You are on page 1of 10

NORMA ISO 31000:2009

PROGRAMA MARCO

GUÍA TÉCNICA Nº 53

OBJETIVO GUBERNAMENTAL DE AUDITORÍA Nº 3 AÑO 2013 PROCESO GESTIÓN DE RIESGOS

GUÍA TÉCNICA Nº 53 ACTUALIZADA FEBRERO 2013

..1...Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 ...Objetivo Gubernamental de Auditoría. 8.1..Forma de Envío.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .2013 4.. 8 9 9 9 _________________________________________________________________________________________ 1 ..1. Años 2011 a 2014 .1.FASE IDENTIFICACIÓN DE RIESGOS Y OPORTUNIDADES 2.Nº 3..3...FASE ANÁLISIS DE RIESGOS 3.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .FASE COMUNICACIÓN Y CONSULTAS 7. Proceso de Gestión de Riesgos __________________________________________________________________________________________ TABLA DE CONTENIDOS MATERIAS I.Formatos Exigidos ..Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 ..Plazos de Entrega de Informes y Productos Solicitados..2013 7.1.2013 5.ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIÓN DE RIESGOS Y REQUERIMIENTOS ESPECÍFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO GUBERNAMENTAL DE AUDITORÍA Nº 3 .Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 ..1.Planillas u Otros.FASE ESTABLECIMIENTO DEL CONTEXTO 1..Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .2.ANTECEDENTES GENERALES II.2013 8..2013 2.2013 8.2013 3.FASE TRATAMIENTO DE RIESGOS 5..2013 6.FASE EVALUACIÓN DE RIESGOS 4.FASE MONITOREO Y REVISIÓN 6. 8..1.RESUMEN DE REQUERIMIENTOS GUBERNAMENTAL N° 3 – 2013 ESPECÍFICOS PARA EL OBJETIVO 2 2 2 3 3 4 4 5 5 6 6 6 6 7 7 PÁGINA 2 1.1.

o _________________________________________________________________________________________ 2 .Nº 3.RESUMEN DE REQUERIMIENTOS ESPECÍFICOS GUBERNAMENTAL DE AUDITORÍA N°3 . II. Proceso de Gestión de Riesgos __________________________________________________________________________________________ I. o o Enfoque de Análisis: Para efectos del cumplimiento de este Objetivo Gubernamental..2013. Cobertura del Contexto: La cobertura en la aplicación del enfoque será el levantamiento a nivel de procesos de todos los relacionados al negocio y soporte del Servicio o entidad gubernamental (100%). de los antecedentes de respaldo del Proceso de Gestión de Riesgos. Años 2011 a 2014 . al Consejo de Auditoría Interna General de Gobierno. con la finalidad de dar cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 . en relación a los plazos que en ella se contienen y que son obligatorios para que los Servicios y entidades del Estado cumplan con el envío. por lo cual todo su contenido teórico y conceptual.1. para el año 2013. 1.. Sin perjuicio de lo anterior y en razón del cambio de año. Definir roles y Responsables: La Dirección debe nombrar responsables del proceso de Gestión de Riesgos y definir sus funciones (al Auditor Interno del Servicio no se le debe asignar esa responsabilidad).Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .. resulta necesario también actualizar la citada Guía Técnica N° 53. En anexo Nº 2 de la Guía Técnica N° 53.. para cada fase del Proceso de Gestión de Riesgos. años 2011 a 2014. se presenta un ejemplo ilustrativo.2013 PARA EL OBJETIVO A continuación. debe ser utilizado en el desarrollo del señalado Proceso de Gestión de Riesgos y como marco para el cumplimiento del Objetivo Gubernamental N° 3. La resolución que formula y aprueba la política de riesgos debe remitirse al Consejo de Auditoría antes del 31. se tendrá con un enfoque de procesos de negocio y procesos de soporte.05.FASE ESTABLECIMIENTO DEL CONTEXTO 1. En este contexto. cabe señalar que la señalada Guía Técnica se mantiene como documento rector del Proceso de Gestión de Riesgos en el Estado. Esta Política debe ser aprobada por resolución de la Jefatura Superior del Servicio.Consideraciones o Política y Filosofía de Riesgos: Formular y aprobar la Política y Filosofía de Gestión de Riesgos de la organización.2013. en anexo Nº 1 de la Guía Técnica N° 53 se presenta un ejemplo. se resumen las actividades que deben ejecutar los Servicios..ANTECEDENTES GENERALES Durante el año 2012.Objetivo Gubernamental de Auditoría. se actualizó la N° 53/11 en que se entregaron los lineamientos para dar cumplimiento al Objetivo Gubernamental N° 3.2013 a.

. su desagregación en subprocesos. Resolución de aprobación o modificación de roles y responsabilidades remitida al Consejo de Auditoría al 31.05.. Se deben identificar los controles y su diseño para valorar su efectividad. Debe remitirse la resolución que define los roles y responsabilidades al Consejo de Auditoría antes del 31. remitida al Consejo de Auditoría al 31. para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso.. se debe hacer el levantamiento de información de todos (100%) los procesos de negocio y soporte. según su relevancia en el Servicio y para el proceso respectivamente. El Servicio deberá revisar y mejorar la identificación de todos los riesgos relacionados con procesos de Gobierno Electrónico y controles que existan para ellos (revisar sugerencias en anexo Nº 8 de la Guía Técnica 53).2013.Objetivo Gubernamental de Auditoría. para finalmente identificar los riesgos que afectan los objetivos de las etapas de cada proceso y los controles asociados.2013 a. b. Para el Objetivo Gubernamental de Auditoría Nº 3 .05.. su desagregación en subprocesos. etapas y objetivos.2013.Productos Solicitados En esta fase corresponde:        Levantar los procesos y desagregarlos en subprocesos.05.2013. Proceso de Gestión de Riesgos __________________________________________________________________________________________ El Servicio debe emitir una resolución que asigne roles y responsabilidades o examinar la resolución de roles aprobada anteriormente..Productos Solicitados   Resolución de aprobación o modificación de la Política de Riesgos. Identificación de procesos y riesgos relativos al Gobierno Electrónico. de acuerdo a la presente Guía Técnica. b.1.2013. etapas y actividades.FASE IDENTIFICACIÓN DE RIESGOS Y OPORTUNIDADES 2. Años 2011 a 2014 . 2. en base a nuevos lineamientos de  _________________________________________________________________________________________ 3 . Clasificar los procesos en procesos transversales.Consideraciones Esta fase se cumple con el levantamiento de información a nivel de los procesos de negocio y soporte (100%). Es necesario ponderar procesos y subprocesos. Identificación de oportunidades a nivel de procesos de negocio. Se deben clasificar los riesgos por origen y tipología.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 . etapas y actividades. En este tema deberán individualizarse las oportunidades que se identifiquen por cada proceso de negocio del Servicio (no en los de soporte).Nº 3. Identificar los riesgos y oportunidades para el Servicio o entidad.

3.2013.Productos Solicitados o En esta fase corresponde valorar los riesgos en consideración a su probabilidad e impacto. o Los respaldos del levantamiento de información de la fase de análisis de riesgos y controles no se remitirán al Consejo de Auditoría. sin embargo.. b. debe remitirse al Consejo de Auditoría. debe actualizarse la Matriz de Riesgos del Servicio o entidad. que contiene la valuación de los riesgos. Por otra parte también será necesario valorar el diseño del control en cuanto a su efectividad para mitigar el riesgo al cual se asocia. incorporando todas las mejoras y ajustes derivados de la revisión de la Matriz de años anteriores y. deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable.. incorporando los conceptos de tipología de riesgos. según formato dispuesto en anexo Nº 11 de la Guía Técnica N° 53/2011.. especialmente. procesos transversales y de ponderación estratégica por proceso y subproceso.2013 a. Como producto de la Matriz de Riesgos del Servicio o entidad.Objetivo Gubernamental de Auditoría. Los respaldos del levantamiento de información de la fase de identificación de riesgos y controles no deben remitirse al Consejo de Auditoría. Para cumplir el Objetivo Gubernamental de Auditoría Nº 3 .FASE ANÁLISIS DE RIESGOS 3. deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable. Todo lo que se desarrolla en esta fase. deberá ser insumo para la fase de análisis de riesgos y para la confección de la Matriz de Riesgos del Servicio o entidad. Años 2011 a 2014 . considerando la asignación de responsabilidades y modificaciones presupuestarias que afecten al Servicio. firmada y aprobada por el Jefe de Servicio.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .1. obteniendo su nivel de severidad. con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditoría. con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditoría. controles y la determinación del nivel de exposición al riesgo en base a las categorías definidas en las escalas de clasificación definidas por el Consejo de Auditoría. incorporando todas las observaciones y sugerencias del Auditor Interno en sus diversas actividades de aseguramiento.Consideraciones Esta fase se cumple con la construcción de la Matriz de Riesgos del Servicio o entidad actualizada. en forma semestral el reporte de la Matriz de Riesgos Abreviada.. considerando los riesgos críticos (al menos 20) definidos por dicha jefatura o el Comité de Riesgos (aplicando cuadro N°11 de la Guía Técnica N° _________________________________________________________________________________________ 4 . En esta fase se debe elaborar la Matriz de Riesgos del Servicio o entidad actualizada. sin embargo. Proceso de Gestión de Riesgos __________________________________________________________________________________________ Gobierno.Nº 3.

. por subprocesos. tales como la naturaleza del Servicio. Años 2011 a 2014 . Ranking de riesgos por subprocesos de acuerdo al formato definido en el Cuadro Nº 13 de la Guía Técnica N° 53/11. _________________________________________________________________________________________ 5 . afecten en forma clave la entidad que dirige y que en forma especial deben ser tratados y monitoreados permanentemente.12. En el caso de no poder alcanzar esta proporción en los riesgos. Esta Matriz de Riesgos deberá contener los riesgos críticos del Servicio o entidad (al menos 20). 4.1.2013.. etc. también por exposición al riesgo ponderado.. Ministro de la Cartera.FASE EVALUACIÓN DE RIESGOS 4. deberá remitirse copia del reporte de la Matriz Abreviada o Simplificada de Riesgos al Sr. En las mismas fechas señaladas en el párrafo anterior.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 . dentro de éstos. por subprocesos.Consideraciones La organización debe construir un ranking de riesgos en base a procesos con mayor exposición al riesgo ponderado y. a juicio de la jefatura del Servicio. En base al análisis de los rankings. de acuerdo al procedimiento dispuesto en los cuadros Nº 12 y 13 de la Guía Técnica N° 53/11. deberá remitirse al 27.07. los que. de acuerdo al procedimiento dispuesto en los cuadros Nº 12 y 13 de la Guía Técnica N° 53/11.Objetivo Gubernamental de Auditoría. deben definirse las prioridades para tratar los riesgos para mantener el nivel de exposición al riesgo dentro del nivel del riesgo aceptado. La Matriz correspondiente al primer semestre deberá remitirse antes del 19. esta situación deberá justificarse dando a conocer las causales. que implica el ranking por proceso y subproceso. dentro de éstos. la organización debe construir un ranking de riesgos en base a procesos con mayor exposición al riesgo ponderado y. el tipo de actividades que desarrolla. Proceso de Gestión de Riesgos __________________________________________________________________________________________ 53/2011)..2013 a.Productos Solicitados   Ranking de riesgos por procesos de acuerdo al formato definido en el Cuadro Nº 12 de la Guía Técnica N° 53/11. también por exposición al riesgo ponderado. deben permanecer en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable. Los respaldos de la fase de evaluación de riesgos. con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditoría.2013 y la del segundo semestre. divididos en 50% financieros y 50% estratégicos. Para el año 2013. b.Nº 3. sin embargo. no deben ser remitidos al Consejo de Auditoría.

antes del 19 de julio de 2013. Para el cumplimiento del Objetivo Gubernamental Nº 3 – 2013 se debe realizar el monitoreo al Plan de Tratamiento.Productos Solicitados Plan de Tratamiento de Riesgos Semestral.Objetivo Gubernamental de Auditoría.. de acuerdo a los plazos establecidos en el punto b siguiente. _________________________________________________________________________________________ 6 . (segundo semestre 2012). FASE TRATAMIENTO DE RIESGOS 5. debe presentarse al Consejo de Auditoría.05. los 20 riesgos críticos que lo afectan. en forma oportuna y periódica sobre el estado de los riesgos en cualquier etapa del proceso con la finalidad de reportar a la dirección oportunamente.1.. b. Años 2011 a 2014 .FASE MONITOREO Y REVISIÓN 6. indicadores y metas que se orienten a obtener que el riesgo a tratar sea efectivamente mitigado. Esto implica obtener información relevante..Consideraciones Una vez definidos.2013 a.Plan de Tratamiento presentado al 28.2013 y se debe utilizar el cuadro Nº 17 de la Guía Técnica N° 53/11. debe enviarse el reporte del monitoreo y revisión el 31. el Servicio deberá elaborar semestralmente un Plan de Tratamiento sobre los riesgos críticos definidos por el Jefe de Servicio (al menos 20).2012. considerando los riesgos críticos identificados por el Servicio o entidad (al menos 20). Para el Objetivo Gubernamental de Auditoría N°3 .2013 a.1.12.1. utilizando el formato definido en el cuadro Nº 16 de la Guía Técnica N° 53/11. correspondiente al primer semestre 2013. al menos. Proceso de Gestión de Riesgos __________________________________________________________________________________________ 5. correspondiente al segundo semestre 2013. a través del manejo de su probabilidad e impacto o mediante el mejoramiento de los controles asociados.. El Plan de Tratamiento debe contener estrategias. El Plan de tratamiento. 6. El Plan de Tratamiento de Riesgos.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 . sin perjuicio que además deba adicionar otros riesgos emanados de los rankings por proceso o subproceso..Consideraciones Deben establecerse estructuras de reportes y mantener su registro.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .2013.. acciones.Productos Solicitados b. debe considerar los riesgos críticos identificados por el Servicio o entidad (al menos 20) al 27 de diciembre del 2013. b. el Servicio deberá comprometer estrategias para tratarlos señalando las medidas que se adoptarán para la gestión de esos riesgos.Nº 3...

7. (segundo semestre 2013).2013. Qué tipo de instrumentos recogerán esa información. Señalar roles y responsables de la comunicación y la participación..07.12.Plan de Tratamiento semestral presentado al 27. Cuándo se recogería la información (periodicidad).05.Nº 3.Consideraciones y Productos Requeridos para dar Cumplimiento al Objetivo Gubernamental de Auditoría Nº 3 .. Años 2011 a 2014 . actualización y mejora.Productos Solicitados Elaboración de una propuesta de sistema de comunicación y consulta. Cómo y quiénes tendrán acceso a la comunicación. Cuándo se realizará la comunicación de la información. Este sistema de comunicación y consulta. identificar los soportes y tecnologías requeridas. Roles y responsables de la calidad y confiabilidad de la información. b.2. Qué tipo de análisis podrían contener los reportes.FASE COMUNICACIÓN Y CONSULTAS 7.Objetivo Gubernamental de Auditoría. Cómo se recolectarán opiniones que genere la comunicación. señalar los criterios para definir perfiles por tipo de información. debe enviarse el reporte del monitoreo y revisión el 27. _________________________________________________________________________________________ 7 . Proyecto de Reporte de la Matriz de Riesgos al Jefe de Servicio de acuerdo a lo definido en el cuadro N° 18 de la Guía Técnica N° 53/11. Además deberá desarrollarse la propuesta de reporte de la información de la Matriz de Riesgos al Jefe de Servicio.12. Cómo se realizará la comunicación.2013.1...2014 y se debe utilizar el cuadro Nº 17 de la Guía Técnica N° 53/11. (primer semestre 2013). diferencia de comunicación por acceso.2013 a. espacios de participación. b.Plan de Tratamiento presentado al 19. indicar periodicidad. Qué tipo de reportes podría tener el proceso.2013 y se debe utilizar el cuadro Nº 17 de la Guía Técnica N° 53/11. debe contener a lo menos los siguientes antecedentes: o o o o o o o o o o o o o o Qué tipo de información se espera recopilar en el proceso. forma como se hará efectiva la participación. Sistemas para manejar la información de Gestión de Riesgos al interior del Servicio.3. debe enviarse el reporte del monitoreo y revisión el 31.. Qué información se contendría en instrumentos.. Niveles organizacionales y personas a quienes se comunicará la información. soportes y sistemas.Consideraciones En relación con esta fase se solicitará la entrega de una propuesta de comunicación y consulta o el análisis y mejoramiento de la propuesta de comunicación y consulta entregada anteriormente al Consejo de Auditoría. Proceso de Gestión de Riesgos __________________________________________________________________________________________ b. con que cobertura y amplitud.

_________________________________________________________________________________________ 8 .ESQUEMA DE TODAS LAS FASES DEL PROCESO DE GESTIÓN DE RIESGOS Y REQUERIMIENTOS ESPECÍFICOS PARA DAR CUMPLIMIENTO AL OBJETIVO GUBERNAMENTAL DE AUDITORÍA Nº 3 . Ponderación por proceso y subproceso.07.Objetivo Gubernamental de Auditoría..12. que implican las propuestas de cómo comunicar y definir la participación de los estamentos internos y la forma cómo se reportará la información. responsables e indicadores de logro.07. etc.13 2° Semestre Entrega al 27. con la finalidad de que pueda ser revisado aleatoriamente por el Consejo de Auditoría.05. Fase Tratamiento de Riesgos Plan Semestral de Tratamiento de Riesgos. Justificación de ponderación estratégica. Fase Monitoreo y Revisión Reporte monitoreo para compromisos con fecha de revisión en el año 2013 Reporte 1° Plan 2013 27.12.12. Identificación oportunidades a nivel de procesos.14 Fase Comunicación y Consulta Proyecto de reporte de análisis de la Matriz de Riesgos.13 Matriz Semestral de Riesgos Abreviada (al menos 20 riesgos) 50% financieros y 50% estratégicos.13 Fase Identificación de Riesgos y Oportunidades Levantamiento de 100% de los procesos del Servicio y sus riesgos. de Riesgos y de Roles y Entrega al 31.13 Reporte 2° Plan 2012 31.2013 Fase Establecimiento contexto Resolución de Política Responsabilidades. Tipología de riesgos. Proceso de Gestión de Riesgos __________________________________________________________________________________________ Los respaldos de la fase de comunicación y consulta. Matriz de Riesgos del Servicio o entidad aplicando: Fase Análisis de Riesgo Clasificación en procesos transversales. plazos.05.Nº 3. Años 2011 a 2014 . 1° Semestre Entrega al 19. pero si mantenerse en el Servicio o entidad a cargo del Encargado o Coordinador de Riesgos u otro funcionario responsable.13 Reporte 2° Plan 2013 31. con medidas.13 1° Semestre Entrega al 19. Identificación de riesgos según tipología.13 2° Semestre Entrega al 27. no deben ser remitidos al Consejo de Auditoría. 8. Fase Evaluación de Riesgos Ranking por proceso y por subproceso.05.

Cuadro Nº 16 Descripción Determinación y aprobación de al menos 20 riesgos claves por el Jefe de Servicio y/o Comité de Riesgos. Monitoreo y Seguimiento Plan Tratamiento 1° Semestre 2013. ello implica que deberán repetirse los conceptos y no utilizarse celdas combinadas.05. deberá remitirse a este organismo a través de un correo electrónico creado al efecto. Años 2011 a 2014 . Matriz de Riesgos Abreviada: que es una parte del total y que contiene al menos 20 riesgos críticos del Servicio o entidad definidos por el Jefe de Servicio y/o Comité de Riesgos. .2013 27. Se remite semestralmente. Los demás cuadros deben remitirse en los mismos formatos y a través de los mismos medios utilizados en años anteriores. El primer semestre al 19 de julio 2013 y en el segundo semestre al 27 de diciembre de 2013.Formatos Exigidos .2013 (1°) 19.2013 (2°) 27.. para el cumplimiento del Objetivo Gubernamental N°3 .07. 8 entregas:   Política de riesgos y definición de roles y responsabilidades: 31 de mayo de 2013. Monitoreo y Seguimiento Plan Tratamiento 2° Semestre 2013. Plan Tratamiento de Riesgos. 8.C) Monitoreo Plan de Tratamiento Segundo Semestre 2013: 31 de mayo 2014. se realizarán. . Plan de Tratamiento de Riesgos 2013..A) Monitoreo Plan de Tratamiento Segundo Semestre 2012: 31 de mayo 2013. Se remite semestralmente.2013 31. El primer semestre al 19 de julio 2013 y en el segundo semestre al 27 de diciembre de 2013.07.2013 (2°) 27.2014 Cuadro Nº 17 La Matriz de Riesgos Abreviada del Servicio debe trabajarse en la planilla Excel entregada por el Consejo de Auditoría línea a línea. esto es: Formato Matriz de Riesgos Abreviada (parte de Matriz en Cuadro 11).05. Informe monitoreo del Plan de Tratamiento de Riesgos: . Monitoreo y Seguimiento Plan Tratamiento 2° Semestre 2012.2013.   8.1.Forma de Envío La Matriz de Riesgos del Servicio o entidad validada a través de la aplicación informática dispuesta por el Consejo de Auditoría. son aquellos que el documento contiene.2.Objetivo Gubernamental de Auditoría. Esta planilla una vez completa deberá validarse en la aplicación informática que para tal efecto disponga el Consejo de Auditoría. con al menos los 20 riesgos críticos identificados en Matriz de Riesgos Abreviada. u otra forma que el Consejo de Auditoría disponga. Plazo entrega (1°) 19.3.Nº 3. Proceso de Gestión de Riesgos __________________________________________________________________________________________ 8.B) Monitoreo Plan de Tratamiento Primer Semestre 2013: 27 de diciembre 2013.. _________________________________________________________________________________________ 9 .12.Plazos de Entrega de Informes y Productos Solicitados Como se observa del esquema precedente.Planillas u Otros Los formatos exigidos para envío de la información.12.2013 31.12.