You are on page 1of 14

METODOLOGÍA DE EVALUACIÓN DE RIESGOS PARA LA OFICINA DEL INSPECTOR GENERAL

PROPÓSITO

Las Normas Generales para el Funcionamiento de la Secretaría General requieren que el Secretario General establezca los procedimientos adecuados de auditoría interna para verificar el cumplimiento de las normas vigentes mediante el examen selectivo de transacciones oficiales y procedimientos operativos relacionados con los recursos que administra la Secretaría General. La Oficina del Inspector General es la dependencia responsable de llevar a cabo los procedimientos de auditoría interna. La Oficina del Inspector General (OIG) ayuda a la SG/OEA a cumplir sus objetivos introduciendo un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobernanza. Suministra, para los niveles gerenciales pertinentes, análisis, evaluaciones, recomendaciones y comentarios relevantes objetivos sobre las actividades que analiza. Las auditorías deben ser conducidas, supervisadas y controladas de acuerdo con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (ISPPIA) aprobadas por el Instituto de Auditores Internos, la autoridad profesional internacionalmente reconocida en el campo de las auditorías internas.

De acuerdo con el artículo 118 de las Normas Generales y de conformidad con el presupuesto aprobado, el Inspector General le debe presentar al Consejo Permanente, antes del fin de cada año, un plan de actividades de investigación y auditoría de los programas, servicios y actividades de la SG/OEA para el siguiente período de dos años y actualizarlo anualmente (Plan de Auditorías). El Consejo Permanente puede solicitar la inclusión de investigaciones o auditorías específicas tras revisar dicho plan.

Asimismo, la AG/RES. 2774 (XLIII-O/13) le solicitó a la Secretaría General que realizara esfuerzos con el fin de mejorar la transparencia y eficiencia de sus operaciones, para establecer sistemas adecuados de planificación, control y evaluación que les faciliten a los Estados Miembros hacer el seguimiento de la programación presupuestal y la supervisión fiscal.

Este documento presenta el modelo de análisis de riesgos empleado por la OIG para apoyar el proceso de planeación anual basado en riesgos de conformidad con las ISPPIA.

De acuerdo con las ISPPIA, el Inspector General debe establecer planes basados en riesgos para determinar las prioridades de las actividades de auditoría interna, de manera congruente con los objetivos y fines de la SG/OEA, y debe comunicar los planes y los requisitos o limitaciones de recursos, incluyendo los cambios temporales significativos, al Secretario General, el Consejo Permanente y la Junta de Auditores Externos para revisión, consideración o aprobación. El Inspector General debe tomar en cuenta el marco de gestión de riesgos de la SG/OEA, incluyendo el uso del nivel de disposición a asumir riesgos que la administración debe establecer para las distintas actividades o áreas de la Organización. De no existir un marco, el Inspector General debe aplicar su propio juicio de los riesgos tras consultar con el Secretario General, el Consejo Permanente y la Junta de Auditores Externos. Se debe considerar el uso de consultorías con base en su posibilidad de mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la Organización. El plan debe incluir las consultorías aceptadas.

El modelo reconoce y toma en cuenta la resolución AG/RES. 2774 (XLIII-O/13) y los documentos de la CAAP conexos relacionados con el fortalecimiento de la OEA a través de la modernización de sus operaciones. A partir de estos esfuerzos se producirán nuevos marcos. En el

pasado se desarrolló un marco como parte del Proyecto de Transformación y Modernización de la SAF (STAMP), que no se concluyó.

Sin embargo, la OIG utiliza su propio juicio sobre los riesgos porque la SG/OEA no ha establecido todavía los niveles de disposición a asumir riesgos. Cada año, la OIG revisa el universo de áreas auditables de la SG/OEA, evalúa el riesgo de cada una de ellas, identifica a los sujetos auditables para el año siguiente y estima los recursos necesarios para las actividades del año siguiente. Este proceso comprende la actualización del universo de auditoría, la referencia cruzada de los fines declarados de la Organización, los planes operativos y los riesgos y considera los resultados de las auditorías anteriores y las recomendaciones pendientes. La OIG también revisa anualmente la metodología de evaluación de riesgos (en ejecución) y el modelo para áreas que es posible mejorar.

1.

Obtener información de por las partes interesadas Evaluación de Riesgo Desarrollar un plan de auditoria en
Obtener
información
de por las
partes
interesadas
Evaluación
de Riesgo
Desarrollar
un plan de
auditoria en
conjunto
con la
gerencia
pasado se desarrolló un marco como parte del Proyecto de Transformación y Modernización de la SAF

Revisión y aprobación por SG PC y BEA

pasado se desarrolló un marco como parte del Proyecto de Transformación y Modernización de la SAF

Establecer el universo de auditoría y validar el modelo de evaluación de riesgos: En 2013, la OIG establecerá el universo de auditoría y el modelo de evaluación de riesgos. Después de 2013, la OIG actualizará el universo de auditoría cada año y actualizará periódicamente su modelo de evaluación de riesgos para asegurar la interacción y la congruencia con los fines y objetivos estratégicos de la SG/OEA, los procesos de gestión existentes para lograr los fines y objetivos y los riesgos que podrían afectar su logro.

2.

Obtener aportes de las partes interesadas: Se consideran los siguientes aportes:

Indicadores de alerta y tendencias de riesgo identificados mediante análisis de la

información recogida de encuestas enviadas al personal clave dentro de la SG/OEA. Aportes recogidos de entrevistas con las autoridades de la SG/OEA, de los

representantes de los Estados miembros, de los miembros de la Junta de Auditores Externos y de la administración de la SG/OEA. Resultados de auditorías recientes.

Recomendaciones pendientes.

Producir un análisis de los riesgos de la Organización utilizando el Software de

Gestión de Auditorías de la OIG (AMS). Conocimiento del personal de la OIG de los procesos y sistemas de la SG/OEA.

3

  • 3. Evaluar Riesgos: La OIG identificará, documentará y evaluará los riesgos inherentes y residuales utilizando el AMS y calificará cada uno con uno de los tres niveles de riesgo:

I - Crítico

II - Importante

III - Sugerido

  • 4. Determinar un plan de auditoría basado en riesgos: A partir de los pasos anteriores, la OIG identificará y priorizará las actividades por realizar.

  • 5. Revisión y aprobación del Secretario General: De acuerdo con las ISPPIA el plan de auditoría debe remitirse al Secretario General para su revisión y aprobación.

  • 6. Aprobación por el Consejo Permanente: El plan de auditoría se le remitirá al Consejo Permanente para su aprobación formal. Los cambios al plan de auditoría que pueden ocurrir durante el transcurso del año se deberán manejar como sigue:

Los cambios al plan deben ser autorizados por el Inspector General.

El Inspector General deberá comunicar oportunamente los cambios significativos al Secretario General, el Consejo Permanente y la Junta de Auditorías Externas.

La OIG desempeña un papel importante en la supervisión del riesgo. Sin embargo, no es el principal responsable de su implementación o mantenimiento. La OIG apoya a la administración y al Consejo Permanente y a la CAAP en este proceso mediante:

Monitoreo

Evaluación

Análisis

Informes

Recomendación de mejoras.

De acuerdo con las mejores prácticas establecidas por el Instituto de Auditores Internos, la OIG puede ampliar su participación en el proceso de evaluación de riesgos, siempre que se apliquen ciertas condiciones, a saber:

Debe quedar claro que la responsabilidad de la gestión de riesgos sigue recayendo en la administración. La naturaleza de las responsabilidades del auditor interno debe documentarse en la carta de auditoría interna y tener la aprobación del comité de auditoría. La auditoría interna no debe manejar ninguno de los riesgos a nombre de la administración. La auditoría interna debe proveer asesoría, desafíos y apoyo en la toma de decisiones de la administración, y no tomar las decisiones sobre gestión de riesgos. La auditoría interna tampoco puede aportar aseguramiento objetivo sobre ninguna porción del marco de gestión de riesgos global de la institución bajo su

4

responsabilidad. Tal aseguramiento debe ser provisto por terceros adecuadamente calificados. Cualquier trabajo fuera de las actividades de aseguramiento debe ser reconocido como consultoría y deben obedecerse las normas de implementación relacionadas con este tipo de tareas.

4  responsabilidad. Tal aseguramiento debe ser provisto por terceros adecuadamente calificados. Cualquier trabajo fuera de

Universo de auditoría

El universo de auditoría es una representación exhaustiva de la SG/OEA y de sus procesos operativos, unidades institucionales y ubicaciones que en conjunto integran la cadena de valor de la institución y están cubiertos por el mandato de la OIG. El universo de auditoría se organiza considerando las “Organizaciones de la SG/OEA” y las “Familias de segmentos.”

Organizaciones de la SG/OEA

Las organizaciones de la SG/OEA son las áreas de la Organización de los Estados Americanos (es decir, el Fondo Regular, Recuperación de Costos Indirectos (RCI), el FEMCIDI y los Fondos Específicos y de Servicio de la OEA). El orden jerárquico, la organización y la responsabilidad de la SG/OEA se establecen en la Orden Ejecutiva 08-01 (con sus revisiones) y en la Orden Ejecutiva 11-01.

Familias de segmentos

Las familias de segmentos son macroprocesos resultantes del agrupamiento lógico de los segmentos de auditoría:

Gobernanza y entorno de control

Gastos

5

Ciclo de vida de los proyectos

Capital humano

Gestión financiera

Tecnología de información

Segmentos: Los segmentos representan los procesos operativos, unidades de organizaciones o ubicaciones de la SG/OEA. El universo de auditoría se examinará en su totalidad y se documentará cada año utilizando el AMS de la OIG como parte de la evaluación de riesgos y el proceso de planeación anual. La lista completa de entidades, familias y segmentos estará disponible a través del AMS de la OIG.

Riesgos y controles

El modelo incluye referencias a riesgos y controles conexos. Los riesgos se refieren a acontecimientos que pueden incidir en el logro de los fines y objetivos estratégicos de la SG/OEA. El modelo considera dos tipos de riesgos: riesgos inherentes y riesgos residuales. En general, los controles también forman parte del modelo. Los controles generalmente corresponden a los riesgos conexos. En general se identifican y evalúan según su eficacia y eficiencia. Gestión de riesgos: En el manejo de los riesgos, la gestión de la SG/OEA puede utilizar distintas acciones de gestión de riesgos, que incluyen mitigación del riesgo, transferencia del riesgo y aceptación del riesgo. La SG/OEA está en proceso de desarrollar un marco de gestión de riesgos como parte de la iniciativa de modernización.

ESTRUCTURA DE GOBIERNO DE LA OEA Roles y Responsabilidades Código de Ética Modelo de Soporte Manejo
ESTRUCTURA DE GOBIERNO
DE LA OEA
Roles y Responsabilidades
Código de Ética
Modelo de Soporte
Manejo de Riesgos
Administrativo
Manejo de Recursos Estándar y Sistemas

Riesgos inherentes

6

Los riesgos inherentes son los que plantearía una actividad si no se dispone de controles u otros factores mitigantes (el riesgo bruto, o el riesgo previo a los controles). Los riesgos inherentes se determinan por la posibilidad y el impacto de la ocurrencia de un acontecimiento, independientemente de los controles que puedan existir para abordarlo. También se conoce como riesgo no mitigado, en contraposición del riesgo mitigado (después de considerar la eficacia de los controles).

Controles

La OIG también identifica y evalúa los controles relacionados con cada riesgo inherente. La eficacia y la eficiencia de los controles se determinan por la posibilidad y el impacto de la ocurrencia de la actividad mitigante.

Existen controles en dos niveles distintos dentro de una organización: a nivel institucional (controles para toda la organización) que afecta el entorno de control y tiene un efecto generalizado sobre la manera en que se implementan y aplican los demás controles (por ejemplo, las políticas para la contratación de los empleados o los programas contra el fraude y la corrupción) y a nivel de actividades, que se refiere a las acciones emprendidas para lograr un objetivo específico dentro de un proceso de transacción (por ejemplo, cómo asegurar que los pagos a terceros sean válidos para los servicios prestados, las reconciliaciones bancarias, etc.)

Riesgos residuales

Los riesgos residuales son los riesgos restantes después de considerar y evaluar la eficacia y la eficiencia de los controles. Son los riesgos remanentes una vez que se toman en cuenta los controles (el riesgo neto, o el riesgo después de los controles). De manera similar a los riesgos inherentes, los riesgos residuales se expresan en términos de su impacto y posibilidad de ocurrencia, tras considerar las acciones de gestión de riesgos existentes (la reducción de los riesgos a través de controles mitigantes o de la transferencia del riesgo). Las acciones de aceptación del riesgo por la administración no se consideran en la evaluación de los riesgos residuales. Para los fines de la evaluación de riesgos, la evaluación de los riesgos residuales debe mantenerse sin cambios y con la aceptación de la administración.

Evaluaciones de riesgos y controles

Posibilidad e impacto: Los riesgos inherentes, los riesgos residuales y los controles se evalúan con base en dos variables: posibilidad e impacto. Las combinaciones posibles de posibilidad e impacto determinan uno de tres niveles predefinidos:

I - Crítico

II - Importante

III - Sugerido

La posible combinación determina uno de tres niveles predefinidos de evaluación de la eficacia y eficiencia de los controles:

7

I - Ineficaz

II - Parcialmente eficaz

III - Eficaz

Matriz de los niveles de riesgo

El Gráfico I especifica las combinaciones posibles de posibilidad e impacto.

8

Gráfico I: Lineamientos para la evaluación de riesgos - Matriz de posibilidad e impacto

- Muy alto (casi seguro; ya es un hecho)

5

Grado III - Sugerido

Grado II - Importante

Grado II - Importante

Grado I - Crítico

Grado I - Crítico

- Bajo (raro) no es probable que ocurra

4

Grado III - Sugerido

Grado III - Sugerido

Grado II - Importante

Grado I - Crítico

Grado I - Crítico

- Medio (posible) muy probable

3

Grado III - Sugerido

Grado III - Sugerido

Grado II - Importante

Grado II - Importante

Grado I - Crítico

2

- Medio bajo

         

(improbable) cierta probabilidad de que ocurra

Grado III - Sugerido

Grado III - Sugerido

Grado III - Sugerido

Grado II - Importante

Grado II - Importante

- Bajo (raro) no es probable que ocurra

1

Grado III - Sugerido

Grado III - Sugerido

Grado III - Sugerido

Grado III - Sugerido

Grado II - Importante

Posibilidad residual

1 - Bajo

insignificante)

2 - Medio bajo

3 - Medio

4 - Alto

5 - Muy alto

Impacto residual

(impacto

(impacto mínimo)

(impacto moderado)

(impacto importante)

(impacto grave)

 

Alcance:

● Impacto en un departamento u oficina nacional

● Impacto en un departamento

● Impacto departamental o en toda la Secretaría

● Impacto en toda la Organización

● Impacto en toda la Organización

Consecuencias:

● Insignificantes – la consecuencia más baja

● Mínimas – amenazarían un elemento de una función

● Moderadas – requieren ajustes significativos en una función global

● Importantes – amenazarían fines u objetivos funcionales

● Graves –impedirían el logro de fines u objetivos funcionales

Importancia

● Importancia

● Importancia

● Importancia

● Importancia financiera

● Importancia

financiera

financiera

financiera mínima

financiera moderada

importante

financiera grave

insignificante

Importancia

● Solamente unas

● Un número mínimo

● Un número

● Un número importante

● Todas o casi todas

operativa

cuantas transacciones

de transacciones de la Organización

moderado de transacciones de la Organización

de transacciones de la Organización

las transacciones de la Organización

Importancia para los recursos informáticos

● Un servidor, computadora o proceso informático no crítico

● Compromete o afecta negativamente un recurso informático, con consecuencias que no necesariamente se extienden a nivel departamental

● Compromete o afecta negativamente un recurso informático importante crítico, pero con consecuencias departamentales

● Compromete recursos informáticos que apoyan uno o varios procesos o funciones operativos de la Organización, con consecuencias en toda la Organización

● Compromete toda la infraestructura informática de recursos de TI que apoyan uno o varios procesos operativos o funciones de apoyo de la Organización, con consecuencias en toda la Organización

9

Descripciones

● Carencias en los

● Compromete

● Compromete un

● Compromete uno o

● Compromete uno o

adicionales:

procesos que provocan falta de eficiencias

procesos o funciones de apoyo específicos de la OEA, con consecuencias que no necesariamente se extienden a nivel departamental

proceso o función de apoyo de la OEA con consecuencias departamentales

más procesos operativos o funciones de apoyo de la OEA con consecuencias en toda la Organización

más procesos operativos o funciones de apoyo de la OEA con consecuencias en toda la Organización

 

Ejemplos

● Eliminar

● Redundancias en

● Planes

● Separación de

● Riesgos para la

redundancias de

sistemas y procesos

departamentales

responsabilidades en toda

reputación de alto

controles

inadecuados

la Organización – falta de separación de responsabilidades, políticas, procedimientos o control, con exposiciones significativas a pérdidas y riesgos para la reputación de la Organización

perfil – Cero tolerancia al fraude y la corrupción

● Aumentar las eficiencias

● Oportunidades de mejoras mínimas

● Incumplimiento de políticas o procedimientos asociados con riesgos inherentes medios

● Asuntos tácticos y estratégicos

● Deficiencias graves en la realización o supervisión de actividades operativas

 

● Deficiencias en la realización o supervisión de actividades operativas

● Deficiencias significativas en la realización o supervisión de actividades operativas

● Deficiencias importantes en la realización o supervisión de actividades operativas

● Documentación o mejora de las políticas y procedimientos

● Derechos de acceso del personal para crear, modificar y aprobar transacciones de alto valor procesadas en sistemas computarizados o de otros tipos, que generan exposición objetiva a riesgos o fraude, colusión, malversación u otras irregularidades

● Control operativo crítico inexistente o no implementado

● Incumplimiento de políticas o procedimientos asociados con riesgos inherentes altos

● Oportunidades de mejoras importantes

10

Auditorías y evaluación de segmentos de abajo arriba

Los riesgos inherentes, los riesgos residuales y también los controles se identifican y evalúan consistentemente en distintos niveles del universo de auditoría. Desde una perspectiva de abajo arriba es posible identificar y evaluar individualmente los riesgos y controles dentro de las auditorías específicas y posteriormente se pueden subir al segmento superior que le corresponde a la auditoría. Los riesgos y controles consolidados dentro de cada segmento se utilizan para evaluar los riesgos y controles de manera conjunta por entidad, familia y segmento.

Vínculo con la estrategia institucional

El modelo también considera los fines y objetivos globales de la SG/OEA, tal como se representan en la Visión para las Américas compartida, http://oasconnect/Default.aspx?tabid=66. La estrategia institucional y sus fines y objetivos globales se consideran en el modelo de las siguientes maneras:

En el nivel de los segmentos, vinculando el universo de auditoría con los fines y objetivos estratégicos. La OIG revisará periódicamente el nivel de contribución de cada segmento a uno o más de los cuatro pilares de la SG/OEA. A nivel de los riesgos y controles individuales, identificando y evaluando cada riesgo o control individual, considerando el contexto en que existen estos riesgos y controles individuales. El contexto estratégico de cada riesgo o control individual está implícito en la lógica aplicada al evaluar su posibilidad e impacto.

Vínculo con la gestión de riesgos de la SG/OEA

De acuerdo con la interpretación del Instituto de Auditores Internos de las ISPPIA, el Inspector General es responsable de desarrollar un plan basado en riesgos que tome en cuenta el marco de gestión de riesgos de la Organización, incluyendo sus niveles de tolerancia al riesgo establecidos por la administración para las distintas actividades o partes de la Organización. De no existir un marco, el Inspector General debe aplicar su propio juicio de los riesgos tras consultar con el Secretario General y el Consejo Permanente.

El modelo reconoce y toma en cuenta el marco de gestión de riesgos en proceso que está desarrollando la Organización. No obstante, el Inspector General aplica su propio juicio con respecto a los riesgos porque la SG/OEA no ha establecido todavía los niveles de disposición a asumir riesgos. El modelo considerará el marco de gestión de riesgos, una vez completado, para identificar y evaluar los riesgos. Cada riesgo específico se categoriza como sigue:

Estratégico y de desarrollo

Operativo

De informes (es decir, presupuesto, financiero)

De cumplimiento

Evaluación de riesgos de la SG/OEA

11

El modelo permite evaluaciones consolidadas por familias de segmentos y por nivel de grupos de la SG/OEA con base en los resultados a nivel de los segmentos de la evaluación de los riesgos inherentes, los riesgos residuales y los controles.

Se establece un nivel de riesgo para cada segmento utilizando el promedio de todos los riesgos relevantes. Existen tres niveles de riesgo predefinidos (alto, medio y bajo). A partir de esa base, la OIG formula el plan de auditoría basado en riesgos identificando y priorizando las tareas de auditoría que se llevarán a cabo.

En el Gráfico II se muestran las “familias de segmentos de la SG/OEA”.

Gobernanza y

entorno de

Organización y

estructura

 

Planeación

estratégica y

 

Gestión de riesgos

 

Ética e integridad

 

Servicios de secretaría

control

 

desarrollo

   
 

Gestión del

   

Empresas y personas

   

Gestión de

 

Gastos

presupuesto

 

Adquisiciones

por contrato

viajes

 

Cuentas por pagar

Ciclo de vida de los

       

Evaluación

 

proyectos

Diseño de

Aprobación del

 

Supervisión

 

Supervisión

 

del proyecto

 

Gestión del

(aprobación,

proyecto

 

proyecto

 

técnica

fiduciaria

y lecciones

conocimiento

ejecución y evaluación)

     

aprendidas

 

Capital

humano

Administració

n de

compensació

n y

Cumplimient o de reglamentos y normas del

Compras -

contratista

s

Administraci

ón de

nómina,

Desarrollo

profesional

y

desempeño

Selección,

reclutamient

o y

contratación

Terminació

n de

empleados

Administració

n de

pensiones

beneficios

 

personal

Gestión

Financiamiento de

       

Cuotas y centras por

   

financiera

donantes

 

Gestión de efectivo

Inversiones

cobrar

Informes financieros

Tecnología de

   

Administración de infraestructura

 

información

Controles de aplicación

Controles de cómputo generales

12

Cobertura de las auditorías y criterios de prioridad

La cobertura de las auditorías y la prioridad para cada organismo de la SG/OEA se establece sobre las siguientes bases:

Los segmentos con riesgos residuales altos tienen mayor prioridad y se deben auditar dentro de un plazo de un año. Los segmentos con riesgos residuales medios deben ser cubiertos por lo menos una vez dentro de un período de tres años. Pueden seleccionarse tareas de auditoría para el año siguiente para segmentos con riesgos residuales medios y bajos, con la justificación debida. También pueden incorporarse al plan las solicitudes de la administración, a través de un acuerdo sobre la necesidad de aseguramiento adicional (auditoría) y servicios de asesoría de auditoría. Los objetivos, alcance y calendarios detallados de las actividades se determinan durante la fase de planeación y se formalizan en una carta de actividades.

PROCEDIMIENTOS DE EVALUACIÓN DE RIESGOS

Enfoque global

El enfoque general de los procedimientos de evaluación de riesgos incluye:

Evaluación continua en lugar de una actividad en un solo momento (mensual, trimestral, semestral, en lugar de anual solamente).

Delegación y participación de todo el personal de la OIG en sus respectivas funciones.

Evaluación, revisión y aprobación de los procedimientos.

Prioridades basadas en riesgos, frecuencia y control de calidad.

Los resultados de los informes de actividades expedidos.

Los insumos clave para las evaluaciones de riesgos son:

 

o

o

El seguimiento mensual/trimestral de las recomendaciones pendientes.

o

La implementación de cambios operativos y de procesos.

Evaluación, revisión y aprobación del calendario y la frecuencia

I - Los riesgos críticos (rojo) deben ser revisados y aprobados por lo menos trimestralmente.

II

- Los riesgos importantes (naranja) deben ser revisados y aprobados por lo menos

semestralmente.

 

III

- Los riesgos sugeridos (amarillo) deben ser revisados y

aprobados por lo menos

 

anualmente.

13

Funciones y responsabilidades

Inspector General

 

o

o

Revisar y aprobar todos los riesgos por lo menos anualmente.

Énfasis particular en la aprobación de los I - riesgos críticos trimestralmente y los II - riesgos importantes por lo menos semestralmente.

Personal de la OIG

 
 

o

Evaluar todos los riesgos (dentro de la delegación del Inspector General)

o

Revisar y aprobar todos los riesgos por lo menos semestralmente.

Estrategia y calidad de la OIG

o

Producir informes de excepciones sobre riesgos con retraso.

323440169.doc