DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS Ejemplos de Tipificacin de Riesgos

Tipos de Riesgos

Elementos que los caracteriza

Se relacionan con el uso no adecuado de los recursos entregados por el Estado a sus entidades -

Ejemplos de riesgos especficos

Mal uso de los recursos Desviacin de recursos Entrega de recursos a no beneficiarios Malversacin de fondos Uso de recursos con fines distintos a los aprobados Falta de disponibilidad presupuestaria Modificaciones presupuestarias por deficiente ejecucin Errores en el servicio de la deuda Servicio de la deuda muy alto Exceso de compromisos del Servicio que afecten su presupuesto Malas inversiones en mercado de capitales Deficiencias en la ejecucin presupuestaria del Servicio Falta de Suplementos del Ministerio de Hacienda o falta de oportunidad en los mismos. Deficiente comportamiento de usuarios (bajo compromiso, bajo cumplimiento, etc.) Problemas con los datos personales y privados de los clientes o proveedores Falta de responsabilidad social del Servicio o excesivamente gravosa Cambios culturales en los usuarios del Servicio (bajo inters, dificultades para aplicar polticas, etc.) Interrupcin de servicios Complejidades del Comercio Electrnico gravosas para el Servicio Complejidades y requisitos del Gobierno Electrnico Falta de cumplimiento de las obligaciones emanadas del Gobierno Electrnico Falta de confiabilidad de los datos externos Desactualizacin del Servicio debido a las tecnologas emergentes Falta de poder adquisitivo del Servicio frente a las nuevas tecnologas. Falta de planificacin en los cambios de gobierno Deficiencias en el conocimiento, comprensin y aplicacin de las polticas pblicas por parte del Servicio Nuevas regulaciones y tarifas dificultan el quehacer institucional o lo hacen ms gravoso Falta de cumplimiento normativo en las emisiones y residuos Dificultades con el uso de la energa Situaciones producidas por catstrofes naturales Falta de garantas de desarrollo sustentable Malas decisiones de impacto medioambiental

Financieros

Econmicos

Se relacionan con elementos financieros, comerciales y presupuestarios

Se relacionan con elementos de comunidad social, cultural, demogrfica, comportamientos sociales. Acerca de las tecnologas de la informacin como concepto y los cambios que producen a nivel global en el sector o el Servicio Aspectos claves para el desarrollo del Servicio, que se relaciona con decisiones superiores y poltica de Gobierno Aspectos que afectan la calidad del medioambiente, sean ocasionados por el hombre o la naturaleza -

Sociales

Tecnolgicos

Estratgicos

Medioambientales

Ing. Roco del Pilar Minotta Pea 1 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS Tipos de Riesgos Elementos que los caracteriza
Elementos que se relacionan con los distintos aspectos de los procesos que desarrolla el Servicio; como el diseo, la ejecucin, la supervisin y los clientes Aspectos de cumplimiento y de conformidad del actuar del Servicio con la normativa pblica general y especfica aplicable al Servicio Aspectos relacionados al personal del Servicio, desde su ingreso hasta su egreso del mismo. Aspectos relacionados con el perfil del Servicio y la reputacin social del mismo. Percepcin de la comunidad del actuar del Servicio Relacionado con los sistemas de informacin del Servicio, las tecnologas que posee y los datos que maneja. -

Ejemplos de riesgos especficos

Deficiencias en el diseo del proceso Ejecucin errnea de los procesos Ejecucin inoportuna de los procesos Falta de supervisin Falta de responsables de ejecutar la supervisin y monitoreo Falta de medidas adoptadas ante la supervisin, o se adoptan medidas que no son adecuadas Falta de cumplimiento o deficiencias en el mismo por parte de los clientes Falta de actualizacin por cambios en la legislacin Aumento de los requerimientos por cambio de legislacin Falta de cumplimiento de normas por deficiencias en las mismas (normas oscuras o contradictorias, vacos legales) Falta de capacidad del personal Personal sin capacitacin Actividad fraudulenta del personal Deficiencias en la seguridad e higiene y en el ambiente de trabajo del Servicio. Deficiencias en el cumplimiento de normas de personal (dotacin, escalafn, etc.) Escndalos Corrupcin Incumplimiento de las funciones del Servicio Disconformidad de los usuarios Mal uso de recursos Falta de integridad y confiabilidad de datos Falta de disponibilidad de datos y sistemas Deficiencias en la seleccin de sistemas Deficiencias en el desarrollo y despliegue de los sistemas Deficiencias en el mantenimiento Falta de interoperabilidad de los sistemas

Procesos

Legal

Personas

Imagen

Sistemas

Ing. Roco del Pilar Minotta Pea 2 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad del Riesgo y de la Exposicin al Riesgo

EVITAR o o o o o Prescindir de las actividades de una unidad de negocio, agencia regional o subsidiaria. Suspender la produccin de una lnea de servicio o producto. Terminar con las actividades de un programa, proyecto o sistema. Decidir no emprender nuevas iniciativas/actividades que podran dar lugar a riesgos excesivos. o o

COMPARTIR Adoptar seguros contra prdidas inesperadas significativas. Establecer acuerdos con otros Servicios o entidades pblicas o privadas. Protegerse contra los riesgos utilizando instrumentos del mercado de capital a largo plazo, cuando se tenga autorizacin para ello. Externalizar procesos de negocio riesgosos siempre que no correspondan al ejercicio mismo de sus facultades. Distribuir el riesgo mediante acuerdos contractuales con entidades que acten como clientes, proveedores u otros interesados. ACEPTAR o o o Provisionar las posibles prdidas. Confiar en las compensaciones naturales existentes dentro de una cartera. Aceptar el riesgo si se adapta al nivel mximo preestablecido.

REDUCIR o o o o o Diversificar las ofertas de servicios y productos. Establecer lmites en la ejecucin del presupuesto por regin o unidad. Establecer procesos de negocio eficaces. Aumentar la implicacin de la direccin en la toma de decisiones y el seguimiento. Reasignar los recursos presupuestarios entre las unidades operativas.

TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS 1.1.1.SEVERIDAD DEL RIESGO Cuadro N 1: Categoras de probabilidad:
Valor Descripcin Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que ste se presente. (90% a 100%). Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que ste se presente. Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que ste se presente.

Categora

Casi certeza
Probable

Moderado

Improbable

Muy improbable

Ing. Roco del Pilar Minotta Pea 3 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS 1.2.Cuadro N 2: Categoras de Impacto:

Categora

Valor

Descripcin Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen pblica de la institucin y del Gobierno. Su materializacin daara gravemente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que estos se logren. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto importante en el presupuesto y/o comprometen fuertemente la imagen pblica de la institucin y del Gobierno. Su materializacin daara significativamente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se desarrollen total o parcialmente en forma normal. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto moderado en el presupuesto y/o comprometen moderadamente la imagen pblica de la institucin y del Gobierno. Su materializacin causara un deterioro en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que ste se desarrolle parcialmente en forma normal. Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un impacto menor en el presupuesto y/o comprometen de forma menor la imagen pblica de la institucin y del Gobierno. Su materializacin causara un bajo dao en el desarrollo del proceso y no afectara el cumplimiento de los objetivos. Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de ninguna forma la imagen pblica de la institucin y del Gobierno. Su materializacin puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no afectara el cumplimiento de los objetivos.

Catastrficas

Mayores

Moderadas

Menores

Insignificantes

1.3.- Cuadro N 3: Nivel de Severidad del Riesgo

NIVEL PROBABILIDAD (P) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Casi Certeza (5) Probable (4) Probable (4) Probable (4) Probable (4) Probable (4) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Moderado (3) Improbable (2) Improbable (2) Improbable (2) Improbable (2) Improbable (2) muy improbable (1) NIVEL IMPACTO (I) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) Catastrficas (5) SEVERIDAD DEL RIESGO S = (P x I) EXTREMO ( 25) EXTREMO (20 ) EXTREMO (15 ) ALTO (10) ALTO (5) EXTREMO (20) EXTREMO (16 ) ALTO (12) ALTO (8) MODERADO (4) EXTREMO (15 ) EXTREMO (12 ) ALTO (9) MODERADO (6) BAJO (3) EXTREMO (10 ) ALTO (8) MODERADO (6) BAJO (4) BAJO (2) ALTO (5)

Ing. Roco del Pilar Minotta Pea 4 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS
NIVEL PROBABILIDAD (P) muy improbable (1) muy improbable (1) muy improbable (1) muy improbable (1) NIVEL IMPACTO (I) Mayores (4) Moderadas (3) Menores (2) Insignificantes (1) SEVERIDAD DEL RIESGO S = (P x I) ALTO (4) MODERADO (3) BAJO (2) BAJO (1)

En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es decir, el nivel de severidad. De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor, al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el cumplimiento de los objetivos del proceso examinado. Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD (P) muy improbable (1) Probable (4) Probable (4) Moderado (3) NIVEL IMPACTO (I) Mayores (4) Insignificantes (1) Moderadas (3) Mayores (4) SEVERIDAD DEL RIESGO S = (P x I) ALTO (4) MODERADO (4) ALTO (12) EXTREMO (12 )

Ing. Roco del Pilar Minotta Pea 5 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS 2.- CLASIFICACIN DEL CONTROL CLAVE 2.1.Diseo del control

Cuadro N 4: Oportunidad de la Aplicacin del Control (O):

Clasificacin Descripcin

Preventivo (Pv)

Controles claves que actan antes o al inicio de una actividad.

Correctivo (Cr)

Controles claves que actan durante el proceso y que permiten corregir las deficiencias.

Detectivo (Dt)

Controles claves que slo actan una vez que el proceso ha terminado.

Cuadro N 5: Periodicidad en la Aplicacin del Control (PD):

Clasificacin Descripcin

Permanente (Pe)

Controles claves aplicados durante todo el proceso, es decir, en cada operacin.

Peridico (Pd)

Controles claves aplicados en forma constante slo cuando ha transcurrido un perodo especfico de tiempo. Controles claves que se aplican slo en forma ocasional en un proceso.

Ocasional (Oc)

Cuadro N 6: Automatizacin en la Aplicacin del Control (A):

Clasificacin Descripcin Controles claves incorporados en el proceso, cuya aplicacin es completamente informatizada. Estn incorporados en los sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin es parcialmente desarrollada mediante sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin no considera uso de sistemas informatizados.

100% automatizado (At)

Semi automatizado (Sa)

Manual (Ma)

2.2.-

Cuadro N 7: Escala de Clasificacin de la Efectividad de los Controles

Ing. Roco del Pilar Minotta Pea 6 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS
CARACTERSTICAS DISEO CONTROL CLAVE/FUNDAMENTAL CLASIFICACIN PERIODICIDAD (PD) PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERMANENTE PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO PERIODICO OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL OCASIONAL NO DETERMINADO OPORTUNIDAD (O) PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO PREVENTIVO PREVENTIVO PREVENTIVO CORRECTIVO CORRECTIVO CORRECTIVO DETECTIVO DETECTIVO DETECTIVO NO DETERMINADO AUTOMATIZACIN (A) INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL INFORMATIZADO SEMI INFORMAT MANUAL NO DETERMINADO

CUMPLIMIENTO CON NORMAS O REQUISITOS DE CONTROL CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO CUMPLIMIENTO ADECUADO INSUFICIENTE

VALOR DEL DISEO DEL CONTROL

OPTIMO

BUENO

MAS QUE REGULAR

REGULAR

DEFICIENTE

INEXISTENTE

En el esquema anterior se seala que en primer lugar, se debe evaluar si el control mitigante asociado a un riesgo tiene un nivel de cumplimiento adecuado respecto de las normas o requisitos de control bsicos que en este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y metas. Esto implica realizar un anlisis integral de las referidas normas o requisitos (segregacin, autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado en particular. Producto de este anlisis, se puede dar que los referidos requisitos se cumplan satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida. Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante, ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos dinmicos. Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el esquema presentado, asignndole el valor respectivo segn la escala. En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente Ing. Roco del Pilar Minotta Pea 7 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS en el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del riesgo. Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control examinado de 1, de acuerdo con la escala contenida en el esquema presentado. 3.NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO

La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas previamente en este anexo. A continuacin califica: se presenta la escala de nivel de exposicin al riesgo que los

Cuadro N 8: Escala del Nivel de Exposicin al Riesgo

INDICADOR DE EXPOSICIN AL RIESGO VALOR NIVEL DE EXPOSICIN AL RIESGO

8,0 25,0

NO ACEPTABLE (Na)

NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL

4,0 7,99

MAYOR (Ma)

3,0 3,99

MEDIA (Md)

0,2 - 2,99

MENOR (Me)

Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha relacin se presenta en el cuadro N 9. Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel de efectividad slo de Regular. Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las Ing. Roco del Pilar Minotta Pea 8 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con severidad altas, pero con controles con nivel de efectividad ptimo o Bueno. Por ejemplo, en el esquema N 9 se observa que el nivel de exposicin al riesgo E1 = 10, (Nivel de exposicin al riesgo No Aceptable) est conformado por un nivel de severidad del riesgo, Extremo = 20 y un nivel de efectividad de control, Regular = 2. En el caso del nivel de exposicin E2 = 4 (Nivel de exposicin al riesgo Mayor), est conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de efectividad de control, Ms que Regular = 3. Finalmente, el nivel de exposicin E3 = 1 (Nivel de exposicin al riesgo Menor), est conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de efectividad de control, ptimo = 5.

Ing. Roco del Pilar Minotta Pea 9 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011

DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIN MODULO GESTIN INTEGRAL TEMA GESTIN DE RIESGOS Esquema N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que Determinan la Escala del Nivel de Exposicin al Riesgo

Ing. Roco del Pilar Minotta Pea 10 Material tomado de: Gobierno de Chile Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos. Gua Tcnica No. 53 marzo de 2011