma concreta para administrar los riesgos una vez que han sido analizados y priorizados en el ranking de riesgos. Por la importancia que esta fase adquiere en un Proceso de Gestin de Riesgos en el Sector Gubernamental, se ha estimado necesario entregar algunos elementos que permitan una mejor comprensin de los requerimientos realizados en el Objetivo Gubernamental de Auditora. 5.1.- Formular Estrategias para el Tratamiento y Monitoreo de los Riesgos Una vez evaluados y priorizados los riesgos en las fases respectivas, la direccin debe asumir la realizacin de las acciones concretas necesarias para tratarlos y monitorearlos, generando una respuesta lo suficientemente adecuada para mantener la exposicin del riesgo en un nivel aceptado. Sin perjuicio de lo anterior, en los casos con niveles de exposicin al riesgo de nivel Bajo, pese a que se identificaran controles muy efectivos en relacin al riesgo, habr que analizar la severidad del riesgo en forma individual, en especial, el nivel de impacto que se producira de materializarse dichos riesgos. 5.2.- Estrategias Genricas para Tratamiento de los Riesgos La teora de Gestin de Riesgos seala que existen cuatro estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos, desde el punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de la exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas son: Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta estrategia en el sector pblico est muy limitada, ya que la mayora de su quehacer se encuentra normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de una actividad, generalmente no es una decisin que pueda adoptar en forma independiente. Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias del riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la efectividad del control asociado al riesgo. Compartir: La probabilidad o las consecuencias del riesgo se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Adicionalmente puede analizarse si es posible mejorar la efectividad del control asociado al riesgo.
______________________________________________________________________________________________ 36
Aceptar: No se emprende ninguna accin que afecte a la probabilidad, las consecuencias del riesgo o la efectividad del control asociado al riesgo (por ejemplo, la relacin costo beneficios no lo justifica).
A continuacin se presentan algunos ejemplos para las estrategias genricas de tratamiento del riesgo que se encuentran en la literatura, las que slo tienen la finalidad de ejemplificar esta materia. Cuadro N 14: Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad del Riesgo y de la Exposicin al Riesgo
EVITAR o o o o o Prescindir de las actividades de una unidad de negocio, agencia regional o subsidiaria. Suspender la produccin de una lnea de servicio o producto. Terminar con las actividades de un programa, proyecto o sistema. Decidir no emprender nuevas iniciativas/actividades que podran dar lugar a riesgos excesivos. o o o o
COMPARTIR Adoptar seguros contra prdidas inesperadas significativas. Establecer acuerdos con otros Servicios o entidades pblicas o privadas. Protegerse contra los riesgos utilizando instrumentos del mercado de capital a largo plazo, cuando se tenga autorizacin para ello. Externalizar procesos de negocio riesgosos siempre que no correspondan al ejercicio mismo de sus facultades. Distribuir el riesgo mediante acuerdos contractuales con entidades que acten como clientes, proveedores u otros interesados. ACEPTAR o o o Provisionar las posibles prdidas. Confiar en las compensaciones naturales existentes dentro de una cartera. Aceptar el riesgo si se adapta al nivel mximo preestablecido.
REDUCIR o o o o o Diversificar las ofertas de servicios y productos. Establecer lmites en la ejecucin del presupuesto por regin o unidad. Establecer procesos de negocio eficaces. Aumentar la implicacin de la direccin en la toma de decisiones y el seguimiento. Reasignar los recursos presupuestarios entre las unidades operativas.
5.3.- Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos Una vez conocidas las estrategias genricas para tratar los riesgos, es necesario a travs de la evaluacin de los costos y beneficios potenciales, determinar qu estrategia va a utilizar el Servicio y hacia dnde orientarlas. Para ello, es necesario tener presente algunas consideraciones: Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la Severidad del Riesgo (consecuencias y/o probabilidades), y las mejoras en la efectividad de los controles.
______________________________________________________________________________________________ 37
Deben considerarse una cantidad de opciones individualmente o combinadas. Es posible que una estrategia de respuesta afecte a mltiples riesgos. El costo de administrar un riesgo, necesariamente debe ser compensado con beneficios relacionados, sean sociales y/o econmicos. Considerar que los requerimientos legales podran estar por sobre los resultados del anlisis costo-beneficio antes referido. Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente. El objetivo principal de la seleccin de las estrategias siempre debe ser el reducir la severidad del riesgo y/o aumentar la efectividad del control existente, acciones que finalmente repercuten en bajar el nivel de la exposicin al riesgo. En el cuadro N 15 se presenta una relacin comparativa de la aplicacin de las estrategias y su efecto potencial en la severidad del riesgo y en la efectividad del control. Cuadro N 15: Relaciones Generales Entre las Estrategias y su Efecto en el Riesgo y Efectividad del Control
Estrategias Genricas Evitar Reducir Efecto potencial en los componentes de la Severidad del Riesgo La probabilidad e impacto no se reducen. El nivel de probabilidad o impacto se reducen (o ambos). El nivel de probabilidad o impacto se reducen (o ambos). La probabilidad e impacto no se reducen. Efecto potencial en la Efectividad del Control Situacin esperada en relacin con el Nivel de Exposicin al Riesgo El Nivel de Exposicin al Riesgo est fuera de los lmites aceptados por el Servicio. No se ve afectada. El Nivel de Exposicin al Riesgo disminuye. El Nivel de Exposicin al Riesgo disminuye. El Nivel de Exposicin al Riesgo debiera estar ya dentro de los lmites con que el Servicio puede aceptar operar.
Mejora su efectividad Mejora su efectividad
Compartir
Aceptar
5.4.- Preparar e Implementar Planes de Tratamiento y Monitoreo La direccin debe aprobar los planes y estrategias seleccionadas. Deben tratarse todos los riesgos considerados en la Matriz de Riesgos del Servicio Abreviada definida en el punto 4 Evaluacin de los Riesgos, lo que implica que todos los riesgos considerados crticos por el Jefe de Servicio (al menos 20) deben ser administrados o tratados por la entidad. Adems, deben tratarse aquellos riesgos que sin pertenecer a los informados como crticos al Consejo de Auditora tengan la relevancia adecuada para que se tomen las medidas pertinentes por la entidad con la finalidad de mitigarlo, en razn de los efectos que podran producir en el cumplimiento de los objetivos de los procesos en los cuales se identificaron. Es recomendable
______________________________________________________________________________________________ 38
gestionar los riesgos bajo una perspectiva de cartera o portafolio, esto implica analizar los riesgos en su conjunto, considerando cmo los riesgos individuales se interrelacionan en el mbito organizacional. Debe definirse responsables de la estrategia, plazos, indicadores de logro, periodo de medicin, etc. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3- 2011, el Servicio debe confeccionar un Plan de Tratamiento de Riesgos Semestral, que contenga todos los riesgos crticos del Servicio o entidad, de acuerdo a la priorizacin realizada. Este Plan debe considerar al menos los 20 riesgos crticos definidos por el Jefe de Servicio, sin perjuicio de que deban adicionarse otros riesgos que tambin se considere relevante administrar o tratar y que de acuerdo a la priorizacin aparezcan como riesgos a ser gestionados. El Primer Plan de Tratamiento de Riesgos Semestral deber presentarse al Consejo de Auditora al 30.06.2011. El Segundo Plan de Tratamiento de Riesgos Semestral deber presentarse al Consejo de Auditora al 30.12.2011 El Plan de Tratamiento Semestral deber realizarse teniendo en consideracin los siguientes puntos: Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo del o los procesos priorizados, esto implica que dentro de un proceso deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de manera de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables. Las estrategias escogidas deben ser: reducir, aceptar, compartir o evitar, teniendo presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy limitada en el sector pblico. Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de manera que esas acciones acten de manera directa en el riesgo que se espera afectar. Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la accin debe demostrar que el control actual se actualizar o complementar, en ningn caso que se mantendr. Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere medir. Debe expresarse como una medida y establecer las variables y operaciones que se deben realizar para el clculo del indicador. La meta debe ser el valor deseado del indicador que se espera alcanzar. El verificador debe ser apto para dar seguridad de que se alcanz la meta. Para mayor claridad de los puntos anteriores, ver un ejemplo en anexo N 10. De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento, de acuerdo al formato del cuadro N 16 siguiente y, que contendr las medidas a adoptarse ante los riesgos crticos del Servicio o entidad.
______________________________________________________________________________________________ 39
Cuadro N 16: Formato para informar de los planes de tratamiento de los riesgos priorizados
Ranking de procesos Subproceso (3) (4) Descripcin de la estrategia a aplicar (10) Efecto Periodo potencial en Medicin la severidad Responsable del Indicador Meta de riesgo y/o de la Plazo Indicador de logro (16) efectividad estrategia (13) (15) (14) del control (12) (11) Evidencia que se observar (17)
Proceso transversal (1)
Proceso (2)
Etapa (5)
Fuente del Riesgo riesgo Especfico (7) (6)
Tipo de riesgo (8)
Estrategia genrica (9)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 16 Nmero de descriptor (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) Significado Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de acuerdo a la clasificacin del documento (Cuadro N 3). Denominacin especfica que el proceso tiene en el Servicio. Prioridad de tratamiento del proceso, de acuerdo a la ponderacin que tiene el proceso en relacin a la misin del Servicio. Subprocesos que conforman el proceso priorizado. Etapas que conforman cada uno de los subprocesos del proceso priorizado. Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a cabo. Origen externo o interno de los riesgos, de acuerdo al control que tiene el Servicio de la fuente que los produce. Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el cuadro N 6. Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir, compartir, aceptar). Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que se desarrollarn para llevar a cabo la estrategia genrica. Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos) y/o a potenciar el control y de qu manera. Sealar quien es la persona o cargo responsable de la implementacin de las acciones especficas de la estrategia. Definir en qu plazo se debe implementar la estrategia. Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia mitiga el riesgo al cual se asocia. Sealar periodos en que se va a medir el indicador dependiendo de la naturaleza del mismo (mensual, trimestral, semestral, etc.) Resultado tangible que se espera lograr con la implementacin de la estrategia. Documento o instrumento que se utilizar en la medicin del indicador.
6.- FASE MONITOREO Y REVISIN En esta fase es necesario nombrar responsables de monitorear la efectividad de todos los pasos del Proceso de Gestin de Riesgos, para asegurar que se est cumpliendo adecuadamente y que las circunstancias cambiantes no alteran las prioridades al afectar las ponderaciones estratgicas, las probabilidades o impactos de los riesgos, etc. Para esta fase del Proceso de Gestin de Riesgos, el Servicio debe establecer formalmente responsables del monitoreo y formular estructuras de reportes tiles a la organizacin, que le
______________________________________________________________________________________________ 40
permita a la direccin, obtener informacin relevante, en forma oportuna y peridica sobre el estado de los riesgos en cualquier etapa del proceso. Tambin es conveniente, internalizar en la cultura organizacional la implantacin y utilizacin de modelos de autoevaluacin de riesgos. Actividades Recomendadas para Controlar los Planes de Tratamiento y Monitoreo Seguimiento de las estrategias seleccionadas y monitoreo de las actividades requeridas. Verificar peridicamente el avance en la implementacin de la estrategia de tratamiento de los riesgos. Tambin se deben analizar y evaluar los controles existentes que contribuyen a asegurar el cumplimiento de las medidas tomadas para mitigar los riesgos. La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la implantacin de las estrategias de tratamiento de los riesgos. Acciones Ao 2011 Para el ao 2011, la institucin deber realizar el monitoreo en base al Plan de Tratamiento que defini y acompa al Consejo de Auditora al 30.12.10, para ello deber utilizar el formato definido por el Formato N 17 de esta Gua Tcnica. Adems deber hacerse el monitoreo del Plan de Tratamiento de Riesgos del Primer Semestre 2011, durante el ao 2011 y al Plan de Tratamiento del Segundo Semestre, durante al ao 2012, cmo se indica ms adelante en este documento. El monitoreo de ambos Planes de Tratamiento de 2011, debern hacerse en base al Formato N 17 que se acompaa a continuacin: Cuadro N 17: Formato Bsico para Informar del Monitoreo de las Estrategias de Tratamiento de los Riesgos
Periodo en de Resultados de evaluacin de Evidencia del la medicin de implementacin cumplimiento la metas de la estrategia (c) (b) (a)
Proceso transversal
Proceso
Subproceso
Etapa
Riesgo especfico
Estrategia genrica
Descripcin de la estrategia a aplicar
Proyecciones de Recomendaciones cumplimiento (e) (d)
______________________________________________________________________________________________ 41
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 17 (slo aquellos conceptos no explicados con ocasin del formato N 16) Nmero de Significado descriptor (a) Sealar en qu fecha se evalu la implementacin de la estrategia. Sealar el resultado que se obtuvo de la medicin de las metas (cumplida, parcialmente cumplida, (b) porcentaje de cumplimiento, etc.) Expresar y detallar en que documentos o que informacin se utiliz para tener evidencia suficiente y (c) adecuada del cumplimiento. En caso de no haberse cumplido totalmente la meta, como se proyecta que ser el cumplimiento. (d) (en unidades de tiempo, o si no se podr cumplir). Sugerencias que realiza el responsable del monitoreo y revisin para que se obtenga el logro de la (e) meta, o se mejore en trminos de oportunidad y calidad.
7.- FASE COMUNICACIN Y CONSULTAS Esta fase se desarrollar a travs de comunicar, informar y consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos, interpretando al proceso como un todo. La informacin es identificada, capturada y comunicada de manera que todos puedan cumplir con sus responsabilidades. La idea es que los interesados internos (el Servicio) y los externos que corresponda, estn informados de la marcha del Proceso de Gestin de Riesgos y de qu manera se van implementando las medidas para el tratamiento de riesgos. Para esto es importante que los informes y sistemas de informacin ofrezcan suficientes datos relevantes para posibilitar una comunicacin y control eficaz. De tal manera, es conveniente contestar a las siguientes preguntas respecto de la informacin del Proceso de Gestin de Riesgos: En relacin al contenido Contiene toda la informacin necesaria? En relacin con la oportunidad Se facilita en el tiempo adecuado? En lo relativo a la actualidad Es la ms reciente disponible? En relacin con la exactitud Los datos son correctos? Por ltimo, en relacin a la accesibilidad Puede ser obtenida fcilmente por las personas adecuadas?
Debe propenderse a mejorar la calidad de la informacin, incorporndose las tecnologas de informacin que le permitan interoperar entre distintos sistemas y plataformas, en forma interna y externa, obteniendo datos en lnea de las actividades del negocio y en particular del Proceso de Gestin de Riesgos. Es importante reiterar que el desarrollo de cada una de las fases del Proceso de Gestin de Riesgos es en primer lugar responsabilidad del Jefe Superior del organismo y luego tambin es responsabilidad de todos los ejecutivos responsables de cada proceso y finalmente de todo el personal. La auditora interna por su parte, debe apoyar a la referida autoridad a coordinar la implantacin del proceso y a monitorear su adecuado avance en las diferentes fases, sin perjuicio de las actividades de aseguramiento contempladas en el Plan Anual de Auditora aprobado por la direccin.
______________________________________________________________________________________________ 42
Acciones Ao 2011 Para cumplir el Objetivo Gubernamental N 3-2011, el Servicio deber realizar una propuesta sobre la informacin del Proceso de Gestin de Riesgos orientndose a que sta refleje un uso adecuado de la informacin que emana de dicho proceso. Los Servicios, que no lo tengan, debern crear mecanismos de anlisis de la informacin del Proceso de Gestin de Riesgos, mediante el uso de la informacin derivada de la Matriz de Riesgos del Servicio o entidad y el establecimiento de relaciones e indicadores que permitan a travs de consultas realizar anlisis cuantitativos y cualitativos de la informacin, como por ejemplo a travs de la importacin de los datos a MS Excel o MS Access. Algunos ejemplos de criterios e indicadores (el Servicio debe disear sus propios indicadores de acuerdo a su naturaleza y necesidades) que pueden establecerse en relacin al anlisis de la informacin derivada de la Matriz de Riesgos del Servicio o entidad, se muestran, a continuacin en el cuadro N 18. Cuadro N 18: Ejemplos de Criterios e Indicadores Para Anlisis de la Informacin
Criterio Posibles Indicadores para Anlisis Procesos con ms altas severidades del riesgo. Subprocesos con ms altas severidades de riesgo. Etapas con ms altas severidades de riesgo, etc. Procesos con ms altas exposiciones al riesgo. Subprocesos con ms altas exposiciones al riesgo. Etapas con ms altas exposiciones al riesgo, etc. Procesos con riesgos de impactos ms altos. Subprocesos con riesgos de impactos ms altos. Etapas con riesgos de impactos ms altos, etc. Tipologas de Riesgos que ms se repiten. Tipos de riesgos con mayor exposicin. Tipos de riesgos con mayor impacto, etc. Procesos con controles ms efectivos. Procesos con controles menos efectivos. Riesgos extremos con controles menos efectivos, etc. Procesos en los primeros lugares del ranking y su relacin al negocio. Procesos en los primeros lugares del ranking y su relacin al soporte. Procesos priorizados y profundidad del levantamiento realizado, etc. Responsable Plazos
Severidad del Riesgo
Encargado de Riesgos en conjunto con los coordinadores de riesgos. Encargado de Riesgos en conjunto con los coordinadores de riesgos.
En el mes de enero de cada ao.
Exposicin al Riesgo
Impacto al Riesgo
Tipos de Riesgos
Encargado de en conjunto coordinadores riesgos. Encargado de en conjunto coordinadores riesgos.
Riesgos con los de Riesgos con los de
En el mes de enero de cada ao. En el mes de enero de cada ao.
Controles
Encargado de Riesgos en conjunto con los coordinadores de riesgos. Encargado de Riesgos en conjunto con los coordinadores de riesgos.
Ranking
______________________________________________________________________________________________ 43
El Servicio por tanto, deber informar qu anlisis realiza con la informacin derivada de la Matriz de Riesgos, y quin es el encargado y la oportunidad de remitir ese anlisis al Jefe de Servicio. La idea es que se establezca un tipo de reporte que se remite al Jefe de Servicio con un resumen de los principales puntos o temas de inters que arroja el examen y anlisis de la Matriz de Riesgos Estratgico, por ejemplo: los procesos ms crticos de la institucin, los de mayor severidad, los menos controlados, los que aparecen excesivamente controlados en relacin a su severidad, etc. Este reporte debera ser elaborado por un funcionario que se relacione con el Proceso de Gestin de Riesgos y ser remitido al Jefe de Servicio al menos una vez en el ao.
VIII.- RESUMEN DE REQUERIMIENTOS GUBERNAMENTAL N3 - 2011
ESPECFICOS
PARA
EL
OBJETIVO
A continuacin, se resumen las actividades que se deben realizar los Servicios, para cada fase del Proceso de Gestin de Riesgos, con la finalidad de dar cumplimiento al Objetivo Gubernamental N 3 - 2011. 1.- FASE ESTABLECIMIENTO DEL CONTEXTO 1.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 a.- Consideraciones o Poltica y Filosofa de Riesgos: Formular y aprobar la Poltica y Filosofa de Gestin de Riesgos de la organizacin, en anexo N 1 se presenta un ejemplo. Debe ser aprobada por resolucin de la Jefatura Superior del Servicio. La resolucin que formula y aprueba la poltica de riesgos debe remitirse al Consejo de Auditora al 30.05.11. o o o Enfoque de Anlisis: Para efectos del cumplimiento del Objetivo Gubernamental de Auditora se tendr con un enfoque de procesos de negocio y procesos de soporte. Cobertura del Contexto: La cobertura en la aplicacin del enfoque ser el levantamiento a nivel de procesos de todos los relacionados al negocio y soporte del Servicio (100%). Definir roles y Responsables: La direccin debe nombrar responsables del proceso de Gestin de los Riesgos y definir sus funciones (Al Auditor Interno del Servicio no se le debe asignar esa responsabilidad). En anexo N 2 se presenta un ejemplo ilustrativo. El Servicio debe emitir una resolucin que determine roles y responsabilidades o examinar la resolucin de roles aprobada anteriormente. Debe remitirse la resolucin que determina los roles y responsabilidades al Consejo de Auditora al 30.05.11.
______________________________________________________________________________________________ 44
b.- Productos Solicitados Resolucin de aprobacin o modificacin de poltica de riesgos remitida al Consejo de Auditora al 30.05.11 Resolucin de aprobacin o modificacin de roles y responsabilidades remitida al Consejo de Auditora la Resolucin al 30.05.11. 2.- FASE IDENTIFICACIN DE RIESGOS Y OPORTUNIDADES 2.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 a.- Consideraciones Esta fase se cumple con el levantamiento de informacin a nivel de los procesos de negocio y soporte (100%), su desagregacin en subprocesos, etapas y actividades, para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso. Para el Objetivo Gubernamental N 3 - 2011, se debe hacer el levantamiento de informacin de todos (100%) los procesos de negocio y soporte, su desagregacin en subprocesos, etapas y actividades, para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso y los controles asociados. b.- Productos Solicitados En esta fase corresponde: Levantar los procesos y desagregarlos en subprocesos, etapas y objetivos. Clasificar los procesos en procesos transversales, de acuerdo a la presente Gua Tcnica. Es necesario ponderar procesos y subprocesos, segn su relevancia en el Servicio y para el proceso respectivamente. Identificar los riesgos y oportunidades para el Servicio o entidad. Se deben clasificar los riesgos por origen y tipologa. Se deben identificar los controles y su diseo para valorar su efectividad. Identificacin de procesos y riesgos relativos al Gobierno Electrnico. El Servicio deber revisar y mejorar la identificacin de todos los riesgos relacionados con procesos de Gobierno Electrnico y controles que existan para ellos (revisar sugerencias en anexo N 8 de la presente Gua Tcnica). Identificacin de oportunidades a nivel de procesos de negocio. En este tema debern individualizarse las oportunidades que se identifiquen por cada proceso de negocio del Servicio (no en los de soporte), en base a nuevos lineamientos de Gobierno, considerando la asignacin de responsabilidades y modificaciones presupuestarias que afecten al Servicio.
______________________________________________________________________________________________ 45
Todo lo que se desarrolla en esta fase, deber ser insumo para la fase de anlisis de riesgos y para la confeccin de la Matriz de Riesgos del Servicio o entidad. Los respaldos del levantamiento de informacin de la fase de identificacin de riesgos y controles no se remitirn al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. 3.- FASE ANLISIS DE RIESGOS 3.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 a.- Consideraciones Esta fase se cumple con la construccin de la Matriz de Riesgos del Servicio o entidad actualizada, incorporando los conceptos de tipologa de riesgos, procesos transversales y de ponderacin estratgica por proceso y subproceso, que contiene la valuacin de los riesgos, controles y la determinacin del nivel de exposicin al riesgo en base a las categoras definidas en las escalas de clasificacin definidas por el Consejo de Auditora. Para cumplir el Objetivo Gubernamental N 3 - 2011, debe actualizarse la Matriz de Riesgos del Servicio o entidad, incorporando todas las mejoras y ajustes derivados de la revisin de la Matriz de aos anteriores, y especialmente incorporando todas las observaciones y sugerencias del Auditor Interno en sus diversas actividades de aseguramiento. b.- Productos Solicitados o En esta fase corresponde valorar los riesgos en consideracin a su probabilidad e impacto, obteniendo su nivel de severidad. Por otra parte tambin ser necesario valorar el diseo del control en cuanto a su efectividad para mitigar el riesgo al cual se asocia. En esta fase se debe elaborar la Matriz de Riesgos del Servicio o entidad actualizada, segn formato dispuesto en anexo N 11 del presente documento.
Los respaldos del levantamiento de informacin de la fase de anlisis de riesgos y controles no se remitirn al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. Como producto de la Matriz de Riesgos del Servicio o entidad, debe remitirse al Consejo de Auditora, en forma semestral la Matriz de Riesgos del Servicio Abreviada, firmada y aprobada por el Jefe de Servicio, que considere los riesgos crticos (al menos 20) definidos por dicha jefatura o el Comit de Riesgos (aplicando cuadro N11). La del primer semestre deber remitirse al 30.06.2011 y la del segundo semestre, deber remitirse al 30.12.2011.
______________________________________________________________________________________________ 46
4.- FASE EVALUACIN DE RIESGOS 4.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 a.- Consideraciones La organizacin debe construir un ranking de riesgos en base a procesos con mayor exposicin al riesgo ponderado, y dentro de stos, por subprocesos, tambin por exposicin al riesgo ponderado, de acuerdo al procedimiento dispuesto en los cuadros N 12 y 13 de esta Gua Tcnica. En base al anlisis de los rankings, deben definirse las prioridades para tratar los riesgos para mantener el nivel de exposicin al riesgo dentro del nivel del riesgo aceptado. Para el ao 2011, la organizacin debe construir un ranking de riesgos en base a procesos con mayor exposicin al riesgo ponderado, y dentro de stos, por subprocesos, tambin por exposicin al riesgo ponderado, de acuerdo al procedimiento dispuesto en los cuadros N 12 y 13 de esta Gua Tcnica. b.- Productos Solicitados Ranking de riesgos por procesos de acuerdo al formato definido en el Cuadro N 12 de este documento. Ranking de riesgos por subprocesos de acuerdo al formato definido en el Cuadro N 13 de este documento. Los respaldos de la fase de evaluacin de riesgos, que implica el ranking por proceso y subproceso, no se remitirn al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora. 5. FASE TRATAMIENTO DE RIESGOS 5.1.- Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 a.- Consideraciones El Servicio deber una vez definidos, al menos, los 20 riesgos crticos que lo afectan, comprometer estrategias para tratarlos sealando las medidas que se adoptarn para la gestin de esos riesgos. Para el Objetivo Gubernamental de Auditora N3 - 2011, el Servicio deber elaborar semestralmente un Plan de Tratamiento sobre los riesgos crticos definidos por el Jefe de Servicio (al menos 20), sin perjuicio que adems deba adicionar otros riesgos emanados de los
______________________________________________________________________________________________ 47
rankings por proceso o subproceso. El Plan de Tratamiento debe contener estrategias, acciones, indicadores y metas que se orienten a obtener que el riesgo a tratar sea efectivamente mitigado, a travs del manejo de su probabilidad e impacto o mediante el mejoramiento de los controles asociados. b.- Productos Solicitados Plan de Tratamiento de Riesgos Semestral. El primer Plan de Tratamiento de Riesgos debe presentarse al 30 de junio de 2011 y debe considerar los riesgos crticos identificados por el Servicio o entidad (al menos 20). El segundo Plan de tratamiento debe considerar los riesgos crticos identificados por el Servicio o entidad (al menos 20) al 30 de diciembre del 2011, utilizando el formato definido en el cuadro N 16 de este documento. 6.- FASE MONITOREO Y REVISIN Consideraciones y Productos Requeridos Gubernamental de Auditora N 3 - 2011 a.- Consideraciones Deben establecerse estructuras de reportes y mantener su registro. Esto implica obtener informacin relevante, en forma oportuna y peridica sobre el estado de los riesgos en cualquier etapa del proceso con la finalidad de reportar a la direccin oportunamente. Para el cumplimiento del Objetivo Gubernamental N 3 se debe realizar el monitoreo al Plan de Tratamiento, de acuerdo a los plazos establecidos en el punto b siguiente. b.- Productos Solicitados b.1.- Plan de Tratamiento presentado al 30.12.2010, debe enviarse el reporte del monitoreo y revisin el 30.06.2011 y se debe utilizar el cuadro N 17 de este documento. b.2.- Plan de Tratamiento presentado al 30.06.2011, debe enviarse el reporte del monitoreo y revisin el 30.12.2011 y se debe utilizar el cuadro N 17 de este documento. b.3.- Plan de Tratamiento presentado al 30.12.2011, debe enviarse el reporte del monitoreo y revisin el 30.05.2012 y se debe utilizar el cuadro N 17 de este documento 7.- FASE COMUNICACIN Y CONSULTAS Consideraciones y Productos Requeridos Gubernamental de Auditora N 3 - 2011 a.- Consideraciones En relacin con esta fase se solicitar la entrega de una propuesta de comunicacin y consulta o el anlisis y mejoramiento de la propuesta de comunicacin y consulta entregada anteriormente al Consejo de Auditora. Adems deber desarrollarse la propuesta de reporte de la informacin de la Matriz de Riesgos al Jefe de Servicio.
______________________________________________________________________________________________ 48
para
dar
Cumplimiento
al
Objetivo
para
dar
Cumplimiento
al
Objetivo
b.- Productos Solicitados Elaboracin de una propuesta de sistema de comunicacin y consulta, actualizacin y mejora. Este sistema de comunicacin y consulta, debe contener a lo menos los siguientes antecedentes: o o o o o o o o o o o o o o Qu tipo de informacin se espera recopilar en el proceso. Cundo se recogera la informacin, periodicidad. Qu tipo de instrumentos recogern esa informacin. Qu tipo de reportes podra tener el proceso. Qu tipo de anlisis podran contener los reportes. Qu informacin se contendra en instrumentos, con que cobertura y amplitud. Roles y responsables de la calidad y confiabilidad de la informacin. Sistemas para manejar la informacin de Gestin de Riesgos al interior del Servicio, soportes y sistemas. Niveles organizacionales y personas a quienes se comunicar la informacin, diferencia de comunicacin por acceso. Cmo se realizar la comunicacin, identificar los soportes y tecnologas requeridas. Cundo se realizar la comunicacin de la informacin, indicar periodicidad. Cmo y quines tendrn acceso a la comunicacin, sealar los criterios para definir perfiles por tipo de informacin. Cmo se recolectarn opiniones que genere la comunicacin, espacios de participacin, forma como se har efectiva la participacin. Sealar roles y responsables de la comunicacin y la participacin.
Proyecto de Reporte de la Matriz de Riesgos al Jefe de Servicio de acuerdo a lo definido en el cuadro N 18 de la presente Gua Tcnica. Los respaldos de la fase de comunicacin y consulta, que implican las propuestas de cmo comunicar y definir la participacin de los estamentos internos y la forma cmo se reportar la informacin, no se remitirn al Consejo de Auditora, sin embargo, deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable, con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditora.
______________________________________________________________________________________________ 49
8.- ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIN DE RIESGOS Y REQUERIMIENTOS ESPECFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO GUBERNAMENTAL DE AUDITORA N 3 - 2011
Resolucin de Poltica de Riesgos y de Roles y Responsabilidades. Levantamiento de 100% de los procesos del Servicio y sus riesgos. Identificacin de riesgos segn tipologa. Identificacin oportunidades a nivel de procesos. Matriz de Riesgos del Servicio o entidad aplicando: Clasificacin en procesos transversales. Ponderacin por proceso y subproceso. Tipologa de riesgos. Justificacin de ponderacin estratgica, etc. Entrega al 30.05.11
Fase Establecimiento contexto
Fase Identificacin de Riesgos y Oportunidades
Fase Anlisis de Riesgo
1 Semestre Entrega al 30.06.11
Matriz Semestral de Riesgos Abreviada (al menos 20 riesgos) 50% financieros y 50% estratgicos. Fase Evaluacin de Riesgos Ranking por proceso y por subproceso.
2 Semestre Entrega al 30.12.11
Fase Tratamiento de Riesgos
Plan Semestral de Tratamiento de Riesgos, con medidas, plazos, responsables e indicadores de logro.
1 Semestre Entrega al 30.06.11 2 Semestre Entrega al 30.12.11 Reporte Plan 2010 30.06.11 Reporte 1 Plan 2011 30.12.11 Reporte 2 Plan 2011 30.05.12
Fase Monitoreo y Revisin
Reporte monitoreo para compromisos con fecha de revisin el ao 2011 - 2012.
Fase Comunicacin y Consulta
Proyecto de reporte de anlisis de la Matriz de Riesgos.
______________________________________________________________________________________________ 50
8.1.- Plazos de Entrega de Informes y Productos Solicitados Como se observa del esquema precedente, para el cumplimiento del Objetivo Gubernamental N3 - 2011, se realizarn, 8 entregas: Poltica de riesgos y definicin de roles y responsabilidades: 30 de mayo de 2011. Matriz de Riesgos Abreviada: que es una parte del total y que contiene al menos 20 riesgos crticos del Servicio o entidad definidos por el Jefe de Servicio y/o Comit de Riesgos. Se remite semestralmente. El primer semestre al 30 de junio 2011 y en el segundo semestre al 30 de diciembre de 2011. Plan de Tratamiento de Riesgos 2011, con al menos los 20 riesgos crticos identificados en Matriz de Riesgos Abreviada. Se remite semestralmente. El primer semestre al 30 de junio 2011 y en el segundo semestre al 30 de diciembre de 2011. Informe monitoreo del Plan de Tratamiento de Riesgos: A) Monitoreo al Plan de Tratamiento 2010: 30 de junio de 2011. B) Monitoreo Plan de Tratamiento Primer Semestre 2011: 30 de diciembre de 2011. C) Monitoreo Plan de Tratamiento Segundo Semestre 2011: 30 de mayo de 2012.
8.2.- Formatos Exigidos - Planillas u Otros Los formatos exigidos para envo de la informacin, son aquellos que el documento contiene, esto es: Formato
Matriz de Riesgos Abreviada (parte de Matriz en Cuadro 11).
Descripcin
Determinacin y aprobacin de al menos 20 riesgos claves por el Jefe de Servicio y/o Comit de Riesgos.
Plazo entrega
(1) 30.06.2011 (2) 30.12.2011 (1) 30.06.2011
Cuadro N 16
Plan Tratamiento de Riesgos. Monitoreo y Seguimiento Plan Tratamiento 2010. Monitoreo y Seguimiento Plan Tratamiento 1 Semestre 2011. Monitoreo y Seguimiento Plan Tratamiento 2 Semestre 2011.
(2) 30.12.2011 30.06.2011 30.12.2011 30.05.2012
Cuadro N 17
La Matriz de Riesgos Abreviada del Servicio debe trabajarse en la planilla Excel entregada por el Consejo de Auditora lnea a lnea, ello implica que debern repetirse los conceptos y no utilizarse celdas combinadas. Esta planilla una vez completa deber validarse en la aplicacin informtica que para tal efecto disponga el Consejo de Auditora. 8.3.- Forma de Envo La Matriz de Riesgos del Servicio o entidad validada a travs de la aplicacin informtica dispuesta por el Consejo de Auditora, deber remitirse a este organismo a travs de un correo electrnico creado al efecto, u otra forma que el Consejo de Auditora disponga. Los dems cuadros deben remitirse en un formato y medio a definir por el Consejo de Auditora disponga.
______________________________________________________________________________________________ 51
IX.- BIBLIOGRAFA Alfredo Hierro Cuenca. La Auditora Interna y las ISO 9000. Madrid Espaa: Instituto de Auditores Internos de Espaa, 1988. American Institute of Certified Public Accountants (AICPA), Declaraciones sobre Normas de Auditora, versin 1997, traduccin Instituto Mexicano de Contadores Pblicos, A.C. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 23 - Programa marco para identificar y sistematizar reas y procesos crticos, construyendo al efecto, mapas de riesgo ministeriales e institucionales, Santiago de Chile, 2004. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 24 Programacin en Base a Riesgos, Santiago de Chile, 2005. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 25 - Informe de Auditora, Santiago de Chile, 2005. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 33 Planificacin General en Auditora, Santiago de Chile, 2006. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 41 Gestin de Riesgos, 2009. Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 45 Gestin de Riesgos, 2010. Esmond C., Gilbert M.; et al., Electronic Audit Evidence, Toronto Canad: Canadian Institute of Chartered Accountants CICA, 2003. Franklin F, Enrique Benjamn, Auditora Administrativa, Mxico: Mc Graw Hill, 2001. Gua de Gobierno Electrnico Sistema de Gobierno Electrnico PMG - 2009, disponible en www.estrategiadigital.gob.cl/files/Guia_Metodologica_PMG_Gobierno_Electronico_2009.pdf Hevia Vsquez, Eduardo. Concepto Moderno de la Auditora. Madrid Espaa: Instituto de Auditores Internos de Espaa, 1999. Instituto de Auditores Internos (IIA), IPPF Practice Guide: Assessing the Adequacy of Risk Management Using ISO 31.000, EEUU, 2010. Instituto de Auditores Internos (IIA), International Professional Practices Framework (IPPF), EEUU, 2010. International Organization for Standardization, ISO 31000:2009 Principios y Directrices para la Gestin de Riesgos, 2009. OCDE - Principios Internacionales de Gobierno Corporativo Sponsoring Organizations of the Treadway Commission (COSO), Gestin de Riesgos Corporativos, Marco Integrado Resumen Ejecutivo Marco, Espaa, 2004. U.S. General Accounting Office, Generally Accepted Governamental Auditing Standards, versin 1994, traduccin Contralora General de la Repblica del Per.
______________________________________________________________________________________________ 52
ANEXO N 1 EJEMPLO ILUSTRATIVO DE POLTICA DE RIESGOS La gestin de riesgos proporciona a nuestro Servicio la capacidad para identificar, evaluar y gestionar todo el espectro de riesgos y posibilitar que todo el personal mejore su comprensin del riesgo, lo que permite obtener: aceptacin responsable del riesgo. apoyo a la direccin. mejoras en los resultados. responsabilidad reforzada. liderazgo superior. La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos estratgicos y con ello, al logro de su misin. Como elementos importantes en la Gestin de Riesgos se considerarn: La integridad y consistencia de los procedimientos administrativos y procesos asociados. La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus habilidades, perfiles y entrenamiento. La infraestructura, y La pertinencia, oportunidad y seguridad de la informacin. Prevalecer el enfoque PREVENTIVO y PROACTIVO. El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos: La existencia de un ambiente controlado de gestin de riesgos que, definido por la Direccin, establezca estrategias corporativas y una estructura de supervisin adecuada que garantice su operatividad. La definicin y documentacin de la exposicin al riesgo a lo largo de los procesos y lineamientos, de acuerdo con los criterios de las Normas de Calidad. La cuantificacin del impacto y probabilidad de ocurrencia para cada uno de los riesgos identificados. Evaluacin y seguimiento permanente de eventos que generen perjuicios a la entidad. Nuestra Misin como Servicio consiste en entregar apoyo a la mujer microempresaria, entregndole soporte a la mujer emprendedora con instrumentos de fomento, crditos flexibles y capacitacin para los negocios. Lo anterior implica importantes riesgos pero tambin oportunidades. Por una parte, la mujer ha tomado un papel de importancia en la sociedad y ha escalado posiciones de poder y empresariales de relevancia. Adems, la mujer en general, es puntual en el pago de sus obligaciones y en el cumplimiento de sus compromisos. Sin embargo, tambin surgen riesgos relacionados con la vulnerabilidad del sector al que est
______________________________________________________________________________________________ 53
orientado el Servicio, ya que se trata de mujeres de bajos ingresos y nivel cultural. Adems la expansin del comercio electrnico obliga a capacitar a nuestras usuarias en el uso y manejo de las tecnologas que les permitan insertarse en el mundo de los negocios. Consideramos que enfrentamos un gran desafo y estamos conscientes que debemos capacitar a nuestras usuarias para que enfrenten el complejo mundo de los negocios, esto implicar una gran inversin en recursos humanos y tecnolgicos y una constante medicin de nuestros resultados, para determinar nuestros avances y retrocesos. Para el Proceso de Gestin de Riesgos, se incorporarn todos los procesos que desarrolla el Servicio, tanto aquellos de negocio, esto es, los que se relacionan directamente con el cumplimiento de su Misin, como los de soporte. En el marco del proceso de Gestin de Riesgos, la Direccin Ejecutiva utilizar la metodologa del Consejo de Auditoria esto es, se levantarn estos procesos, desagregndose por subproceso, etapas, actividades y riesgos y priorizar los procesos y subprocesos en funcin de la importancia relativa de cada uno de ellos en el cumplimiento de la misin institucional y objetivos estratgicos, para luego ser administrados, utilizando alguna de las siguientes estrategias genricas, adecuadas a la realidad del Servicio: Evitar Compartir Reducir Aceptar
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin. La Direccin del Servicio se compromete peridicamente a realizar una revisin de la poltica de riesgos aqu establecida.
______________________________________________________________________________________________ 54
ANEXO N 2 EJEMPLO DE DEFINICIN DE ROLES
______________________________________________________________________________________________ 55
ANEXO N 3 ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE RIESGOS EN EL SECTOR GUBERNAMENTAL
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna siempre debe considerar en su planificacin y programacin. Por lo tanto, en base a normas de auditora y en la experiencia que se ha obtenido en el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo gestionados apropiadamente y que el sistema de control interno est siendo operado efectivamente. En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de riesgo. Estas directrices deben afectar en forma gradual el enfoque y las orientaciones con las que en la actualidad se definen las actividades de auditora: 1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector Gubernamental Los principales factores que los auditores internos deben tomar en cuenta cuando determinen el rol de auditora interna son si la actividad representa alguna amenaza sobre la independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin de Riesgo y el control interno en la organizacin. 1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector Gubernamental Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la direccin. Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de Gestin de Riesgos. Revisin del manejo y evaluacin de reportes de riesgos claves.
______________________________________________________________________________________________ 56
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso de Gestin de Riesgos en el Sector Gubernamental Facilitacin, identificacin y evaluacin de riesgos. Entrenamiento a la alta direccin sobre respuesta a riesgos. Coordinacin de actividades del Proceso de Gestin de Riesgos. Mantenimiento y desarrollo del marco del Proceso de Gestin de Riesgos. Defender el establecimiento del Proceso de Gestin de Riesgos. Desarrollo de estrategias de gestin de riesgo para aprobacin de Jefatura del Servicio. 2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de Riesgos en el Sector Gubernamental Establecer el nivel de Riesgo Aceptado. Imponer Procesos de Gestin de Riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos. Tener roles y responsabilidad de la gestin de los riesgos.
______________________________________________________________________________________________ 57
ANEXO N 4 GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS PROCESOS Y MODELAMIENTO DE RIESGOS Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos crticos del Servicio y la identificacin de stos, sus subprocesos y etapas, es posible sealar que un proceso, como concepto, es un conjunto de actividades, tareas, eventos y responsabilidades que se realizan o suceden con un determinado fin, que recibe uno o ms insumos o pasos (inputs) y crea un producto de valor para otro usuario o cliente, formando una cadena orientada a obtener un resultado final (outputs). De su diseo y documentacin depende el xito de la gestin en la organizacin. Por consiguiente podemos identificar que los elementos bsicos de un proceso son: 1. 2. 3. 4. 5. 6. Existencia de un objetivo para el proceso. La existencia de un conjunto de actividades, tareas, eventos y responsabilidades. Todas ellas se realizan con un determinado fin. Reciben uno o ms insumos, pasos o inputs. Crean un producto de valor para otro usuario o cliente. Forman una cadena orientada a obtener un resultado final u output.
Para realizar un adecuado anlisis es necesario identificar y describir detalladamente, al mayor nivel posible, como se conforman los procesos en la institucin. Un proceso puede descomponerse en un nmero determinado de subprocesos que se relacionan en que los outputs de unos son los inputs de los siguientes, hasta que el ltimo subproceso genera como output el producto o servicio final del proceso. En todo caso, perfectamente podran existir procesos crticos en que, por su naturaleza y caractersticas particulares, no sea posible desagregarlos en subprocesos. En estos casos, el anlisis se debe realizar en razn de las etapas que componen el proceso, ya que este corresponde al mayor nivel de detalle posible de desagregacin. Las etapas son las principales fases que componen un subproceso o proceso. stas se conforman por una serie de actividades que se realizan con la finalidad de lograr el objetivo perseguido en la etapa y que est directamente relacionado con los objetivos de los subprocesos y el proceso. El mecanismo de anlisis recomendado por este Consejo de Auditora considera, en primer lugar, identificar y comprender, entre otros, los siguientes elementos en cada proceso crtico (Informacin obtenida de la Fase Genrica: Obtencin de Informacin del Servicio y del Contexto Externo y de la Fase Genrica: Comprensin de los Procesos de la Institucin y del Contexto Externo): El tipo de proceso; estratgico o de soporte. l o los responsables de la gestin. Determinar si existen subprocesos y cules son las etapas que lo componen.
______________________________________________________________________________________________ 58
Determinar las actividades que conforman las etapas. El inicio y fin de cada proceso, subproceso y etapa. Las personas implicadas que desarrollan el conjunto de actividades, tareas y eventos. El objetivo o misin del proceso, subprocesos y etapas. Las entradas o recursos requeridos y los requisitos de calidad de los subprocesos y procesos. Las salidas o resultados esperados y los requisitos de calidad de los subprocesos y procesos. Los clientes y sus requerimientos (valoracin de las salidas). Los proveedores y los requerimientos. Los controles existentes para las entradas y actividades desarrolladas en cada etapa. La documentacin de apoyo. Los registros que se generan y que se analizan. Los indicadores de desempeo que existen para partes o para el total del proceso (de eficacia y/o eficiencia). Las metas asociadas a la gestin en los procesos. Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn corresponda. Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa. Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o proceso. Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los riesgos que se han identificado en el estudio realizado. Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema explicativo a continuacin:
______________________________________________________________________________________________ 59
Esquema Grfico para Desagregacin y Anlisis de Procesos Crticos
PROCESO CRTICO
T
SUBPROCESO 1 E T S
.
E
SUBPROCESO n S T
ETAPA 1
ETAPA n
.
S
Actividad 1 Actividad 2 Actividad n
Actividad 1 Actividad 2 Actividad n
Objetivos operativos de la etapa 1
Objetivos operativos de la etapa n
Riesgos operativos de la etapa 1
Riesgos Operativos de la etapa n
Controles Mitigantes de los riesgos
Controles Mitigantes de los riesgos
E T S
Entrada o inputs: Recursos necesarios para producir la salida. Transformacin: Tareas, actividades y responsabilidades. Salidas u outputs: Producto, servicio y finalidad del subproceso o proceso.
______________________________________________________________________________________________ 60
ANEXO N 5 TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS 1.1.1.SEVERIDAD DEL RIESGO Cuadro N 1: Categoras de probabilidad:
Valor Descripcin Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que ste se presente. (90% a 100%). Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que ste se presente.
Categora
Casi certeza
Probable
Moderado
Improbable
Muy improbable
1.2.-
Cuadro N 2: Categoras de Impacto:
Categora
Valor
Descripcin Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen pblica de la institucin y del Gobierno. Su materializacin daara gravemente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que estos se logren. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto importante en el presupuesto y/o comprometen fuertemente la imagen pblica de la institucin y del Gobierno. Su materializacin daara significativamente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se desarrollen total o parcialmente en forma normal. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto moderado en el presupuesto y/o comprometen moderadamente la imagen pblica de la institucin y del Gobierno. Su materializacin causara un deterioro en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que ste se desarrolle parcialmente en forma normal. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto menor en el presupuesto y/o comprometen de forma menor la imagen pblica de la institucin y del Gobierno. Su materializacin causara un bajo dao en el desarrollo del proceso y no afectara el cumplimiento de los objetivos. Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de ninguna forma la imagen pblica de la institucin y del Gobierno. Su materializacin puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no afectara el cumplimiento de los objetivos.
Catastrficas
Mayores
Moderadas
Menores
Insignificantes
______________________________________________________________________________________________ 61
1.3.- Cuadro N 3: Nivel de Severidad del Riesgo

NIVEL PROBABILIDAD (P) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Probable (4) Probable (4) Probable (4) Probable (4) Probable (4) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Improbable (2) Improbable (2) Improbable (2) Improbable (2) Improbable (2) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) NIVEL IMPACTO (I) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) SEVERIDAD DEL RIESGO S = (P x I) EXTREMO ( 25) EXTREMO (20 ) EXTREMO (15 ) ALTO (10) ALTO (5) EXTREMO (20) EXTREMO (16 ) ALTO (12) ALTO (8) MODERADO (4) EXTREMO (15 ) EXTREMO (12 ) ALTO (9) MODERADO (6) BAJO (3) EXTREMO (10 ) ALTO (8) MODERADO (6) BAJO (4) BAJO (2) ALTO (5) ALTO (4) MODERADO (3) BAJO (2) BAJO (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es decir, el nivel de severidad. De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor, al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el cumplimiento de los objetivos del proceso examinado. Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD (P) muy improbable (1) Probable (4) Probable (4) Moderado (3) NIVEL IMPACTO (I) Mayores (4) Insignificantes (1) Moderadas (3) Mayores (4) SEVERIDAD DEL RIESGO S = (P x I) ALTO (4) MODERADO (4) ALTO (12) EXTREMO (12 )
______________________________________________________________________________________________ 62
2.- CLASIFICACIN DEL CONTROL CLAVE 2.1.Diseo del control
Cuadro N 4: Oportunidad de la Aplicacin del Control (O):

Clasificacin Descripcin
Preventivo (Pv)
Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr)
Controles claves que actan durante el proceso y que permiten corregir las deficiencias.
Detectivo (Dt)
Controles claves que slo actan una vez que el proceso ha terminado.
Cuadro N 5: Periodicidad en la Aplicacin del Control (PD):

Clasificacin Descripcin
Permanente (Pe)
Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd)
Controles claves aplicados en forma constante slo cuando ha transcurrido un perodo especfico de tiempo. Controles claves que se aplican slo en forma ocasional en un proceso.
Ocasional (Oc)
Cuadro N 6: Automatizacin en la Aplicacin del Control (A):

Clasificacin Descripcin Controles claves incorporados en el proceso, cuya aplicacin es completamente informatizada. Estn incorporados en los sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin es parcialmente desarrollada mediante sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin no considera uso de sistemas informatizados.
100% automatizado (At) Semi automatizado (Sa)
Manual (Ma)
______________________________________________________________________________________________ 63
2.2.-
Cuadro N 7: Escala de Clasificacin de la Efectividad de los Controles

CARACTERSTICAS DISEO CONTROL CLAVE/FUNDAMENTAL CLASIFICACIN PERIODICIDAD (PD) PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL NO DETERMINADO OPORTUNIDAD (O) PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO NO DETERMINADO AUTOMATIZACIN (A) INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL NO DETERMINADO VALOR DEL DISEO DEL CONTROL
CUMPLIMIENTO CON NORMAS O REQUISITOS DE CONTROL CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO INSUFICIENTE
OPTIMO
BUENO
MAS QUE REGULAR
REGULAR
DEFICIENTE
INEXISTENTE
En el esquema anterior se seala que en primer lugar, se debe evaluar si el control mitigante asociado a un riesgo tiene un nivel de cumplimiento adecuado respecto de las normas o requisitos de control bsicos que en este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y metas. Esto implica realizar un anlisis integral de las referidas normas o requisitos (segregacin, autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado en particular. Producto de este anlisis, se puede dar que los referidos requisitos se cumplan satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida. Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante, ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos dinmicos. Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el esquema presentado, asignndole el valor respectivo segn la escala.
______________________________________________________________________________________________ 64
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del riesgo. Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control examinado de 1, de acuerdo con la escala contenida en el esquema presentado. Para ver mayores detalles de las normas o requisitos de control bsicos considerados en este modelo ver anexo N 9. 3.NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al riesgo que los califica: Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL RIESGO VALOR NIVEL DE EXPOSICIN AL RIESGO
8,0 25,0 4,0 7,99 3,0 3,99
NO ACEPTABLE (Na)
NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL
MAYOR (Ma)
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha relacin se presenta en el cuadro N 9. Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
______________________________________________________________________________________________ 65
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel de efectividad slo de Regular. Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con severidad altas, pero con controles con nivel de efectividad ptimo o Bueno. Por ejemplo, en el esquema N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo, Extremo = 20 y un nivel de efectividad de control, Regular = 2. En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control, Ms que Regular = 3. Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control, ptimo = 5. Esquema N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que Determinan la Escala del Nivel de Exposicin al Riesgo
______________________________________________________________________________________________ 66
ANEXO N 6 EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO A continuacin se presenta un ejemplo de levantamiento de informacin del subproceso Compra de bienes y servicios, que forma parte del proceso crtico denominado Compras y Abastecimiento en una entidad ficticia. Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de los riesgos y controles para las etapas de Seleccin y Adjudicacin. Cuadro N 1: Levantamiento de Informacin de Cada Proceso
Proceso Subprocesos Planificacin operativa anual de compras. Etapas . . . Definicin naturaleza del proceso. Confeccin y publicacin de Bases. Seleccin. Adjudicacin. Recepcin y evaluacin de bienes y servicios adquiridos. . . .... . . . . . . . . . Entradas del subproceso o proceso . . . Salidas del subproceso o proceso . . . Bienes y servicios (insumos) de calidad que satisfagan los requerimientos para produccin del Servicio. . . . . .
Compra de bienes y servicios. De compras y abastecimiento
Plan Operativo de compras.
Cuadro N 2: Levantamiento de Informacin de las Etapas Seleccin y Adjudicacin

Objetivo operativo de la etapa Definir de acuerdo a las caractersticas del bien o servicio a comprar, la forma de Actividades de la etapa De gestin 1.El Comit de Compras, en base a lo establecido en el Plan de Compras define cmo se realizar cada adquisicin (licitacin pblica, privada o trato directo). De control Responsables
Etapas Etapa Definicin de la naturaleza del proceso de compras a utilizar (convenio marco,
Comit de Compras
______________________________________________________________________________________________ 67
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Objetivo operativo de la etapa adquirirlo en el mercado, de conformidad a la normativa de compras. Actividades de la etapa De gestin De control 2.- El Jefe de Finanzas y de la Unidad Jurdica visan la definicin del Comit. 1.Se realiza la definicin de especificaciones tcnicas (caractersticas, plazos, volmenes, calidades, etc.). 2.-Validan y visan la definicin tcnica. 3.- Confeccionar bases de licitacin oportunas y completas (de acuerdo con el procedimiento formal del Servicio). 4.Aprobacin oportuna de las Bases de Licitacin. 5.- Publicar en diarios en forma completa, oportuna y legal 6.- Aclarar en forma completa e igualitaria las dudas de los oferentes. Responsables
Etapas licitacin pblica, privada, trato directo).
Jefe Finanzas Jefe Unidad Jurdica
Encargado de especificaciones tcnicas de compras
Etapa Confeccin y publicacin de bases.
Establecer formalmente bases administrativas y tcnicas adecuadas a la especificacin tcnica de lo requerido y que respeten la transparencia e igualdad de los oferentes.
Jefe de Abastecimiento y Jefe Unidad solicitante Jefe de Finanzas Jefe de la Unidad Jurdica Jefe de la Unidad Jurdica Jefe de Servicio Jefe de Finanzas Jefe de Finanzas Jefe de la Unidad Jurdica
Etapa Seleccin
Realizar una seleccin transparente, garantizando la
7.Verificacin que todas las compras cuenten Encargado de con una carpeta anlisis del rea con antecedentes de compras de licitacin, bases y publicacin. Licitaciones privada y pblica 1.- Recepcin de todas Comit de las ofertas remitidas. Compras (igualdad de oferentes)
______________________________________________________________________________________________ 68
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Objetivo operativo de la etapa participacin igualitaria de los oferentes. Actividades de la etapa De gestin 2.- Apertura de acuerdo a la normativa de compras, a travs del sistema de Chilecompras. 3.- Participacin de Ministro de Fe en la apertura. 4.- Confeccin de acta de recepcin de ofertas, especificando da y hora de las ofertas recibidas. 5.- Confeccin de acta de apertura con todos los participantes que cumplen requisitos. 6.- Entrega de reportes del sistema al comit de compras. Compra directa 1.Se designan cotizadores al interior del Servicio. 2.- Cruces de datos entre funcionarios participantes del proceso de compras y proveedores. 3.- Obtencin de a los menos tres cotizaciones en el caso de trato directo. 1.Evaluacin tcnica, de acuerdo a criterios previos y objetivos dispuestos en procedimiento. De control Responsables Comit de Compras Encargado del Sistema de Compras. Funcionario de la Unidad Jurdica Encargado Of. de Partes Jefe de Finanzas Comit de Compras Ministro de Fe
Etapas
Encargado del sistema de compras y supervisor. Jefe de Finanzas y Comit de Compras Jefe de Abastecimiento
Cotizadores designados.
Etapa Adjudicacin
Comit Compras.
de
Adjudicar compra oferente
la al que
______________________________________________________________________________________________ 69
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Objetivo operativo de la etapa presente la oferta ms conveniente para el servicio. Actividades de la etapa De gestin 2.- Se levanta un acta de proposicin de adjudicacin con el fundamento de la decisin segn desarrollo del proceso. 3.- Revisin de la adjudicacin para determinar su conformidad al procedimiento y Bases. 4.- Revisin de la consistencia y legalidad del proceso. 5.- Se verifica que el proveedor adjudicado no tengan inhabilidades respecto de funcionarios del Servicio y cumplan obligaciones laborales. 6.- Visacin de la adjudicacin 7.Aprobacin Adjudicacin de De control Responsables
Etapas
Comit Compras.
de
Jefe de Abastecimiento
Jefe de la Unidad Jurdica
Jefe Finanzas. Jefe Recursos Humanos.
de
de
Jefe de la Unidad Jurdica Jefe de Servicio o delegatario.
Cuadro N 3: Ejemplo de Identificacin de Riesgos Asociados a las Actividades Realizadas para Lograr los Objetivos Operativos de las Etapas Seleccin y Adjudicacin
Etapa Etapa Etapa Objetivo operativo de la etapa Realizar seleccin transparente, garantizando participacin una Riesgos asociados a la realizacin de las actividades Licitaciones privada y pblica Recepcin de ofertas fuera 1.- Recepcin de todas las de plazo. ofertas remitidas. (Igualdad Recepcin de ofertas en de oferentes). forma distinta a la sealada en las bases. Actividades de la etapa
la
______________________________________________________________________________________________ 70
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Etapa Objetivo operativo de la etapa igualitaria de oferentes. los 2.- Apertura de acuerdo a la normativa de compras a travs del sistema de Chilecompras. Etapa Seleccin 3.- Participacin de Ministro de Fe en la apertura. 4.- Confeccin de acta de recepcin de ofertas, especificando da y hora de las ofertas recibidas. 5.- Confeccin de acta de apertura con todos los participantes que cumplen con lo requisitos. 6.- Entrega de reportes del sistema al comit de compras. Actividades de la etapa Riesgos asociados a la realizacin de las actividades La apertura no se realiza a travs del sistema y no se cumple el procedimiento aprobado. La apertura se realiza en da y hora distinta al establecido en las bases. Ministro de Fe con incompatibilidades. En caso de recepcin en papel, no se confecciona Acta de recepcin o sta es incompleta o errnea. Las actas se firman posteriormente por las personas que no asisten a la apertura. No se entregan reportes en forma oportuna o tienen datos errneos.
Adjudicar la compra al oferente que presente la oferta ms conveniente para el
Compra directa 1.- Se designan cotizadores Designacin de cotizadores al interior del Servicio. con incompatibilidades. No se realizan cruces de 2.- Cruces de datos entre datos entre funcionarios y funcionarios participantes proveedores del proceso de compras y No se cuenta con la proveedores informacin para cruzar datos 3.- Obtencin de a los Falta de tres cotizaciones menos tres cotizaciones en para trato directo sin el caso de trato directo. fundamento. Cotizaciones manejadas para favorecer a un proveedor. Errores en evaluacin 1.- Evaluacin tcnica, de tcnica. acuerdo a criterios previos y Adjudicacin con criterios objetivos dispuestos en distintos a los establecidos procedimientos. en la ley, las bases y los procedimientos.
______________________________________________________________________________________________ 71
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Etapa Objetivo operativo de la etapa Servicio. Actividades de la etapa 2.- Se levanta un acta de proposicin de adjudicacin con el fundamento de la decisin segn desarrollo del proceso. 3.Revisin de la adjudicacin para determinar su conformidad al procedimiento y Bases. 4.Revisin de la consistencia y legalidad del proceso. 5.- Se verifica que el proveedor adjudicado no tenga inhabilidades respecto de funcionarios del Servicio y cumplan obligaciones laborales. 6.Visacin Adjudicacin. 7.Aprobacin adjudicacin. de de la Riesgos asociados a la realizacin de las actividades Adjudicacin no es consistente con el proceso de evaluacin. La adjudicacin no es consisten con las Bases o con el procedimiento establecido. El proceso presenta deficiencias legales de forma o fondo Inexistencia de antecedentes para realizar la verificacin Funcionarios que realizan verificacin no cuentan con las competencias necesarias. No se cuenta con todos los antecedentes para visar la operacin. El funcionario que aprueba no tiene la facultades delegadas
Etapa Adjudicacin
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o Proceso
Etapas que afecta Objetivo operativo de la etapa Entradas al subproceso o proceso Riesgos asociados a las entradas del subproceso o proceso 1.- Deficiencias tcnicas en la formulacin del Plan. El Plan no representa las necesidades de compra del Servicio. 2.- Falta de aprobacin o autorizacin del Plan.
Etapa Seleccin
Realizar seleccin transparente, garantizando participacin igualitaria de oferentes.
una Plan Operativo de Compras. la los
______________________________________________________________________________________________ 72
Cuadro N 5: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Asociado a las Actividades Realizadas en las Etapas de Seleccin y Adjudicacin
Etapas Riesgos asociados a la realizacin de las actividades Controles operativos mitigantes clave Licitacin privada y pblica El sistema de informacin ADBG, contiene un algoritmo que controla y chequea la hora y la fecha de la apertura. En caso de ofertas no recibidas por el sistema, el encargado de la Oficina de Partes, levanta un acta con individualizacin de da y hora de las ofertas recibidas, que es visada por el Jefe de Finanzas. El comit de compras controla el proceso de recepcin y levanta un Acta de todas las ofertas recibidas, con participacin de un Ministro de Fe. El sistema o el encargado (si son extra sistema) mantiene los antecedentes de las consultas y respuestas a los oferentes, con fecha. La recepcin y apertura de las ofertas deben realizarse a travs del portal de Chilecompras. Este procedimiento es verificado diariamente, mediante un reporte que se emite en el rea abastecimiento. En el caso de apertura extra sistema, se realiza en dependencias del Servicio con la asistencia de un Ministro de Fe que certifica que el da y hora corresponde a las Bases. Sin control En el caso de apertura en soporte de papel, existe un Acta que da cuenta de la apertura firmada por la entidad y los oferentes presentes en la apertura, con la asistencia de un Ministro de Fe. Responsables
Encargado Sistema de Informacin de Compras Encargado Oficina de Partes Jefe de Finanzas
Recepcin de ofertas fuera de plazo.
Comit de Compras
Recepcin de ofertas en forma distinta a la sealada en las bases.
Encargado del Sistema de Compras
Etapa Seleccin La apertura no se realiza a travs del sistema y no se cumple el procedimiento aprobado.
Encargado de Sistema de Informacin y su supervisor.
La apertura se realiza en da y hora distinta al establecido en las bases. Ministro de Fe con incompatibilidades.
Funcionario de la Unidad Jurdica.
Las actas se firman posteriormente por las personas que no asisten a la apertura.
Comit de Compras Ministro de Fe
______________________________________________________________________________________________ 73
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Etapas Riesgos asociados a la realizacin de las actividades No se entregan reportes en forma oportuna o tienen datos errneos. Controles operativos mitigantes clave Responsables
La informacin se visa.
Supervisor Sistema Informacin
de
Compra directa Designacin de cotizadores con incompatibilidades. Cotizaciones manejadas para favorecer a proveedor. Falta de tres cotizaciones para trato directo sin fundamento. Errores en evaluacin tcnica. la Se realiza un cruce de datos de stos y los proveedores frecuentes del Servicio Jefe de Finanzas Jefe de Recursos Humanos -
Sin control
Sin control El Comit de Compras analiza las ofertas a travs de los requisitos establecidos en la Ley, las bases y el procedimiento, emitiendo un informe tcnico. El jefe de Abastecimiento revisa y pone visto bueno slo si se cumplen todos los requisitos. La Unidad Jurdica da visto bueno a la resolucin de adjudicacin antes de la firma del Jefe Superior y revisa la consistencia del proceso. El Jefe de Finanzas es el encargado de mantener y conseguir las herramientas necesarias para realizar los cruces de datos (bases de datos pblicas, declaraciones de inters y otros antecedentes) y de capacitar a los funcionarios que realizan esta labor en el manejo de bases de datos y consultas, y en el manejo de la normativa y jurisprudencia administrativa asociadas a temas de probidad. Sin control
Comit de Compras
Adjudicacin con criterios distintos a los establecidos en la ley y las bases. Adjudicacin no es consistente con el proceso de evaluacin. Etapa Adjudicacin Inexistencia de antecedentes para realizar la verificacin.
Jefe de Abastecimiento
Jefe de la Unidad Jurdica
Jefe de Finanzas Jefe de Recursos Humanos
Funcionarios que realizan verificacin no cuentan con las competencias necesarias.
No se cuenta con todos los antecedentes para visar la operacin.
______________________________________________________________________________________________ 74
Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ Etapas Riesgos asociados a la realizacin de las actividades El funcionario que aprueba no tiene la facultades delegadas Controles operativos mitigantes clave La Unidad Jurdica previa a la aprobacin, la visa, revisando los aspectos de forma y fondo y las atribuciones del firmante. Responsables
Jefe Unidad Jurdica
Cuadro N 6: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Identificado Asociado a las Entradas del Subproceso o Proceso
Etapa que afecta Riesgos asociados a las entradas del subproceso o proceso 1.- Deficiencias tcnicas en la formulacin del Plan. El Plan no representa las necesidades del Servicio.
Controles operativos mitigantes claves
Responsables
Existe informacin histrica acerca del gasto y adquisiciones del Servicio. Cada Unidad hace llegar a la Comisin de Planificacin, al 15 de enero de cada ao, un programa operativo anual con los requerimientos y necesidades para el ao, calendarizadas y presupuestadas. Existen procedimientos formales con participacin de las diversas instancias para definir el Plan (Comisin de Planificacin).
Jefe de Finanzas Jefe de Cada Unidad Operativa Jefe de Servicio Comisin de Planificacin
Etapa Seleccin
2.Falta aprobacin autorizacin Plan.
de o del
La jefatura mxima revisa el Plan y de acuerdo a los anlisis de la Comisin de Planificacin aprueba, rechaza o modifica el Plan propuesto.
Jefe de Servicio Comisin de Planificacin
______________________________________________________________________________________________ 75
ANEXO N 7 EJEMPLOS DE TCNICAS DE IDENTIFICACIN DE EVENTOS GENERADORES DE RIESGOS Y OPORTUNIDADES La metodologa de identificacin de riesgos de una entidad puede comprender una combinacin de tcnicas, junto con herramientas de apoyo. Por ejemplo, la direccin puede usar talleres interactivos de trabajo como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica para ayudar a los participantes. La profundidad, amplitud, calendarizacin y disciplina en la identificacin de eventos generadores de riesgos, varan segn las organizaciones. La direccin selecciona tcnicas que encajan con su filosofa de gestin de riesgos y asegura que la entidad desarrolla las capacidades necesarias de identificacin de eventos y que estn operativas las herramientas de apoyo. Por encima de todo, la identificacin de eventos necesita ser potente y fiable, ya que forma la base de los componentes de la evaluacin de riesgos y de la respuesta a ellos. Ejemplos de tcnicas de identificacin de eventos: Inventarios de Eventos: Son relaciones detalladas de acontecimientos potenciales comunes a empresas o instituciones de un sector determinado, o a un proceso o actividades especficas que se da en diversos sectores. Las aplicaciones de software pueden generar relaciones relevantes de eventos genricos potenciales que generan riesgos, que algunas entidades usan como punto de partida para la identificacin de eventos generadores de riesgos. Por ejemplo, una empresa que est acometiendo un proyecto de desarrollo de software, elaborar un inventario que describa eventos genricos relativos a este tipo de proyectos. Anlisis Interno: Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificacin empresarial u organizacional, normalmente mediante reuniones del personal de la unidad de negocios. El anlisis interno utiliza a veces la informacin procedente de grupos de inters de dicha unidad (clientes, proveedores y otras unidades del negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos, externos o la unidad de auditora interna). Por ejemplo, una empresa u organizacin que est considerando introducir un nuevo producto, usa su propia experiencia histrica, junto con investigacin externa de mercado que identifique eventos generadores de riesgos que hayan afectado al xito de productos de los competidores. Dispositivos de Escala o Umbral: Estos dispositivos alertan a la direccin respecto a reas con problemas comparando transacciones o eventos actuales con criterios predefinidos. Una vez que suena la alarma, es posible que un evento generador de riesgo presente una evaluacin ulterior o una respuesta inmediata. Por ejemplo, la direccin de una empresa hace un seguimiento del volumen de ventas en mercados seleccionados, con vistas a nuevos programas de marketing o publicidad, y reorienta los recursos segn los resultados. La direccin de otra empresa sigue las estructuras de precios de los competidores y contempla cambios en sus propios precios cuando se franquea determinado umbral.
______________________________________________________________________________________________ 76
Talleres de Trabajo y Entrevistas: Estas tcnicas identifican los eventos generadores de riesgos aprovechando el conocimiento y la experiencia acumulada de la direccin, el personal y los grupos de inters, a travs de discusiones estructuradas. Un monitor lidera y facilita la discusin sobre los eventos que puedan afectar a la consecucin de objetivos del Servicio o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de trabajo con miembros del equipo contable, para identificar eventos que puedan afectar a los objetivos de informacin financiera externa. Al combinar los conocimientos y experiencia de los miembros del equipo, se identifican eventos importantes que de otro modo podran haberse olvidado. Indicadores de Eventos Importantes: Supervisando datos correlacionados con los eventos generadores de riesgos, las entidades identifican la existencia de condiciones que podran dar lugar a un acontecimiento. Por ejemplo, las instituciones financieras reconocen desde hace mucho tiempo la correlacin entre la demora del pago de prstamos y su eventual impago futuro, as como el efecto positivo de una intervencin anticipada. Por ello, el control de las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas. Metodologa para Datos de Eventos con Prdidas: Los archivos de datos sobre eventos individuales con prdidas en el pasado son una fuente til de informacin para identificar las tendencias y causas principales. Una vez que se identifica una de estas, la direccin puede averiguar que es ms efectivo, si evaluarla y tratarlo o afrontar los eventos individuales. Por ejemplo, una empresa que explota una gran flota de coches mantiene una base de datos de las reclamaciones por accidentes y, mediante su anlisis, averigua que un porcentaje desproporcionado de ellos, tanto en nmero como en importe, se vincula a conductores del equipo en ciertas unidades, localizaciones geogrficas y franjas de edad. Este anlisis capacita a la direccin para identificar las causas principales de los eventos y tomar acciones.
______________________________________________________________________________________________ 77
ANEXO N 8 EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL GOBIERNO ELECTRNICO Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones generales:
1) Fragilidad de los Sistemas de Informacin Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que tener presente que los sistemas de informacin informatizados son vulnerables a una diversidad de amenazas y atentados por parte de: Personas tanto internas como externas de la organizacin. Desastres naturales. Servicios, suministros y trabajos no confiables e imperfectos. Incompetencia y las deficiencias cotidianas. Abuso en el manejo de los sistemas informticos. Desastres a causa de intromisin, robo, fraude, sabotaje o interrupcin de las actividades de cmputos. 2) Inseguridad de la Informacin Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es que la informacin contenida en soporte electrnico, en trminos generales puede presentar las siguientes situaciones de riesgo: Riesgos de Integridad: Este riesgo abarca todos aquellos relacionados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos existen en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en la Interfase del usuario, procesamiento de errores y administracin de cambios. Riesgos de Usabilidad: Se refiere a los riesgos relacionados al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas). Riesgos de Acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Abarcan los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Riesgos de Recuperabilidad: Relacionados con las deficiencias en las tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas y los
______________________________________________________________________________________________ 78
Backups y planes de contingencia que controlan desastres en el procesamiento de la informacin, entre otros. Riesgos en la Infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura de informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Riesgos de Seguridad General: Referidos a los Riesgos de choque de elctrico, riesgos de incendio, de niveles inadecuados de energa elctrica, de radiaciones, mecnicos, etc. 3) Riesgos Relacionados con los Documentos Electrnicos Por ltimo, es importante destacar que en las organizaciones, cuyas actividades constan en documentos electrnicos y stos son el respaldo de las transacciones y operaciones que desarrolla la institucin, pueden presentarse algunos riesgos relacionados con stos documentos, que deben ser considerados: Riesgos de Autorizacin: Relacionados al hecho que la informacin electrnica haya sido creada, procesada, grabada, corregida, enviada, archivada, accesada y destruida slo por personas autorizadas y responsables. Riesgo de Autenticacin: Referidos a los medios para verificar la identidad declarada de un usuario y la autorizacin o denegacin del acceso al sistema, y la forma como la autenticacin permite a cada lado de la comunicacin asegurarse de que el otro es quien dice ser. Riesgo de Integridad: Son aquellos que se relacionan con la exactitud, completitud y oportunidad de los datos, referidos a la modificacin de la informacin, por error o intencionalmente. Riesgos de Confidencialidad: Referidos la capacidad de mantener un documento electrnico protegido y accesible para su divulgacin o revelacin slo a una lista determinada de personas autorizadas y responsables. Riesgos de No Repudio: Relativo a la capacidad del sistema de permitir a cada lado de la comunicacin, probar fehacientemente que el otro lado ha participado; de tal forma que el origen no pueda negar haberlo enviado y el destino no pueda negar haberlo recibido. Riesgos de Accesibilidad: Relativo a la mantencin de datos disponibles permanentemente para cumplir con su misin y con sus obligaciones legales, tributarias y para propsitos de auditora. Para identificar los controles, se debe tener presente que en el caso de sistemas de informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento, accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse como controles generales los contratos con proveedores de servicios de tecnologas de
______________________________________________________________________________________________ 79
informacin, la capacitacin y generacin de competencias, las instrucciones sobre correo electrnico seguro, el monitoreo del cumplimiento de los procedimientos establecidos y la tecnologa basada en encriptacin de datos, firmas electrnicas y certificados digitales. Por otra parte, es necesario considerar que pueden existir controles especficos para los riesgos especficos, a saber: Controles para Riesgos de Autenticacin: Smart card o tokens, Password, Biometra, PKI Infraestructura de clave pblica, certificados digitales, Firewalls, etc. Controles para Riesgos de Integridad: Control de acceso a aplicaciones, funciones automticas que permitan segregacin de funciones, validacin de datos, reportes de excepciones, controles de secuencia numrica y de coincidencia, control de rastros de correcciones, firma electrnica, firewalls entre otros. Controles para Riesgos de No Repudio: Tcnicas criptogrficas, certificados digitales, firma electrnica avanzada, time stamping, entre otros. Controles para Riesgos de Autorizacin: Controles de acceso, definicin de perfiles de usuario en redes, aplicaciones y sistemas; firma electrnica, certificados digitales, etc. Controles para Riesgos de Disponibilidad: Controles asociados a la adquisicin, desarrollo y mantenimiento de sistemas, mecanismos de recuperacin de prdida de datos, planes de contingencia, polticas de respaldo peridico de la informacin, y otros. Controles para Riesgos de Confiabilidad: Cifrado o encriptacin, controles de acceso lgico y fsicos a los sistemas y servidores, procedimientos de manipulacin de copiado, almacenamiento, transmisin y destruccin, documentos reservados con niveles de acceso determinados, protocolos de seguridad sobre Internet (SSL), firewalls, entre otros.
______________________________________________________________________________________________ 80
ANEXO N 9 CONCEPTOS GENERALES SOBRE REQUISITOS O NORMAS DE CONTROL BSICOS CONSIDERADOS EN EL MODELO 1. Definicin de Control El Control es un proceso que permite medir el desempeo individual y organizacional para asegurar que razonablemente las actividades se ajusten a los planes y metas y, mitiguen adecuadamente los riesgos. El control ha sido definido bajo dos grandes puntos de vista, un punto de vista limitado y un punto de vista amplio. Desde el punto de vista limitado, puede sealarse que, el control se concibe como la verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos planteados y el control de gastos invertido en el proceso realizado por los niveles directivos. Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el contexto institucional ya que parte del principio que es el propio comportamiento individual quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin El control es una etapa primordial en la administracin, pues, aunque una entidad tenga excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente, es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la entidad se estn desarrollando segn los objetivos. 2. Requisitos de un Buen Control Un control, para poder ser declarado como bueno debe tener las siguientes propiedades: Correccin de fallas y errores: El control debe detectar e indicar errores de planeacin, organizacin o direccin. Previsin de fallas o errores futuros: el control, al detectar e indicar errores actuales, debe prevenir errores futuros, ya sean de planeacin, organizacin o direccin. 3. Importancia del Control El control es importante toda vez que permite medir el desempeo organizacional y cmo se van cumpliendo los objetivos de una entidad. Hasta el mejor de los planes se puede desviar. El control se emplea para: Mejorar la calidad: Las fallas del proceso se detectan y el proceso se corrige para eliminar errores. Enfrentar el cambio: Este forma parte ineludible del ambiente de cualquier organizacin. Las directrices de gobierno cambian, el comportamiento de los usuarios de los servicios o beneficios se modifica, surgen exigencias nuevas, aparecen tecnologa emergentes, se aprueban o modifican leyes y reglamentos, etc. La funcin del control sirve a la direccin
______________________________________________________________________________________________ 81
para responder a las amenazas o las oportunidades de todo ello, porque les ayuda a detectar los cambios que estn afectando los productos y los servicios de sus organizaciones. Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una calidad por encima de la medida lograda aplicando procedimientos de control. Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la administracin participativa tambin aumenta la necesidad de delegar autoridad y de fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de control. Por tanto, el proceso de control permite que la direccin controle el avance de los funcionarios, sin entorpecer su creatividad o participacin en el trabajo. 4. Secuencia Tpica de Control Fijacin de estndares: Es la primera etapa del control, que establece los estndares o criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de base para la evaluacin o comparacin de alguna cosa. Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o aspectos claves de control que deben monitorearse. Comparacin y verificacin contra los estndares. Se compara el desempeo con lo que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn error o falla con relacin al desempeo esperado. Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso de existir desviaciones del estndar, debe informarse al jefe correspondiente Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y adecuacin de algn desvo o variacin con relacin al estndar esperado. Determinacin si la accin tomada es efectiva para corregir las desviaciones tomadas. Revisar y modificar los estndares si corresponde. 5. Requisitos o Normas Bsicas de Control Consideradas en el Modelo Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control. Comprenden las polticas especficas, los procedimientos, los planes de la organizacin (incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben proporcionar una seguridad razonable de que se logren continuamente los objetivos del control interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema integrado y no individualmente. Los controles, para que sean eficaces, deben cumplir con el propsito previsto en la aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un esfuerzo
______________________________________________________________________________________________ 82
adecuado. Los controles que se examinen para verificar su eficacia y suficiencia deben ser los que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su aplicacin constante en la prevencin de riesgos. Los controles que se presentan a continuacin son los que se utilizan generalmente en una estructura de control interno ordenada y eficaz. Los mtodos y procedimientos especficos que se describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y responsabilidad ante los mismos. a) Documentacin en Papel y Medios Electrnicos Deben documentarse las estructuras de control interno y todas las transacciones y hechos internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes de las transacciones y hechos significativos. Asimismo, la documentacin en papel y electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal apropiado y los auditores. La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y procedimientos de control. Esta informacin debe figurar en documentos tales como planes o guas, las polticas administrativas y los manuales de operacin y de contabilidad. La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin. La documentacin de las estructuras de control interno, de las transacciones y de hechos importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar dichas operaciones. En los casos en que existen sistemas informticos integrados en la institucin, que generen como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud, archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin. b) Registro Oportuno y Adecuado de las Transacciones y Hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente clasificados. Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la informacin siga siendo relevante y til para los directivos que controlan las operaciones y adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
______________________________________________________________________________________________ 83
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda la documentacin con objeto de mantener su validez. Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los informes, los planes y los estados financieros y presupuestarios. El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y en la adopcin de decisiones. En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o registro. c) Autorizacin y Ejecucin de las Transacciones y Hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus competencias. La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos para atender metas especficas en condiciones particulares. La autorizacin es la principal forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias establecido por la direccin o la legislacin. En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la informacin. d) Divisin de las Tareas
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y revisin de las transacciones y hechos deben ser asignadas a personas diferentes. Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las funciones y responsabilidades deben asignarse sistemticamente a varias personas para asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
______________________________________________________________________________________________ 84
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o eliminar la eficacia de esta tcnica de control interno. Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y compensar el defecto con otros controles. La rotacin del personal contribuye a que los aspectos centrales de las transacciones o hechos contables no se concentren en una sola persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el uso del perodo vacacional anual para ayudar a reducir estos riesgos. e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno. Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la comprensin y cumplimiento de las directrices especificas de la direccin. La asignacin, revisin y aprobacin del trabajo del personal exige:

Indicar claramente las funciones y responsabilidades del trabajo del empleado. Examinar sistemticamente el trabajo de cada empleado, en la medida que sea necesario. Aprobar el trabajo en puntos crticos del desarrollo para asegurarse de que avanza segn lo previsto.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades y tareas. f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello, quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y relevancia de los activos. La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
______________________________________________________________________________________________ 85
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques en blanco, puede restringirse:

Mantenindolos en una caja fuerte. Asignando a cada documento un nmero de serie. Encargando su custodia a personas responsables. Al determinarse la vulnerabilidad de un activo, debe considerarse tambin su costo, la facilidad de transporte y el riesgo de prdida o de utilizacin indebida.
En los casos en que existen sistemas informticos integrados en la institucin, que generan como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal, se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las base de datos de la organizacin. 6.- Estructura General del Marco Integrado de Control Interno Modelo C.O.S.O. El ambiente de control da el tono de una organizacin, influenciando la conciencia de control de sus empleados; es el fundamento de todos los dems componentes del control interno, proporcionando disciplina y estructura. Es necesario comprender, evaluar y obtener evidencia sobre la efectividad de cualquier control en el cual se desea confiar para determinar la naturaleza, alcance y oportunidad del trabajo de auditora que debe efectuarse. La estructura genrica que se presenta es slo a modo explicativo, puesto que su existencia y caractersticas dependen del tipo de control y de la estructura del proceso, entre otras variables. El lector puede encontrar suficiente literatura del Modelo C.O.S.O., incluida la Internet.
Normas relativas al ambiente de control Ambiente propicio para el control. Actitud de apoyo superior al control interno. Valores de integridad y tica. Administracin eficaz del potencial humano. Estructura organizativa formal y conocida. Delegacin formal y adecuada. Coordinacin de acciones organizacionales. Participacin del personal en el control interno. Adhesin a las polticas institucionales.
______________________________________________________________________________________________ 86
Normas relativas a la evaluacin de riesgos Identificacin y evaluacin de riesgos. Planificacin formal. Indicadores de desempeo mensurables. Divulgacin de los planes. Definicin y comunicacin de polticas de apoyo a los objetivos. Revisin de los objetivos. Cuestionamiento peridico de los supuestos de planificacin.
Normas relativas a las actividades de control Prcticas y medidas de control formales. Control integrado. Anlisis de costo/beneficio. Responsabilidad delimitada. Instrucciones por escrito. Separacin de funciones incompatibles. Autorizacin y aprobacin de transacciones y operaciones. Documentacin de procesos y transacciones. Supervisin constante. Registro oportuno. Sistema contable y presupuestario. Acceso a activos y registros. Revisiones de control permanentes. Conciliacin peridica de registros. Inventarios peridicos. Arqueos independientes. Formularios uniformes. Rotacin de labores. Toma oportuna de vacaciones. Garantas a favor de la institucin. Dispositivos de control y seguridad lgicos y fsicos.
Normas relativas a informacin y comunicacin Obtencin y comunicacin de informacin efectivas. Calidad y suficiencia de la informacin. Sistemas de informacin. Controles sobre sistemas de informacin. Canales de comunicacin abiertos. Archivo institucional formal.
______________________________________________________________________________________________ 87
Normas relativas al monitoreo Monitoreo constante del control interno en operacin. Monitoreo de las actividades. Monitoreo constante del ambiente de control. Evaluacin del desempeo institucional. Informes de seguimiento a responsables. Rendicin de cuentas. Reporte de deficiencias. Toma de acciones correctivas. Asesora externa para monitoreo del control interno.
7.-
Identificacin y Anlisis de Controles Claves
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles deben ser evaluados en el nivel de cumplimiento de normas de control y calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y evaluados en trminos del cumplimiento de normas especficas de control. Una vez determinada claramente la existencia de todos los controles asociados a los riesgos relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe uno o ms controles asociados a cada riesgo especfico identificado. Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si alguno de los controles no tienen esa caracterstica y slo se trata de controles que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si corresponde (relacin costo/beneficio). Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves, desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en pginas siguientes). El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de efectividad de los controles en base al diseo del control y cumplimiento de normas especficas de control. Nivel definida por los atributos periodicidad, oportunidad y nivel de automatizacin del control en base al esquema que se presenta en la pgina siguiente. El siguiente paso corresponde a analizar para cada uno de los controles claves identificados con los riesgos, el grado de cumplimiento de normas especficas de control.
______________________________________________________________________________________________ 88
En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si existen controles claves o fundamentales asociados a un riesgo en particular y si stos adems de cumplir con normas especficas estn diseados con la finalidad de mitigar los efectos que se puedan producir ante la materializacin del riesgo. A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado al auditor. Para este efecto, se sugiere utilizar el siguiente esquema: Cuadro N 1: Anlisis de Controles Claves
Descripcin del Control identificado en el proceso ( asociado a un riesgo determinado) Importancia del control presente para mitigar los riesgos al interior del proceso Clave/Fundamental No es fundamental
Etapa
Riesgo Relevante
Ejemplo de determinacin de una evaluacin de la efectividad de los controles claves: i.Cuadro N 2: Ejemplo para Identificacin de Controles Claves en la Etapa Clculo de Horas Extraordinarias
Descripcin del Control identificado en el proceso ( asociado a un riesgo determinado) El sistema de control biomtrico registra las horas trabajadas y calcula aquellas que exceden de las 44 horas ordinarias Clculo de Errores o horas irregularidades El jefe de la Unidad de extraordinarias en el clculo de remuneraciones revisa y aprueba las horas el clculo de horas para su pago. extraordinarias El encargado de remuneraciones lleva un archivador con el detalle del las horas extras por funcionario Importancia del control presente para mitigar los riesgos al interior del proceso Clave/ No es fundamental fundamental
Etapa
Riesgo Relevante
En este caso, se identifican tres controles mitigantes asociados directamente o indirectamente al riesgo Errores o irregularidades en el clculo de las horas extraordinarias, por lo que debe
______________________________________________________________________________________________ 89
realizarse en primer lugar un anlisis de la importancia de cada control para mitigar el riesgo, es decir, determinar si se trata de un control clave. El resultado del anlisis muestra en el ejemplo que, el control descrito como El encargado de remuneraciones lleva un archivador con el detalle del las horas extras por funcionario, no es un control clave, por lo que no se analizar en cuanto al nivel de cumplimiento con los requisitos o normas que considera el modelo. ii.- Cuadro N 3: Ejemplo de Anlisis del Cumplimiento de Requisitos del Modelo de Control en el Control Mitigante Examinado
Nivel de cumplimento de normas del control asociado Niveles de cumplimiento de normas: adecuado, regular, insuficiente Riesgo Relevante Documentacin Registro Autorizacin Divisin o Segregacin Supervisin Acceso
Errores o irregularidades en Nivel Nivel adecuado Nivel adecuado el clculo de las adecuado horas extraordinarias Conclusin del nivel de cumplimiento de las normas: Adecuado
Nivel adecuado
Nivel adecuado
Nivel regular
iii.-
Cuadro N 4: Ejemplo Determinacin de la Efectividad de los Controles Claves

Nivel de Cumplimiento de normas especficas de control
Controles Claves/fundament al
Caractersticas en el diseo del control clave/fundamental

Oportunidad Periodicidad Automatizacin Clasificacin Valor
El sistema biomtrico de control horario, contiene un Adecuado algoritmo que r e specto a los calcula las horas r e quisitos de trabajadas, c ontrol del indicando en forma modelo precisa aquellas que exceden de las 44 semanales. El jefe de remuneraciones revisa el reporte del sistema y aprueba el clculo para su pago.
Preventivo (previene errores y se encuentra al principio del proceso)
Peridico (a la fecha de corte mensual para pago)
Automatizado y Manual
ptimo
______________________________________________________________________________________________ 90
8.- Limitaciones de un Sistema de Control Interno Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de acuerdo a esto, el control interno brinda una seguridad razonable en funcin de: Costo beneficio: El control no puede superar el valor de lo que se quiere controlar. La mayora de los controles hacia transacciones o tareas ordinarias: Debe establecerse el control bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la posibilidad que el sistema no sepa responder. El factor de error humano. Posibilidad de colusiones que puedan evadir los controles. Colusin y fraude por acuerdo entre dos o ms personas para infringir un control. No hay sistema de control invulnerable a estas circunstancias.
______________________________________________________________________________________________ 91
ANEXO N 10 EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Ranking Proceso de Riesgo transversal Proceso procesos Subproceso Etapa Especfico (1) (2) (3) (4) (5) (6)
Fuente del riesgo (7)
Tipo de riesgo (8)
Periodo Efecto potencial Medicin en la severidad Responsable Estrategia Descripcin de la Indicador Meta del de riesgo y/o de la Plazo genrica estrategia a aplicar de logro Indicador (16) efectividad del estrategia (13) (9) (10) (14) (15) control (11) (12) Se establecer una Las acciones instancia de revisin tienden a mejorar Porcentaj del Comit de el control del e Crdito que deber riesgo que es crditos revisar cada crdito dbil sin y cotejar la garanta estableciendo una garanta de acuerdo al tipo instancia que de crdito controle al Comit (N total de Crdito y una Jefe de 6 de mensual Se adicionar un aplicacin al Operaciones meses crditos mdulo al sistema sistema. mensuale de informacin de Tambin se s / N de crditos, para que si espera disminuir crditos un crdito no tiene la probabilidad sin incorporado el que se concrete la garanta) nmero de pliza de falta de garantas * 100 garanta no permita cursar el crdito
Evidencia que se observar (17)
Carpeta del crdito Informacin del sistema - 3% Actas Comit Actas de revisin
Crditos Crdito de Recuperaci fomento a n de mujeres prestamos microemp resarias
35%
Recuperaci 35% n del crdito
Falta de garantas
Interna
Procesos
Reducir
______________________________________________________________________________________________ 92
ANEXO 11 - 1/2 MATRIZ DE RIESGOS OBJETIVO GUBERNAMENTAL DE AUDITORA - N 3

LEVANTAMIENTO DE INFORMACIN DE PROCESOS RIESGOS IDENTIFICADOS
Proceso Transversal
Proceso
Pd. (1)
Subproceso
Pd. (2)
Etapas
Objetivos
Descripcin Riesgos Especficos
Probabilidad Fuente de Riesgos Tipo de Riesgo Clasif. valor
Impacto
Severidad del Riesgo valor Clasif valor
Clasif
Crdito Recuperacin de prestamos
Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias Crditos de fomento a mujeres microempres arias
35%
Postulacin
10%
Crdito Recuperacin de prestamos Crdito Recuperacin de prestamos
35%
Evaluacin
35%
35%
Entrega de crditos
20%
..
35%
Recuperacin del crdito
35%
Cobranz a
35%
35%
Cobranz a
35%
35%
Cobranz a
35%
35%
Ingreso fondos
35%
35%
Ingreso fondos
Obtener el pago completo y oportuno de los crditos otorgados a las usuarias Obtener el pago completo y oportuno de los crditos otorgados a las usuarias Obtener el pago completo y oportuno de los crditos otorgados a las usuarias Obtener el pago completo y oportuno de los crditos otorgados a las usuarias Obtener el pago completo y oportuno de los crditos otorgados a las usuarias Obtener el pago completo y oportuno de los crditos otorgados a las usuarias
Falta acciones oportunas cobranza
de de Interna Procesos Moderado 3 Moderado 3 Alto 9
C o n T i n a e n l a p g i n a s i g u i e n t e
Insolvencia de los deudores
Externa
Econmico
Improb.
Mayores
Alto
Falta garantas
de
Interna
Procesos
Muy improb.
Mayores
Alto
Ingreso inoportuno incompleto pagos
o de
Personas Interna
Probable
Moderado
Alto
12
Errores en la digitacin de los montos Problemas en la transformacin de la informacin del sistema del Servicio al SIGFE
Personas Interna
Moderado
Mayores
Extremo
12
Crditos de fomento a mujeres microempres arias
35%
35%
Ingreso fondos
Tecnolgico Interna
Improb.
Mayores
Alto
Recursos Humanos Capacitacin
10% 25%
(1) Ponderacin estratgica del proceso en relacin a los objetivos estratgicos y la misin. (2) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso.
______________________________________________________________________________________________ 93
ANEXO 11 - 2/2 MATRIZ DE RIESGOS OBJETIVO GUBERNAMENTAL DE AUDITORA - N 3

CONTROLES CLAVES EXISTENTES Descripcin Control menor 2,5 menor 2,5 menor 2,5 0,5 4 Media 3,8 1,33 1 Cumple Norma de Control Riesgo Nivel Valor ER ER (3) (3) Mayor Media 6 3 VALOR Y CLASIFICACIN DE LA EXPOSICIN AL RIESGO PONDERADA Etapa Nivel ER (3) Mayor Media Valor ER (3) 6 3 Nivel ER (3) Mayor Media Subproceso Valor Valor ER Ranking ERP (4) (3) 6 3 0,6 1,05 3 2 Nivel ER (3) Media Media Proceso Valor Valor ER ERP (3) (4) 3,8 3,8 1,33 1,33
Nivel de Eficiencia PD O A
Valor
Ranking
1 1
V i e n e d e l a p g i n a a n t e r i o r
El Sistema avisa los vencimiento al Jefe de Cobranzas El Jefe finanzas revisa mensualmente las cobranzas. Sin control. El Comit de crdito no puede entregar crdito sin garanta. El Tesorero ingresa los pagos al sistema que autovalida los datos. Para abonos o pagos fuera de plazo se requiere autorizacin del superior. Mensualmente los reportes los revisa el jefe de Finanzas El Tesorero ingresa los pagos al sistema que autovalida los datos. Para abonos o pagos fuera de plazo se requiere autorizacin del superior. Mensualmente los reportes los revisa el jefe de Finanzas. El Jefe de Finanzas revisa la transformacin antes de remitirse los datos al exterior.
Pd
Cr
Media
Mayor
medio
3,8
1,33
Media
3,8
1,33
No aceptable
Mayor
medio
3,8
1,33
Media
3,8
1,33
No
Mayor
Mayor
medio
3,8
1,33
Media
3,8
1,33
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
1,33
Pe
Pr
Menor
2,4
Menor
2,5
medio
3,8
1,33
Media
3,8
1,33
Pd
Cr
Menor
2,7
Menor
2,5
medio
3,8
1,33
1 . . .
Media
3,8
1,33
Mayor Medio .
5 3,9 .
0,5 0,98 .
3 2 .
(3) ER= Exposicin al Riesgo. (4) ERP= Exposicin al Riesgo Ponderado.
______________________________________________________________________________________________ 94

Guía Técnica #53 - Proceso de Gestion de Riesgos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guía Técnica #53 - Proceso de Gestion de Riesgos

Uploaded by

Copyright:

Available Formats

Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

PROGRAMA MARCO NORMA ISO 31.000

OBJETIVO DE AUDITORA GUBERNAMENTAL N 3 - AO 2011

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

TABLA DE CONTENIDOS ____________________________________________________________________________ MATERIAS

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

OBJETIVO GENERAL DEL DOCUMENTO

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

PROCESO DE GESTIN DE RIESGOS

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Seguridad y Control de Personas y/o Recintos

Seguridad del transporte

Calificacin ambiental Produccin de bienes materiales Comercializacin Coordinacin Emergencia de Acciones de

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Iniciativas de inversin Mercado financiero

Sistemas de administrativos Sistemas informticos

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Procesos y Subprocesos

Crdito de fomento para mujeres microempresar ias

Capacitacin para los negocios

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Ejemplos de riesgos especficos

Se relacionan con elementos financieros, comerciales y presupuestarios

Cfr. COSO II. Gestin de Riesgos Corporativos.

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Elementos que los caracteriza

Ejemplos de riesgos especficos

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Elementos que los caracteriza

Ejemplos de riesgos especficos

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Sistema Crediticio de Fomento

Servicio Apoyo al Microcrdito (ficticio).

Entregar apoyo crediticio de fomento a grupos vulnerables, de mujeres y jvenes.

Recursos Humanos Sistemas de Informacin Contabilidad y Presupuesto

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa

Crditos Recuperacin de prstamos

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

TIC= Tecnologas de Informacin.

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Cuadro N 9: Ejemplo de Ponderacin Estratgica por Proceso y Subprocesos

Proceso Transversal 1 Proceso Transversal 2 Proceso Transversal 3

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________