Mesicic5 Mex Ane 64 PDF

Gua de Autoevaluacin de
Riesgos en el Sector Pblico
AUDITORA ESPECIAL DE TECNOLOGAS DE INFORMACIN,

COMUNICACIONES Y CONTROL
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
ndice
Introduccin 5
A quin est dirigida la Gua ........................................................................................6
Tipologa de riesgos .................................................................................................7
Proceso General de Administracin de Riesgos ....................................................7
Objetivo ...................................................................................................................10
Alcance ...................................................................................................................10
1. Sistemas de Control Interno ...............................................................................10
2. Componentes del marco de control interno COSO 2013 .................................11

2.1 Ambiente de control ......................................................................... 12
2.2 Evaluacin de riesgos ....................................................................... 12
2.3 Actividades de Control .................................................................... 13
2.4 Informacin y Comunicacin ........................................................... 13
2.5 Supervisin ........................................................................................ 13
3. Metodologa de Administracin de Riesgos .....................................................14

3.1 Principios bsicos para una adecuada Administracin de Riesgos. 14
3.2 Identificar objetivos estratgicos ....................................................... 16
3.3 Contexto en el cual se materializan los riesgos ................................ 17
3.4 Identificacin de riesgos.....................................................................18
3.4.1 Tcnicas para la identificacin de riesgos .......................... 18
3.4.2 Clasificacin de riesgos ...................................................... 19
3.4.3 Desarrollo de talleres de trabajo para la identificacin
de riesgos ............................................................................ 20
3.5 Evaluacin de riesgos ....................................................................... 21
3.6 Priorizacin de los riesgos .................................................................. 23
3.7 Evaluacin de controles ................................................................... 24
3.7.1 Establecimiento de controles para el xito ......................... 25
3.8 Poltica de respuesta al riesgo ...........................................................26
3.8.1 Respuesta al riesgo residual ................................................ 27
3.9 Informe al titular de la entidad sobre los riesgos que se detectaron 28
3.10 Matriz general de riesgos ................................................................ 28
3.11 Mapa de riesgos ............................................................................. 30
3.12 Nivel de toleranica al riesgo y apetito de riesgo ............................31
3.12.1 Cmo debe establecerse el nivel de tolerancia a
los riesgos .......................................................................... 32
3
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
4. Plan de Continuidad del Negocio (PCN) ............................................................ 32

4.1 Resiliencia ......................................................................................... 32
4.2 Ventajas del PCN .............................................................................. 33
4.3 Contenido del PCN ........................................................................... 33
4.4 Metodologa del PCN ....................................................................... 33
4.5 PCN Y Sistema de Gestin de Sguridad de la Informacin (SGSI) ..... 34
4.5.1 ISO 27001 ............................................................................ 34
4.5.2 Estrategia de administracin de riesgos (nivel de madurez) 34
Anexo 1. Glosario ................................................................................................. 35
4
Introduccin
A lo largo de 2013 y 2014, la Auditora Superior de obligaciones de administracin de riesgos en caso de
la Federacin (ASF) trabaj con las instituciones del que se encuentren normadas en dicha esfera. A la vez
sector pblico federal con objeto de contribuir al ser una herramienta til para el establecimiento de
fortalecimiento de sus sistemas de control interno y tal actividad en las organizaciones que, aun sin estar
de sus programas de promocin de la integridad. Para sujetas a una regulacin especfica, se ven impelidas a
ello, utiliz un enfoque basado en la aplicacin de gestionar sus riesgos como parte de una modernizacin
evaluaciones especializadas y la difusin de mejores y mejora continuas.
prcticas en la materia.
Por ello, para la elaboracin de esta Gua no slo
La ASF guarda la conviccin de que la mejora del se analiz la legislacin federal y local respectiva, a
control interno es uno de los ejes indispensables para efecto de hacerla compatible; tambin se tomaron
elevar la eficiencia y economa de la gestin pblica, en consideracin las mejores prcticas internacionales
as como un elemento imprescindible para reducir en la materia, como son las Normas de las Entidades
efectivamente la posibilidad de ocurrencia de actos Fiscalizadoras Superiores publicadas por la INTOSAI, las
corruptos desde un enfoque preventivo, disciplinado normas del Instituto Internacional de Auditores Internos
y sistemtico. y los lineamientos establecidos en la materia por el
Modelo COSO 2013, entre otras reconocidas fuentes
En las cerca de 400 reuniones de facilitacin relativas internacionales.
al control interno y la salvaguarda de la integridad que
la ASF sostuvo en 2014 con ms de 190 instituciones Es importante observar que, adems de preparar esta
federales, se hizo patente la necesidad que existe Gua, la ASF ha desarrollado una herramienta tecnolgica
en un nmero significativo de ellas de contar con automatizada, el Sistema Automatizado de Administracin
herramientas metodolgicas especializadas, las cuales de Riesgos, la cual tambin pone a disposicin de todas
les permitan evaluar los riesgos que enfrentan en el las instituciones gubernamentales el SNF.
logro de sus objetivos.
Dicha herramienta tiene como propsito que todo
Como respuesta a esa necesidad, expresada de ente del sector pblico est en posibilidad de realizar el
manera recurrente por mltiples instituciones, y como registro de los riesgos que enfrenta, evaluarlos conforme
una contribucin al Sistema Nacional de Fiscalizacin a su impacto y probabilidad de ocurrencia, asignar
(SNF), la ASF presenta esta Gua de Autoevaluacin de responsables especficos, obtener los mapas respectivos
Riesgos en el Sector Pblico, la cual est concebida y, en breve, hacer de la administracin de riesgos una
para ser utilizada por toda institucin de gobierno que realidad funcional en la operacin cotidiana de la
as lo decida, independientemente del Poder en que se institucin.
encuentre y el orden de gobierno al que pertenezca.
Debe sealarse que la legislacin vigente en materia de Desde la perspectiva de la fiscalizacin superior, muchas
administracin de riesgos no se encuentra homologada de las dificultades que enfrenta la gestin pblica y
a nivel nacional; incluso en el orden federal, los distintos que han sido un factor de erosin de la confianza en
Poderes cuentan con marcos regulatorios distintos y, la capacidad del Estado para resolver las demandas
en algunos casos, inexistentes. ciudadanas ms urgentes pueden ser abordadas
desde enfoques tcnicos que han demostrado su
Por esa razn, la presente Gua ha sido preparada utilidad y eficacia en donde se han implantado.
tomando en consideracin el marco normativo que
s se encuentra presente y es por tanto obligatorio Para la ASF, tanto las reuniones de facilitacin sostenidas,
para determinadas instituciones, al tiempo que es un como la preparacin de diversas guas especializadas
documento de orientacin para aquellas instituciones y la elaboracin de la herramienta automatizada para
que no cuentan con normas especficas en relacin la administracin de riesgos, representan una serie de
con la gestin de riesgos. contribuciones tcnicas y especializadas para la mejora
general de la gestin pblica, al tiempo que se traducen
En otras palabras, la puesta en prctica de esta Gua en un ahorro sustantivo de recursos econmicos para
permitir a las instituciones cumplir cabalmente con sus las instituciones que decidan implementarlas.
5
Con la publicacin de esta Gua, el rgano de gubernamental, y de que contine brindando beneficios
fiscalizacin superior federal respalda su compromiso de a sus miembros y a las instituciones del pas para trabajar
seguir consolidando el Sistema Nacional de Fiscalizacin con mayores niveles de control interno, integridad,
como una pieza clave para fortalecer el desempeo transparencia y rendicin de cuentas.
A quin est dirigida la Gua

La Gua de Autoevaluacin de Riesgos en el Sector un nivel bsico de madurez respecto de la implantacin
Pblico est estructurada para que pueda ser aplicada y funcionamiento de su sistema de control interno e
por todo tipo de entidades gubernamentales de integridad. De igual modo, se ha hecho manifiesta
cualquier Poder de la Unin y orden de gobierno en algunas instituciones la carencia de herramientas
al que pertenezcan, sin contravenir su mandato ni tcnicas de aplicacin prctica para llevar a cabo
caractersticas particulares, ya que contiene los principios una adecuada administracin de riesgos.
fundamentales para una administracin de riesgos
efectiva y est elaborada con base en la legislacin Con base en lo anterior y otros factores detectados
nacional aplicable, as como en las mejores prcticas en ambos Estudios, surgi la necesidad de disear
internacionales en esta materia. y poner a disposicin del sector pblico, en sus tres
rdenes de gobierno, este instrumento metodolgico,
Los resultados del Estudio General sobre la Situacin con la finalidad de reforzar y enfocar los esfuerzos
que guarda el Sistema de Control Interno en el Sector de fortalecimiento de los sistemas institucionales de
Pblico Federal (1172) y del Estudio Tcnico para la control interno. En particular, el presente documento
Promocin de la Cultura de Integridad en el Sector est orientado en identificar, evaluar, analizar,
Pblico (1173), los cuales fueron publicados en el responder, controlar, supervisar y comunicar los riesgos
Informe del Resultado de la Fiscalizacin Superior de que en caso de materializarse puedan provocar
la Cuenta Pblica 2012, reflejan que gran parte de las efectos negativos respecto del logro de los objetivos
instituciones estudiadas (ver cuadro 1), se encuentran en y metas institucionales.
Tienes Procedimiento Evaluacin de

Programa/Plan Identificados para Metodologa para Riesgos en Procesos
Nmero de Estratgico los Riesgos Administracin de la Administracin Susceptibles
Instituciones Institucionales Riesgos de Riesgos a Actos de
(APF) corrupcin
Si No Si No Si No Si No Si No
279 149 130 161 118 66 213 110 169 4 275
% 53% 47% 58% 42% 24% 76% 39% 61% 1% 99%
Cuadro 1. Elaboracin de la ASF con informacin del Estudio 1172
6
Tipologa de riesgos
Existen diferentes tipos de riesgos, los cuales se clasifican de acuerdo con su naturaleza, como se muestra en
el cuadro siguiente:
Tipologa de Riesgos
Discrecionales No discrecionales
Resultan de la toma de una posicin de riesgo Resultan de la operacin de la institucin
Presupuestal Estratgico o sustantivo
Financiero Reputacional o de imagen
Crdito Integridad
Liquidez Operativo
Tecnolgico
Legal
Administrativo
Servicios
Seguridad
Obra pblica
Recursos Humanos
Cuadro 2. Elaborado por la ASF
Proceso General de Administracin

de Riesgos
Acorde con el mandato, caractersticas y funcionamiento un componente esencial para implementar la Gua de
de los entes gubernamentales, la Gua se enfoca a los Autoevaluacin de Riesgos en el Sector Pblico. El SAAR
riesgos no discrecionales, fundamentalmente al riesgo se desarroll con la finalidad de que la administracin
operativo, y se considera como una herramienta de de riesgos pueda concebirse y llevarse a cabo de
aplicacin general una forma prctica y lgica en instituciones de los tres
rdenes de Gobierno y Poderes de la Unin.
De forma complementaria, se dise el Sistema
Automatizado de Administracin de Riegos en el Sector La figura 1 muestra las principales etapas propuestas
Pblico (SAAR) para que las instituciones administren de una forma
lgica los riesgos a los que se enfrentan:
El SAAR es una herramienta tecnolgica automatizada
para gestionar los riesgos institucionales, y es por tanto
7
Establecer de manera precisa los objetivos estratgicos conforme a la normatividad

aplicable y en la Administracin Pblica Federal (APF) con lo dispuesto en el Plan
Objetivos Nacional de Desarrollo (PND) y programa sectorial correspondiente.
estratgicos Establecer objetivos especficos en cada unidad administrativa y la misin y visin
institucional, as como a los principios de integridad que la rigen.
Establecer objetivos sobre programas de administracin de riesgos.
Identificar los procesos sustantivos, adjetivos y estratgicos, as como los riesgos

Identificar potenciales que amenazan el logro de los objetivos institucionales.
Identificar posibles eventos en el entorno externo que podran influir en el logro de los
objetivos, por ejemplo, cambios en el marco legal, en la economa, en la poltica, etctera).
Valorar el posible impacto y probabilidad que representa la materializacin de los

Evaluar y riesgos identificados en perjuicio del logro de los objetivos institucionales.
analizar Priorizar los riesgos en trminos de mayor a menor impacto y frecuencia para definir
las acciones a corto y mediano plazo para su mitigacin.
Determinar un plan de accin para mitigar, principalmente, los riesgos evaluados con
Responder alto impacto y probabilidad de ocurrencia (analizar diferentes opciones para determinar
la ms adecuada en funcin de las impliaciones, y caractersticas institucionales).
Definir fechas de implementacin del plan y sus responsables.
Segumiento del avance de las actividades establecidas en el plan de accin y

Controlar, determinar la efectividad en la gestin del riesgo.
monitorear y Establecer, eliminar o actualizar controles respecto de su efectividad en la mitigacin
comunicar de los riesgos .
Informar al rgano de gobierno, titular y otras instancias de control y vigilancia.
Figura 1. Elaborada por la ASF
La administracin de riesgos, ayuda a los mandos sus objetivos y estar preparados para enfrentar cualquier
superiores, medios y operativos de las instituciones del contingencia.
Sector Pblico a tener control sobre aquellos eventos
que, en caso de materializarse, puedan afectar el Cabe sealar, que esta Gua apunta a fortalecer los
desarrollo y funcionamiento de los procesos para sistemas de control interno, mediante la generacin
alcanzar los objetivos que persigue la institucin. de una visin sistmica sobre la adiministracin
y autoevaluacin de riesgos; asimismo, a un
Dada la pluralidad y particularidad de cada una direccionamiento estratgico que establezca
de las entidades del Sector Pblico, por ejemplo, una orientacin precisa y planeada de la gestin,
respecto de las funciones que desempean, estructura proporcionando bases para el desempeo adecuado
organizacional, manejo presupuestario, contacto de actividades de control.
ciudadano y compromiso con la sociedad, es necesario
identificar las reas, procesos o actividades ms La administracin de riesgos se lleva a cabo mediante
vulnerables a la ocurrencia de riesgos que atenten el diseo de un programa destinado para tal objetivo,
contra el logro de sus objetivos. el cual, debe contener los procedimientos y formas
de identificar, evaluar y analizar, responder, controlar,
Las instituciones del Sector Pblico, deben contar con un supervisar y comunicar riesgos institucionales.
proceso de adiministracin de riesgos tendiente a darles
un manejo adecuado, con el fin de lograr en trminos La Auditora Superior de la Federacin (ASF) y los dems
de eficiencia, eficacia y economa el cumplimiento de miembros del Sistema Nacional de Fiscalizacin
8
tenemos la firme conviccin de que el proceso los bienes pblicos contra el desperdicio y uso
de fiscalizacin, rendicin de cuentas y combate inadecuado.
a la corrupcin se fortalecen en la medida en que
los programas de gestin de riesgos contribuyen Para implantar un programa de administracin exitoso
favorablemente al cumplimiento eficaz y eficiente se necesita incluir conceptos e ideas integradas
de los objetivos y metas de los planes, programas en el programa, e involucrar a todos los niveles
y proyectos relevantes; propician la generacin de de la institucin, con el objetivo de identificar los
informacin confiable y oportuna; tranparentan la riesgos que podrian afectar potencialemente sus
administracin y control de los recursos pblicos; logros y proporcionar una seguridad razonable el
facilitan que las atribuciones se ejerzan dentro del cumplimiento de los objetivos estratgicos.
marco legal y normativo aplicable, y protegen
Resultados Objetivos
Controles a
Revisiones y
nivel entidad
validaciones
(generales)
Identificacin,
Diseo de evaluacin,
controles por priorizacin y
proceso mitigacin de
riesgos
Desempeo del Metas

programa
Figura 2. Fuente: Elaborada por la ASF
El cuadro anterior muestra la interaccin del proceso comprensin del entorno institucional tanto interno
de la administracin de riesgos con la estrategia como externo facilita esta etapa del proceso de
institucional, al iniciar con la definicin de los objetivos administracin de riesgos.
estratgicos. Estos ltimos requieren la implantacin de
controles generales que deben observarse por todos los El diseo, implantacin y medicin de la eficacia de
miembros de la entidad, por ejemplo el establecimiento los controles a nivel proceso es el siguiente paso para
formal de una poltica de integridad, cdigo de tica, dar respuesta a los riesgos identificados. Es importante
cdigo de conducta, etctera. sealar que esta actividad es responsabilidad principal
de los dueos de los procesos operativos y, en un
Posteriormente es necesario identificar, evaluar, corto plazo podr llevarse a cabo mediante la Gua
analizar, responder, controlar, supervisar y comunicar de Autoevaluacin de Controles correspondiente
los riesgos que amenazan el logro de los objetivos. La que pondr a disposicin del sector pblico el SNF.
9
Objetivo
Desarrollar una Gua de Administracin de Riesgos que supervisin y comunicacin adecuada de esos posibles
permita a las entidades del sector pblico gestionar eventos, con la finalidad de asegurar de forma razonable
los riesgos a los que se encuentran expuestos sus que se lograrn los objetivos institucionales en trminos
procesos sustantivos y adjetivos relevantes, mediante de eficacia, eficiencia y economa en un marco de
la identificacin, evaluacin, anlisis, respuesta, control, transparencia y rendicin de cuentas.
Alcance
La Gua, proporciona directrices para establecer y 2013, no obstante, derivado del estudio y anlisis de
mantener un marco tcnico para la administracin diversos documentos especializados en la materia,
general de riesgos, mismo que puede adoptarse por resulta compatible con otros modelos o estndares de
cualquier institucin del sector pblico. Control Interno como ISO 31000, CoCo en Canad,
Cadbury y Turnbull en el Reino Unido, ACC en Australia
Esta gua se basa principalmente en los cinco y MECI en Colombia, COBIT 5 for risk (EUA), entre otros.
componentes del Marco de Control Interno COSO
1 Sistemas de Control Interno

En el orden internacional, existen diversas asociaciones El modelo canadiense COCO, el cual fue emitido
profesionales especializadas que han emitido por el Criteria Control Board, ayuda a perfeccionar
documentos y recomendaciones para establecer los procesos de toma de decisiones mediante una
programas de administracin de riesgos, con el mejor comprensin del control del riesgo por parte de la
propsito de impulsar el logro de los objetivos de los direccin, con base en las teoras de comportamiento.
planes, programas y proyectos estratgicos de las Plantea que los integrantes de la organizacin deben
organizaciones, sean del sector pblico o privado. asumir normas y polticas dadas. Adems seala
Destacan como modelos de control, por su uso que todas las actividades de la organizacin deben
extendido y su probada eficacia, los siguientes: COSO obedecer a un propsito.
en los Estados Unidos de Amrica, COCO en Canad,
Cadbury y Turnbull en el Reino Unido, ACC en Australia El Informe Cadbury fue publicado en el Reino Unido en
y MECI en Colombia. diciembre de 1992 por The Committez on the financial
Aspects of Corporate Governance y la Bolsa de Comercio
El modelo internacional de control integral COSO, emitido de Londres lo adopt como un modelo bsico y necesario
por The Committee of Sponsoring Organizations of the para las compaas inscritas. Incluye normas que se
Treadway Commission1 se dise para apoyar a la alta consideran de prctica aconsejable para los estados
direccin a tener un mejor control de su organizacin. financieros; responsabilidades que les competen a los
En especfico, provee un estndar para establecer directores y administradores para revisar e informar a los
y evaluar el sistema de control interno. Asimismo, accionistas y otras partes interesadas; composicin, rol y
incluye la identificacin de riesgos provocados por desempeo de los comits de auditora; responsabilidades
factores internos y externos asociados con el cambio de directores y administradores en el control, el alcance y
organizacional. Actualmente es el modelo de control el valor de la auditora, y el establecimiento de los puntos
interno de mayor aceptacin a nivel mundial. de contacto entre accionistas, directores y auditores.
1 Comit de Organizaciones Patrocinadoras de la Comisin Treadway, integrada por la Asociacin Americana de Contabilidad (AAA), el Instituto
Americano de Contadores Pblicos Certificados (AICPA), los Ejecutivos de Finanzas Internacionales (FEI), el Instituto de Contadores Administrativos
(IMA) y por el Instituto de Auditores Internos (IIA), por sus siglas en ingls.
10
El modelo Turnbull fue diseado por el Institute of para que asuman un nivel apropiado de compromiso
Chartered Accountants of England and Wales. Permite a en el logro de los propsitos y objetivos en trminos de
las entidades contar con un sistema de control interno eficiencia y eficacia, legalidad y legitimidad.
que gestiona riesgos operacionales, financieros y legales
a los cuales est expuesta. Simultneamente, ofrece El Modelo Estndar de Control Interno (MECI), el
herramientas para garantizar la fiabilidad de los informes cual fue desarrollado en Colombia, tiene por objeto
financieros y asegurar el cumplimiento de la normativa fortalecer el control interno con base en la tica
aplicable a la organizacin. pblica, el fortalecimiento del proceso de informacin y
comunicacin, la generacin de informacin confiable
El modelo australiano ACC (Australian Control Criteria), da y oportuna y la promocin de la transparencia en las
importancia a los empleados y otros grupos de inters instituciones.
2 Componentes del marco de control

interno COSO 2013
De acuerdo con este modelo, el control interno es un la Gua para las Normas de Control Interno del
proceso efectuado por el consejo de administracin, Sector Pblico emitida en 2001 por la Organizacin
la direccin y el resto del personal de una entidad, Internacional de las Entidades Fiscalizadoras
diseado con el objeto de proporcionar un grado de Superiores (INTOSAI, por sus siglas en ingls) como
seguridad razonable en cuanto a la consecucin de del Acuerdo por el que se emiten las Disposiciones
objetivos de las operaciones, de los informes y del en Materia de Control Interno y se expide el Manual
cumplimiento. Este proceso se encuentra conformado Administrativo de Aplicacin General en Materia de
por cinco componentes: Control Interno, emitido en 2010 por la Secretara
de la Funcin Pblica.
Ambiente de control
Evaluacin de riesgos La presente Gua se enfoca especficamente al
Actividades de control componente de evaluacin de riesgos; sin embargo,
Informacin y comunicacin debe sealarse, que los cinco componentes deben
Supervisin existir, funcionar e interactuar entre s. A continuacin
se presenta un esquema de la estructura que debe
Es importante mencionar que, en lo pertinente, el guardar un sistema de control interno y se describen
modelo COSO fue el referente para elaborar, tanto cada uno de sus componentes:
11
Compromiso de los titulares de las instituciones y unidades administrativas

Desarrollo del talento humano
Plan estratgico
Ambiente de control
Estructura organizacional
Modelo operativo por proceso
Fomenta la rendicin de cuentas
Contexto estratgico
Identificacin de riesgos
Administracin de
Anlisis y evaluacin de riesgos
riesgos
Polticas de administracin de riesgos
Tolerancia al riesgo
Polticas y manuales operativos

Procedimientos documentados
Actividades de control Se selecciona y desarrolla controles generales de TI
Controles a nivel proceso
Indicadores de gestin
Sistemas de informacin
Informacin y
Anlisis e identificacin de informacin relevante
comunicacin
Canales de comunicacin interna y externa
Auditora interna
Autoevaluacin
Supervisin
Evaluaciones independientes
Mejora continua
Figura 3: Elaborada por la ASF
2.1 Ambiente de control

Este componente, comprende la integridad, los valores autoridad y responsabilidad; administrar los recursos
ticos y la conducta institucional en la organizacin, humanos a fin de asegurar la atraccin, desarrollo y
es decir, los parmetros que permiten a los titulares y a retencin de personal competente, y el rigor en torno
los rganos de gobierno de los entes gubernamentales a medidas de desempeo, estmulos y recompensas
llevar a cabo sus responsabilidades de supervisin; para fomentar la rendicin de cuentas y la mejora del
determinar la estructura orgnica y la asignacin de desempeo.
2.2 Evaluacin de riesgos

Este componente consiste en el proceso para identificar Para la administracin de riesgos, es fundamental que
los riesgos a los que estn expuestas las instituciones en el titular de la institucin y los mandos superiores de
el desarrollo de sus actividades y analizar los distintos las diversas unidades administrativas promuevan y
factores, internos y externos, que pueden provocarlos, respalden una la cultura de administracin de riesgos;,
con la finalidad de definir las estrategias que permitan mediante mensajes claros que involucren como
administrarlos y, por lo tanto, contribuir razonablemente responsables a todos los servidores pblicos en su
al logro de los objetivos, metas y programas. mbito de responsabilidad, al buscar la participacin
12
activa de los diferentes niveles de autoridad en la e innovador. Para conducir a las instituciones del sector
gestin de riesgos. pblico a cumplir con un estndar internacional de
administracin de riesgos, la presente Gua observa
El riesgo est presente en todas las operaciones de las mejores prcticas establecidas en diferentes
cualquier entidad del sector pblico y se materializa documentos como COSO 2013 y COSO ERM, los cuales
mediante eventos adversos que detonan en prdidas estn enfocados principalmente en la identificacin
directas o indirectas, costos por dao reputacional o de de los objetivos de procesos, los riesgos implcitos a
imagen, ineficiencia de procesos internos, deficiencia stos y su cuantificacin y , el registro histrico de los
en la administracin de personas, anomalas en sistemas materializados.
automatizados, entre otras consecuencias inesperadas.
La gua incluye la identificacin de riesgos, su
La administracin del riesgo operacional se distingue clasificacin y la determinacin de la probabilidad e
de otros tipos de riesgos, debido a que comprende impacto de manera cualitativa para definir los controles
cualquier limitacin, amenaza o problema intrnseco e indicadores correspondientes que permitan mitigar
de todas las actividades y procesos inherentes a las y supervisar tales riesgos. Para ello, se desarrollan
operaciones de los entes gubernamentales que, a e implementan programas de Administracin de
travs de diversos mecanismos de sistemas de mejora Riesgos, que tienen como fin asegurar la existencia de
de control interno y de prevencin del riesgo, busca mecanismos de control, principalmente en los procesos
proteger y fortalecer el patrimonio de las entidades ms vulnerables a su ocurrencia.
ante posibles desviaciones o prdidas econmicas por
la exposicin al riesgo que se tiene. En este sentido, es Las actividades desarrolladas para la administracin
fundamental que la institucin desarrolle una efectiva del riesgo, son un complemento estratgico dentro de
administracin de riesgos que le permita enfrentar o la gestin integral de riesgos en las entidades. Trabajar
evitar prdidas econmicas, eficientar las operaciones, en sinergia asegura que se identifiquen los riesgos y
generar informacin financiera y no financiera y cumplir se definan las respuestas para su mitigacin y otras
con el marco legal y normativo aplicable. acciones de vigilancia de su comportamiento, segn
las mejores prcticas internacionales.
Para el sector pblico mexicano, el desarrollo del
concepto del riesgo puede considerarse como actual
2.3 Actividades de Control

Este componente comprende las medidas establecidas procesos institucionales y sobre un entorno tecnolgico,
en las polticas y manuales de procedimientos para mediante controles preventivos o detectivos que en
asegurar que la administracin pueda mitigar los riesgos su naturaleza pueden abarcar una amplia gama
que afectan el cumplimiento y logro de los objetivos de actividades manuales o automatizadas, tales
institucionales. Las actividades de control se llevan a como autorizaciones y aprobaciones, conciliaciones,
cabo en todos los niveles de la institucin, en los distintos evaluaciones de desempeo, etctera.
2.4 Informacin y Comunicacin

La informacin es necesaria para que las instituciones a la organizacin la informacin necesaria para llevar a
lleven a cabo las responsabilidades de control interno cabo el control diario, y permite al personal comprender
en apoyo al logro de sus objetivos. La comunicacin se las responsabilidades del control interno y su importancia
genera tanto interna como externamente; proporciona para el logro de los objetivos institucionales
2.5 Supervisin
Busca asegurar que los controles operen como se requiere a fin de, cumplir con oportunidad y eficiencia las metas y
y que sean modificados apropiadamente de acuerdo objetivos previstos en sus respectivos programas, conforme
con los cambios en las condiciones de cada institucin a lo dispuesto en la normativa aplicable.
13
3 Metodologa de Administracin
de Riesgos
Las instituciones del sector pblico deben cumplir por la existencia de riesgos, razn por la cual se hace
su misin, mediante los objetivos institucionales, los necesario contar con acciones especficas para
cuales se desarrollan a partir del diseo y ejecucin administrarlos dentro de la institucin. El adecuado
de los diferentes planes, programas y proyectos. El manejo de los riesgos beneficia el desarrollo de
cumplimiento de los objetivos, puede verse afectado la institucin.
3.1 Principios bsicos para una adecuada

Administracin de Riesgos.
Compromiso: Para el xito de la administracin de institucin y sobre control interno, administracin de
riesgos, es indispensable el compromiso del titular riesgos e integridad en el sector pblico; con el fin de
de la institucin y los mandos superiores de cada que se facilite la identificacin, evaluacin, anlisis,
unidad administrativa para promover una cultura de respuesta, control, supervisin y comunicacin de los
identificacin y prevencin de riesgos, as como definir riesgos; para construir posteriormente un mapa de
polticas relacionadas con la administracin de riesgos. riesgos institucionales.
Conformacin del equipo: Es importante que la Capacitacin sobre la Gua: Una vez que se cuenta con
institucin cuente con un equipo responsable de la el equipo responsable del proceso de administracin
implementacin del proceso de Administracin de de riesgos, debe capacitarse a sus integrantes en la
Riesgos, el cual cuente con un canal de comunicacin instrumentacin del presente documento.
directo con el titular y mandos superiores de las unidades
administrativas. Es recomendable que los integrantes La figura 4 muestra de manera sintetizada el marco
de este equipo cuenten con conocimientos sobre la general de administracin de riesgos en el sector pblico:
14
Marco General de Administracin de Riesgos en el Sector Pblico
Objetivos estratgicos
Conocimiento puntual de
Definicin de metas y
los objetivos institucionales y
objetivos de cada Unidad
nacionales contenidos en el Objetivos de administracin
Administrativa alineados a los
Plan Estratgico o Programa de riesgos.
institucionales, sectoriales y
Sectorial y en el Plan
nacionales.
Nacional de Desarrollo.
Identificacin de Riesgos
Supervisin y Monitoreo
Qu y cmo puede pasar?
Comunicacin
Evaluacin y anlisis de riesgos
Determinar probabilidad
Determinar impacto
Establecer la priorizacin del

Identificar controles existentes y
riesgo de acuerdo a impacto y
verificar efectividad
probabilidad
Respuesta a los riesgos
Tratamiento de los riesgos

Identificar opciones de mitigacin
Polticas de Administracin
Evaluar el costo-beneficio
de Riesgos
Determinar plan de mitigacin
Implementar plan de mitigacin
Figura 4.Fuente: Elaborada por la ASF
15
3.2 Identificar objetivos estratgicos

Los objetivos estratgicos deben guiar a la organizacin mensajes del titular de la institucin y los altos mandos
para el logro de su misin y visin. A partir de stos se de las unidades administrativas al resto del personal,
establecen los objetivos operativos, de informacin y quienes indiquen la importancia de la identificacin y
de cumplimiento, as como las metas especificas para control de los riesgos.
las diferentes unidades administrativas.
Como se ha mencionado, el proceso de administracin
Las diversas alternativas para alcanzar el cumplimiento de riesgos considera de identificar los factores internos
de los objetivos estratgicos, involucran identificar los y externos que generan los riesgos contrarios al logro
riesgos asociados al considerar sus implicaciones y de los objetivos estratgicos.
determinar hasta qu punto la institucin puede aceptar
determinado riesgo. El anlisis de los factores externos se lleva a cabo
a partir del conocimiento de situaciones del
Establecer y vigilar los niveles de tolerancia al riesgo entorno de la institucin, tanto de carcter social,
proporciona mayor confianza en que los riesgos que econmico, cultural, de orden pblico, poltico,
enfrentan los objetivos permanecen en un nivel de riesgo legal o tecnolgicos. En contraste el estudio de
aceptado, y a su vez, provee una mayor seguridad de los factores internos parte del entendimiento
que los resultados esperados sern obtenidos. actual de la institucin respecto principalmete
del componente ambiente de control, estructura
En esta etapa del proceso es importante que los organizacional, modelo operativo, cumplimiento
responsables de la implementacin del proceso de de planes y programas, sistema de informacin,
administracin de riesgos, conozcan el funcionamiento documentacin de polticas y procedimientos y
general de la institucin, as como las metas y objetivos recursos financieros, entre lo ms relevante.
estratgicos de la misma. Para lograr lo anterior, se
recomienda que dichos servidores pblicos revisen: Para llevar a cabo estos anlisis es necesario emplear
herramientas como: entrevistas, cuestionarios y lluvia
Documentos bsicos como el plan estratgico de ideas con servidores pblicos de diferentes niveles
institucional, programa sectorial y Plan Nacional jerrquicos expertos en el funcionamiento de los
de Desarrollo, con el propsito de conocer la procesos de la institucin, incluyendo titulares de las
misin, visin, valores y directrices generales de unidades administrativas. Tambin es importante llevar
la institucin. a cabo indagaciones con personas ajenas a la entidad;
La estructura orgnica de la institucin, as como desarrollar diagramas de flujo para ubicar posibles riesgos
las atribuciones en el mbito de su competencia, en los procesos; analizar los escenarios (supuestos de
(reglamento o manual organizacional). materializacin de riesgos) y revisar de manera peridica
La lineacin de las metas y objetivos particulares factores econmicos, tecnolgicos, de regulacin,
de cada Unidad Administrativa con las metas entre otros, que puedan afectar el funcionamiento de
y objetivos estratgicos. la institucin.
Para establecer un programa de administracin de Asimismo deben considerarse los registros histricos
riesgos es fundamental que los servidores pblicos de de riesgos materializados o cercanos a materializarse,
los diferentes puestos que integran la institucin tengan opiniones de especialistas y expertos, informes de
conocimientos referentes a la estrategia institucional. evaluaciones de aos anteriores e indicadores
Dicho programa debe atenderse de manera sistmica; generados en la institucin. A continuacin se muestran
es decir, no debe funcionar de manera aislada, sino algunos ejemplos de factores internos y externos:
integral. Esto puede lograrse mediante comunicados y
16
Factores internos Factores externos
Cambios en el marco legal: Podra implicar un riesgo

Personal: El perfil de los servidores pblicos, la salud laboral,
para la institucin, debido a que no se encuentra
seguridad en el trabajo, ambiente de trabajo, relaciones
preparada para atender u observar el cumplimiento
laborales, diversidad y discriminacin; podra detonar riesgos
de nuevos requerientos (Ejemplo: Ley de Contabilidad
significativos para la institucin.
Gubernamental)
Tecnologas de Informacin: Confidencialidad de la

informacin, integridad de la informacin, privacidad de Medioambientales: Pandemia, terremoto, inundacin,
los datos. incendio, inestabilidad social, etctera; los factores
medioamabientales son factores que detonan
In d i s p o n i b i l i d a d d e l o s s i s t e m a s, c a d a d e riesgos crticos de continuidad de la operacin en las
telecomunicaciones, etctera; son algunos ejemplos instituciones.
de riesgos detonados en los sistemas institucionales.
Procesos: Diseo y documentacin de los procesos,

conocimiento de entradas y salidas y capacidad de
los procesos. Las fallas en los procesos son una causa
recurrente que detona riesgos para la entidad.
Cuadro 3. Fuente: Elaborado por la ASF
3.3 Contexto en el cual se materializan los riesgos

Es importante mencionar en qu contexto se materializan de ser el detonador para posteriormente cuantificar
los riesgos, para identificar plenamente cada uno de los y medir el riesgo.
elementos que se encuentran presentes cuando ocurren.
Ejemplo:
En este apartado es necesario diferenciar entre Causa: Falta de segregacin de funciones. Un servidor
las causas y los efectos de un riesgo. Aunque no pblico del rea de adquisiciones tiene facultades para
siempre es fcil delimitar la frontera entre ambas, solicitar, tramitar y autorizar una compra de materiales.
las causas definen el origen del riesgo y permiten Riesgo potencial: Corrupcin. Que un servidor
identificar la esencia de lo que se considera como pblico compre materiales de oficina inecesarios y
riesgo y su clasificacin (categora), mientras que los adems los sustraiga, para posteriormente obtener
efectos son las consecuencias o resultados que las un beneficio personal.
causas producen y tienen la caracterstica particular Impacto: Recursos. Prdida econmica para la institucin.
Categoras de riesgos Financieros

Impacto/consecuencia
Internos
- Corrupcin -Recursos pblicos mal
Fallas en procesos,
Factores/causas
Riesgo potencial
- Relaciones laborales y utilizados

sistemas y personas
seguridad en el empleo -Desvo de presupuesto
- Fallas, cadas de -Prdidas por actos de
Externos
sistemas, virus corrupcin
Polticas
gubernamentales, - Daos a activos
materiales No financieros
legislacin, tecnologa,
-Fallas o errores en -Dao reputacional
desastres naturales
procesos
17
3.4 Identificacin de riesgos

Consiste en determinar cules son los tipos de riesgo administracin de riesgos, destaca la dinmica de
existentes y cul es su influencia en las actividades de la los sistemas automatizados que permiten pasar de un
institucin. Resulta incuestionable que sin una identificacin enfoque cualitativo a uno ms cuantitativo y establecer
de riesgos apropiada es muy difcil alcanzar una gestin un sistema integral basado en retroalimentacin el cual
exitosa. Para ello es clave el conocimiento de las fuentes facilita el control de los procesos y la minimizacin de
de riesgo, realizar un inventario de riesgos y analizar las riesgos materializados.
causas de los eventos que los generan. La identificacin,
representa una de las actividades clave dentro del proceso Como se ha mencionado antes, la identificacin de
de administracin de riesgos, debido a que dicha actividad riesgos es el primer procedimiento de la administracin
debe iniciar con reconocer los procesos y subprocesos por de riesgos e incluye la revisin de factores tanto internos
los cuales se cumplen los objetivos institucionales. como externos que podrian influir en la adecuada
implementacin de la estrategia y logro de objetivos.
Es importante llevar a cabo una clasificacin de los Adems, los responsables de la implementacin de
diferentes tipos de riesgos que existen en los siguientes proceso de administracin de riesgos, con el apoyo de
grupos: estratgico, financiero, operativo, legal, los mandos superiores, identifican las relaciones entre
tecnolgico, a la integridad y a la reputacin o imagen. los riesgos y su clasificacin para crear un lenguaje
de riesgos comn en la institucin.
Desde el punto de vista tcnico metodolgico,
para el estudio de las causales, segn el enfoque de
3.4.1 Tcnicas para la identificacin de riesgos

A continuacin se muestran y describen de manera breve las tcnicas para identificar riesgos en las entidades:
1. Talleres de
autoevaluacin
9. Registros
de riesgos 2. Mapeo de
materializados procesos
3. Anlisis de
8. Anlisis entorno interno y
comparativo Tcnicas para externo
identificacin
de riesgos
7.Cuestionarios
dirigidos a SP de 4. Lluvia de ideas
mandos superiores
o medios
5. Anlisis de
indicadores de
6. Entrevistas gestin, desempeo
y riesgos
18
1. Talleres de autoevaluacin: Consisten en o debajo del rango normal, esto debe analizarse
reuniones de servidores pblicos de diferentes para determinar si esa desviacin se debe a algun
niveles jerquicos que dempeen actividades riesgo materializado o su comportamiento anormal
clave en la entidad; con el objetivo de identificar tiene alguna explicacin diferente a un riesgo.
los riesgos, analizar y evaluar su posible impacto
en el cumplimiento de los objetivos y proponer 7. Cuestionarios: Consisten en una serie de preguntas
acciones para su mitigacin. enfocadas a detectar las preocupaciones de los
servidores pblicos de mandos superiores, medios
2. Mapeo de procesos: Esta tcnica consiste en u operativos sobre riesgos que se perciben en las
revisar el diagrama del proceso operativo e actividades que desempean.
identificar los puntos crticos que podran implicar
un riesgo. Para efectuarla es necesario que se 8. Anlisis comparativo: Comprenden el anlisis
encuentren documentados todos los procesos entre instituciones que desarrollan actividades
de la institucin. similares, con el fin de identificar riesgos que
podran afectar la entidad.
3. Anlisis de entorno: Consiste en la revisin de
cambios en marco legal, entorno econmico 9. Registros de riesgos materializados: Consiste en
o cualquier factor externo que podra amenazar bases de datos con los riesgos materializados en
el cumplimiento de los objetivos. el pasado en la institucin. Estos registros deben
contener la descripcin del evento, fecha, monto
4. Lluvia de ideas: Se trata de una tcnica grupal de prdida, si se llev a cabo alguna recuperacin
en la que participan actores de diferentes niveles y qu control se estableci para mitigar el riesgo
jerrquicos para generar ideas relacionadas con y que cierta situacin vuelva a repetirse.
los riesgos, causas, eventos o impactos que
pueden poner en peligro el logro de los objetivos. Una de las herramientas que funciona de manera ms
adecuada para la identificacin de riesgos son los
5. Entrevistas: stas consisten en realizar una serie talleres; sin embargo, las otras tcnicas pueden utilizarse
de preguntas relacionadas con los eventos como complemento, de tal forma que mediante la
que amenazan el logro de los objetivos. Se combinacin de varias herramientas se logre una
aplican a servidores pblicos de diferentes cobertura ms amplia en la identificacin de riesgos.
niveles jerrquicos de una o varias unidades
administrativas. Durante el proceso de identificacin de riesgos es
preciso clasificarlos en primer instancia de acuerdo
6. El anlisis de indicadores de gestin, de con su tipologa, con el fin de comprender las causas
desempeo o de riesgos: Debern establecerse e impacto que dichos riesgos pueden tener en caso
con anterioridad y evaluar sus desviaciones, es de materializarse.
decir, que su comportamiento est por encima
3.4.2 Clasificacin de riesgos

transparencia en el manejo de los recursos.
El proceso de identificacin incluye la clasficacin de los Operativo: Este rubro considera los riesgos relacionados
riesgos considerando por lo menos las siguientes categoras: con fallas en los procesos, en los sistemas o en la
estructura de la institucin.
Estratgico: Se asocia a los asuntos relacionados con
la misin y el cumplimiento de los objetivos estratgicos. Legal: Afecta la capacidad de la entidad para
dar cumplimiento a la legislacin y obligaciones
Financiero: Se relaciona con los recursos econmicos contractuales.
de la institucin, principalmente de la eficiencia y
19
Tecnolgico: Se relaciona con la capacidad de la A la reputacin o imagen: Se refleja en un impacto

institucin para que las herramientas tecnolgicas de la materializacin de cualquier tipo de riesgo,
soporten el logro de los objetivos estratgicos. pus podra implicar presencia en cualquiera de las
categoras de riesgo descritas anteriormente.
A la integridad: Son aquellas situaciones o eventos
que, en caso de materializarse, impactaran en mayor
o menor medida al entorno de valores y principios
ticos de la institucin.
3.4.3 Desarrollo de talleres de trabajo para la identificacin

de riesgos
1. Designar a un responsable para moderar los 3. Analizar el contexto en el que se encuentra la

talleres, este servidor pblico deber contar institucin, identificar los objetivos institucionales,
con conocimientos necesarios sobre los analizar el plan estratgico, la estructura
procesos y las actividades que se van a analizar; organizacional, y dems elementos referentes
asimismo, deber contar con conocimientos a los propsitos fundamentales de la institucin.
sobre control interno y administracin de riesgos.
Es recomendable que el titular de la entidad 4. Es importante realizar, previo al taller, una
designe al moderador. relacin de los procesos sustantivos, adjetivos y
estratgicos de la institucin; para ubicar que
2. Conformar el equipo multidisciplinario y con procesos debern estar en alcance del anlisis
servidores pblicos de diferentes niveles de riesgos; a continuacin se muestra una lista
jerrquicos. Lo ideal es formar equipos de entre general de los procesos con mayor exposicin
20 y 30 servidores pblicos. a riesgos:
Proceso Riesgo
Errores humanos
Procesos sustantivos Fallas de sistemas institucionales
Fallas de procesos
Errores humanos
Fallas de sistemas institucionales
Procesos adjetivos
Fallas de procesos
Falta de cumplimiento al marco legal
Recursos materiales (compras generales, contratacin Riesgos de integridad (soborno, nepotismo,
de proveedores, licitaciones, etc.) desviacin de recursos)
Recursos humanos (nmina, bonos, incentivos, Riesgos de integridad (soborno, nepotismo,
contratacin de personal, etc.) desviacin de recursos)
Recursos financieros (tesorera, inversiones,
Riesgos de integridad (soborno, nepotismo,
contabilidad, finanzas, presupuestos, impuestos,
desviacin de recursos)
gastos, etc. )
Integridad de la informacin
Tecnologas de informacin (sistemas instituciones, Disponibilidad de los sistemas
telecomunicaciones, red, servidores, institucionales
bases de datos, etc.) Virus
Cada de sistemas institucionales
20

dentro de la administracin de riesgos, ya que en caso
5. Una vez que se ha determinado que procesos son de tener incosistencias en esta etapa, el desarrollo
los ms vulnerables, deber revisarse cada una de de los procedimientos subsecuentes puede tener
sus actividades para determinar en conjunto a que repercusiones. Dicha actividad se realiza a partir del
riesgos especficamente se encuentran expuestos, esto entendimiento de los procesos y subprocesos y
se lleva a cabo con la ayuda del moderador. Para deteccin de los posibles eventos que pueden afectar
identificar los riesgos es necesario realizar la pregunta el cumplimiento de los propsitos estratgicos.
clave, qu puede suceder?
Para puntualizar las fallas o problemas se debe partir
6. El responsable deber registrar todos los riesgos que de las actividades intrnsecas establecidas por las
sean mencionados por los integrantes del grupo de instituciones en los procesos sustantivos, adjetivos y
trabajo, para posteriormente anlizar cuales de ellos estratgicos (por lo que es indispensable contar con
deben considerarse, ya que debe darse prioridad a un mapeo completo de los procesos de la entidad).
los riesgos ms significativos. A continuacin se muestra la matriz en la cual se lleva
el registro de los riesgos identificados:
La identificacin de riesgos es una actividad crtica
Identificacin del riesgo

Nmero Objetivo Nombre Tipo Causa Tipo rea
Tipo de Descripcin Clasificacin Consecuencia
de Proceso del del de del de del
proceso del riesgo del riesgo del riesgo
riesgo proceso riesgo riesgo riesgo factor riesgo
Cuadro 5. Elaborada por la ASF2
La identificacin de los riesgos debe ser acorde a su Durante el desarrollo de la etapa de identificacin
causa primaria; es decir, aquellas que los originan de riesgos, las instituciones deben dar prioridad a los
dentro del proceso o subproceso, en especial debe procesos crticos y los riesgos ms relevantes.
cuidarse separar eventos transferidos por otras reas
o procesos. Es importante sealar que, como se ha mencionada
anteriormente, de forma complementaria a esta Gua
La matriz de identificacin de riesgos permite que las se dise el SAAR para llevar a cabo el registro de los
instituciones lleven el registro de los riesgos detectados, riesgos, el cual permitir a las instituciones del sector
para contar con un inventario de los mismos, al determinar pblico llevar una adecuada administracin de riesgos.
el objetivo, proceso o plan que puede verse afectado Dicha herramienta incluye un instructivo para el usuario,
por un determinado riesgo, as como las causas y el que apoya el uso y aprovechamiento de los recursos
impacto posible.
3.5 Evaluacin de riesgos

institucionales.
La evaluacin es la etapa subsecuente a la identificacin La evaluacin de riesgos se lleva a cabo con tcnicas
del proceso de administracin de riesgos, en la cual cualitativas que consisten en valorar la probabilidad
se valora la probabilidad de ocurrencia del riesgo y desde una perspectiva de juicio de expertos, quienes
el impacto que puede producir en caso de que se conocen de manera muy precisa las actividades, los
materialice.
2 Matriz incluida en el SAAR
21
procesos y el entorno en el cual se desempea la base en la frecuencia; es decir, cuntas veces

institucin. Existen tambin tcnicas cuantitativas para podra ocurrir el riesgo; considerando los factores
evaluar riesgos, las cuales, consisten en determinar el internos y externos.
valor de un riesgo mediante modelos estadsticos y
calcular la prdida esperada por materializacin de El impacto se valora tomando en cuenta las
riesgos; para utilizar estas tcnicas, se necesita contar consecuencias que pueden ocasionar a la
con informacin suficiente en tiempo y calidad, es institucin en caso de que el riesgo se materialice.
decir, que la institucin tenga registros de riesgos
materializados de por lo menos los ltimos cinco aos. A continuacin se muestra las escalas para la evaluacin
de riesgos en probabilidad e impacto:
La probabilidad de ocurrencia se valora con
Valor Categora Probabilidad

10 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se
Recurrente tiene plena seguridad que ste se materialice, tiende a estar entre
9 90% y 100%.
8 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene
Muy probable
7 entre 75% a 95% de seguridad que ste se materialice.
6 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene
Poco probable
4 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene
Inusual
2 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se
Rara
1 tiene entre 1% a 25% de seguridad que ste se materialice.
Valor Categora Impacto

Riesgo cuya materializacin influye directamente en el cumplimiento
10 de la misin, visin y objetivos de la institucin; asimismo puede implicar
Catastrfico prdida patrimonial o dao de la imagen, dejando adems sin
9 funciones total o parcialmente por un periodo importante de tiempo,
afectando los programas o servicios que entrega la institucin.
8 Riesgo cuya materializacin podra daar de manera significativa el

patrimonial institucional, dao a la imagen o logro de los objetivos
Grave
estratgicos. Asimismo se necesita un periodo de tiempo considerable
7 para restablecer la operacin o corregir los daos.
6 Riesgo cuya materializacin causara una prdida importante en el
Moderado
5 patrimonio o un dao en la imagen institucional.
4 Riesgo que no afecta el cumplimiento de los objetivos estratgicos y
Bajo que en caso de materializarse podra causar daos al patrimonio o
3 imagen, que se puede corregir en poco tiempo.
2 Riesgo que en caso de materializarse podra tener efectos muy
Menor
1 pequeos en la institucin.
En el grado de impacto, debe considerarse el valor 10 causar en la institucin; dicha estimacin se realiza
de mayor jerarqua y 1 de menor. El orden los factores utilizando las dos escalas anteriores.
o criterios puede variar, dependiendo del mandato,
naturaleza y circunstancias de cada entidad. Es importante que esta evaluacin se lleve a cabo cada
3 meses, con la finalidad de mantener actualizados
La evaluacin del riesgo debe estimar la probabilidad los riesgos de acuerdo con el entorno interno y externo
de ocurrencia de un riesgo y el impacto que puede de la institucin.
22
A continuacin se muestra un ejemplo de la matriz de evaluacin de riesgos:
Evaluacin de riesgos
Probabilidad Impacto Valor del Riesgo Prioridad del Riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
3.6 Priorizacin de los riesgos

Una vez realizada la valoracin de la probabilidad e acuerdo con el siguiente mapa de calor (Ver figura 7)
impacto, es necesario priorizar los riesgos, este proceso lo que ubica cada riesgo identificado en el cuadrante
realiza de manera automtica el Sistema Automtizado que le corresponda de acuerdo con su evaluacin;
de Adiministracin de Riesgos y permite determinar de esta forma la institucin est en posibilidades de
cules riesgos requieren un tratamiento inmediato, de establecer sus niveles de tolerancia a los riesgos.
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
Figura 7. Fuente: Elaborada por la ASF3
3 Matriz incluida en el SAAR
23
La escala para priorizar riesgos se muestra a continuacin la probabilidad e impacto determinados al momento
y determina la gravedad del riesgo de acuerdo con de la evaluacin.
Zona de riesgo tolerable.

Riesgo bajo Despus del anlisis de riesgo se debe determinar si los
1-24 riesgos ubicados en esta zona se aceptan, previenen
o mitigan.
Zona de riesgo moderado.
Despus del anlisis de riesgo se debe determinar si
Riesgo moderado las medidas de prevencin y vigilancia para los riesgos
2.5-4.9 ubicados en esta zona, asimismo se debe determinar si
estos riesgos se comparten o transfieren para mitigarlos
de manera adecuada.
Zona de riesgo alto.
Despus del anlisis de riesgo se debe determinar si las
Riesgo alto
medidas para mitigar los riesgos ubicados en esta zona,
5-7.5
determinando si estos riesgos se comparten o transfieren
para gestionarlos de manera adecuada.
Zona de riesgo significativo.
Despus del anlisis de riesgo se deben tomar las medidas
Riesgo grave
necesarias para mitigar los riesgos que se encuentran
7.6-10
en esta zona, mediante la mitigacin y prevencin; es
recomendable establecer un plan para tales fines.
Cuadro 9. Fuente: Elaborada por la ASF
3.7 Evaluacin de controles

Una vez que se han identificado, evaluado y priorizado los A continuacin se muestra la matriz de valoracin
riesgos; es necesario revisar las actividades de control que bsicca de los controles asociados a los riesgos
existen para mitigarlos; asimismo, es importante evaluar identificados y evaluados, ya que en el corto plazo,
qu tan efectivos son los controles que se encuentran el Sistema Nacional de Fiscalizacin emitir la Gua
establecidos tanto en su operatividad como en su diseo; de Autoevaluacin de Controles.
esta actividad es clave, ya que la existencia de controles
inadecuados o inefectivos manifiestan una gestin de
riesgos nula.
CONTROLES
rea Evidencia
Nmero Nombre Tipo de Frecuencia Evidencia Efectividad Diseo del Existe riesgo
responsable de la
de control de control control de Ejecucin del control del control control residual?
del control ejecucin
Cuadro 10. Fuente: Elaborada por la ASF4
4 Matriz incluida en Sistema Automtizado de Administracin de Riesgos
24
3.7.1 Establecimiento de controles para el xito

El establecimiento de estrategias de administracin de 6. Identificar y enfrentar los problemas de forma
riesgos basadas en las mejores prcticas se disea con eficiente
base en una gestin directiva que emplea una filosofa 7. Consultar a los auditores, y que ellos cuenten
de respaldo total sobre el control. Las caractersticas con las competencias necesarias
generales que debe considerar un efectivo sistema de 8. Entender el riesgo y considerarlo como propio
administracin de riesgos, son las siguientes: en las distintas unidades administrativas
9. Buscar objetivos desafiantes y que beneficien a
1. Enfocarse en la necesidad de generar o la organizacin
aumentar un rendimiento 10. Entender y mejorar continuamente el sistema
2. Contribuir a que los titulares trabajen de forma de administracin de riesgos
efectiva
3. Compararse con entidades similares es crucial Una filosofa de control de acuerdo con las mejores
para una gestin exitosa prcticas conduce a un marco moderno de aplicacin
4. Trabajar apropiadamente y dar apoyo a los prctica, el cual, refleja resultados exitosos para la
colegas en todos los niveles de responsabilidad organizacin en su conjunto, al promoverse a lo largo
5. Establecer indicadores de gestin del desempeo de las lneas de: Estamos todos en el control que
significativos y tiles realmente nos hace exitosos?.
Revisar todos Titular u rgano

los informes de de Gobierno
Misin
auditoras iniciales Establecer la estrategia corporativa
Valores
Mandos Superiores corporativos
Establecer la direccin general y los valores
Objetivos de
negocios
Mandos medios y operativos
Gestin de riesgos y controles
Estrategias de
riesgo/control
Proceso de
auditora inicial
El Titular es el responsable principal de establecer su institucin y se convierten en responsables del manejo

una estrategia institucional que respalde el ciclo de de los riesgos que pueden afectar las metas especficas
administracin de riesgos y el Sistema de Administracin de las unidades administrativas en las que desarrollas
de riesgos en su conjunto. un claro sentido de direccin sus actividades y a su vez los objetivos estratgicos que
en donde las personas conocen los riesgos que enfrenta estn alineados con la misin institucional
25
3.8 Poltica de respuesta al riesgo

La entidad cuenta con una serie de procesos para Vigilar el riesgo: En este supuesto, debe darse
ejecutar varias operaciones, las cuales consisten en seguimiento peridico al riesgo para determinar su
las entradas, el proceso, y las salidas. Mientras los probabilidad de ocurrencia conforme transcurre el
riesgos puedan afectar esa dinmica, estos tienen tiempo. Si la probabilidad de ocurrencia se incrementa,
que contrarrestarse por controles efectivos. los responsables de administrar los riesgos debern
actuar de manera inmediata implementando acciones
Riesgos para mitigarlo. Este tipo de estrategias es aplicable
para riesgos de alto impacto y baja probabilidad de
ocurrencia. Se recomienda crear un plan para mitigarlo
slo si aumenta la probabilidad de ocurrencia.
Evitar el riesgo: Este tipo de respuesta se refiere a

Entradas Procesos Salidas eliminar el factor o los factores que estn provocando el
riesgo; es decir, si una parte del proceso tiene alto riesgo,
el segmento completo recibe cambios sustanciales por
mejora, rediseo o eliminacin, resultado de contratos
suficientes y acciones emprendidas; sin embargo, este
tipo de estrategia no es recomendable por la naturaleza
Controles de las actividades de las entidades.
Figura 9. Fuente: Elaborada por la ASF Transferir el riesgo: Esta respuesta consiste en trasladar
el riesgo mediante la responsabilizacin de un tercero
(tercerizacin especializada). El tercero debe tener
Para responder a los riegsos evaluados, la institucin experiencia particular para ejecutar el trabajo sin
analiza y determina las acciones correspondientes que riesgos o si el riesgo permanece. La responsabilidad
deben emprenderse, considerando de el impacto y ser del tercero y asumir los impactos o perdidas
la probabilidad determinada, con el fin de alinear los derivadas de su materializacin. En la actualidad la
riesgos evaluados con el apetito de riesgo, estrategia estrategia de transferencia de riesgos es una de las
y objetivos. ms utilizadas; cuenta con tres dimensiones que se
detallan a continuacin:
La institucin debe analizar diversas alternativas
para emprender posibles respuestas a los riesgos, Proteccin o cobertura: Cuando la accin
incluyendo las que se enfocan a asumirlos, vigilarlos, que se realiza para reducir la posibilidad de
evitarlos, transferirlos, mitigarlos y compartirlos. Es de vital una prdida, obliga tambin a renunciar a la
importancia realizar un anlisis del beneficio ante el costo posibilidad de una ganancia.
en la mitigacin de los riesgos para que posteriormente Aseguramiento: Significa pagar una prima (el
se establezcan polticas de administracin de riesgos. precio del seguro) para que en caso de tener
prdidas estas sean asumidas por la aseguradora.
Asumir el riesgo: Una vez analizado el grado de impacto Diversificacin: Implica mantener cantidades
que el riesgo tiene sobre los objetivos estratgicos y que similares de muchos activos riesgosos en lugar de
se concluye que no est en condiciones de mitigarlo concentrar toda la inversin en uno slo producto.
razonablemente, se decide retenerlo y no ejecutar
accin alguna. Esta estrategia deber usarse slo Reducir el riesgo: Esta estrategia aplica cuando un riesgo
para riesgos de bajo impacto y baja probabilidad de ha sido identificado y representa una amenaza para el
ocurrencia.
26
cumplimiento de los objetivos estratgicos, proceso o no es deslindarse completamente, sino segmentarlo

reas, por lo que la institucin deber establecer acciones y canalizarlo a diferentes unidades administrativas o
dirigidas a disminuir la probabilidad de ocurrencia personas, las cuales se responsabilizarn de la parte
(acciones de prevencin) y el impacto (acciones de del riesgo que les corresponda.
contingencia), tales como medidas especificas de
control interno y optimizacin de procedimientos. El efecto de adoptar la estrategia o combinacin de
stas, tendr como resultado un riesgo remanente o
Compartir el Riesgo: Se refiere a distribuir el riesgo y las residual, el cual debe asumise responsablemente por los
posibles consecuencias, tambin puede entenderse titulares de las unidades administrativas de que se trate.
como transferencias parciales, en las que el objetivo
3.8.1 Respuesta al riesgo residual

El riesgo residual es aquel que permanece despus de inherente. Estas acciones pueden incluir las polticas y
que la institucin ha llevado a cabo las activdades para procedimientos que establezcan lmites, autorizaciones y
responder a los riesgos; refleja el riesgo remanente una otros protocolos; es decir se ven reflejadas en actividades
vez se han implantado de manera eficaz las acciones de control. La siguiente figura muestra el tratamiento
planificadas por la entidad para enfrentar el riesgo del riesgos residual.
Respuesta al riesgo residual

Respuesta rea responsable de la Fecha de
Acciones de respuesta Entregable de acciones
al riesgo respuesta entrega
Cuadro 11. Fuente: Elaborada por la ASF5
A continuacin se muestran los niveles y su correspondencia respuesta que necesita el riesgo para gestionarlo de
con las zonas que determinan la prioridad y el tipo de manera adecuada:
Zona de riesgo tolerable.

Riesgo bajo
Despus del anlisis de riesgo se debe determinar si los riesgos
1-24
ubicados en esta zona se aceptan, previenen o mitigan.
Zona de riesgo moderado.
Despus del anlisis de riesgo se debe determinar si las medidas
Riesgo moderado
de prevencin y vigilancia para los riesgos ubicados en esta
2.5-4.9
zona, asimismo se debe determinar si estos riesgos se comparten
o transfieren para mitigarlos de manera adecuada.
Zona de riesgo alto.
Despus del anlisis de riesgo se debe determinar si las medidas
Riesgo alto
para mitigar los riesgos ubicados en esta zona, determinando
5-7.5
si estos riesgos se comparten o transfieren para gestionarlos de
manera adecuada.
Zona de riesgo significativo.
Despus del anlisis de riesgo se deben tomar las medidas
Riesgo grave
necesarias para mitigar los riesgos que se encuentran en esta
7.6-10
zona, mediante la mitigacin y prevencin; es recomendable
establecer un plan para tales fines.
Cuadro 12. Fuente: Elaborada por la ASF
5 Matriz incluida en el Sistema Automtizado de Administracin de Riesgos
27
3.9 Informe al titular de la institucin sobre los

riesgos que se detectaron
Posterior a la identificacin, evaluacin, anlisis y Debe presentarse la matriz de identificacin de
priorizacin de los riesgos, se proceder a informar al riesgos con el objetivo de determinar las acciones
titular de la institucin los resultados ms relevantes, correspondientes para la administracin de riesgos.
como se describe a continuacin:
Los resultados debern informarse tambin al
Los resultados se comentarn en reunin con el comit de riesgos o su equivalente.
titular de la entidad.
3.10 Matriz general de riesgos

Cada uno de los apartados anteriores, forman parte de y correlacionarlos con los riesgos que amenazan el
la matriz de riesgos y controles; dicha matriz constituye logro de los mismos; de esta forma, se determina el
una herramienta de gestin de riesgos, la cual se nivel de riesgo, control y tipo de respuesta que requiere
encuentra automatizada en el Sistema Automatizado cada riesgo. A continuacin se muestra la matriz de
de Administracin de Riesgos, sta permite a las riesgos consolidada:
entidades documentar los procesos y objetivos crticos
28
Matriz de riesgos
Identificacin del riesgo Evaluacin de riesgos
Objetivo Nombre Causa rea Prioridad
Nmero de Tipo de Descripcin Tipo de Clasificacin Tipo de Consecuencia Valor del
Proceso del del del del Probabilidad Impacto del
riesgo proceso del riesgo riesgo del riesgo factor del riesgo riesgo
proceso riesgo riesgo riesgo riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
3 8 6 Alto
8 7 7.4 Alto
6 5 5.4 Alto
Controles Respuesta al riesgo

rea
Nmero Nombre Frecuencia rea Evidencia Evidencia Diseo Existe Acciones
Tipo de Efectividad Respuesta Entregable responsable Fecha de
de del de responsable de la del del riesgo de
control del control al riesgo de acciones de la entrega
control control ejecucin del control ejecucin control control residual? Respuesta
respuesta
....................................................................................................

Gua de Autoevaluacin de Riesgos en el Sector Pblico
29
3.11 Mapa de riesgos

El mapa permite ubicar qu riesgos tienen mayor grado de frecuencia e impacto; a partir de esto deber
decidirse que respuesta para los riesgos ubicados con niveles altos deben llevarse a cabo.
El SAAR tambin permite visualizar la ubicacin de los riesgos de la forma siguiente:
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
30
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
3.12 Nivel de toleranica al riesgo y apetito

de riesgo
La tolerancia y el apetito de riesgo son trminos muy Establecer el apetito de riesgo a nivel de
usados, y que a menudo se utilizan de manera indistinta; institucin.
sin embargo, existe diferencia entre ambos trminos. Es posible expresarlo o establecerlo mediante
un mapa de calor.
El apetito de riesgo de acuerdo con el COSO 2013, Tolerancia al Riesgo. Es el nivel aceptable de diferencia
es el riesgo que la institucin est dispuesta a aceptar respecto al logro de los objetivos. A continuacin se
en la bsqueda del logro de sus objetivos y metas muestran sus principales caractersticas:
institucionales.
Es posible medir y contrastarla con los objetivos
Por otro lado, la tolerancia al riesgo es el nivel aceptable (en los mismos trminos).
de variacin en los resultados o actuaciones de la Debe mantener coherencia con el apetito al
entidad relacionada con la consecucin o logro de los riesgo (qu nivel de riesgo est dispuesto a
objetivos. La tolerancia al riesgo es la cantidad mxima aceptar).
de un riesgo que una entidad puede soportar sin causar Establecer riesgos que la institucin no est
graves daos al logro de los propsitos del ente. dispuesta a aceptar (por ejemplo: en el
cumplimiento del marco legal).
Apetito de Riesgo. Es una aprobacin de alto nivel de
aceptacin de un riesgo en el logro de los objetivos.
Principales caractersticas:
31
3.12.1 Cmo debe establecerse el nivel de tolerancia

a los riesgos
supervisin, ya sea mensual o de acuerdo con
1. El Titular propondr los niveles de tolerancia la frecuencia establecida en los indicadores,
necesarios para la gestin del riesgo, mismos que el comportamiento de los niveles de tolerancia
someter, al Comit de Riesgos o su equivalente, se informar al Comit de Riesgos de manera
para su aprobacin. trimestral por medio del reporte de riesgo emitido.
2. El Titular revisar los niveles de tolerancia 5. Los responsables de cada riesgos deben supervisar
aprobados al menos una vez al ao o cuando el comportamiento de los niveles de tolerancia
se requiera, con la finalidad de asegurar que mediante de indicadores de riesgos establecidos
se encuentran en los niveles razonables y por el Titular y autorizados por el Comit de Riesgos
cualquier cambio que se requiera se someter o su equivalente.
a aprobacin del Comit de Riesgos o su
equivalente para su aprobacin.. 6. En caso de que el nivel de riesgo observado
exceda el nivel de tolerancia autorizado por
3. Una vez aprobados los niveles de tolerancia por el Comit de Riesgos, la institucin informar
el Comit de Riesgos o su equivalente, sern inmediatamente despus de haberla detectado.
comunicados a las reas involucradas.
4. El Titular instrir realizar peridicamente la
4 Plan de Continuidad del Negocio (PCN)

Es un proceso administrativo integrado, transversal a Estos planes buscan mantener la continuidad de la
toda la institucin, el cual permite mantener alineadas y operaciones en la entrega de los productos o servicios
vigentes todas las iniciativas, estrategias, actores, planes de acuerdo con el mandato de cada entidad antes,
de respuesta y dems componentes de la continuidad durante y despus de una interrupcin general de
del negocio. Su finalidad es responder ante una crisis, cualquier tipo.
incidente o desastre que amenaza la continuidad de
las operaciones de la entidad.
4.1 Resiliencia
Es la capacidad de un sistema, expuesto a una amenaza, La resiliencia de una institucin con respecto a los
para resistir, absorber, adaptarse y recuperarse de sus posibles eventos que resulten de una amenaza, se
efectos de manera oportuna y eficaz, lo que incluye determina por el grado en que la entidad cuenta con
la preservacin y la restauracin de sus estructuras y los recursos necesarios y es capaz de organizarse tanto
funciones bsicas.6 antes como durante una crisis o un desastre natural,
por ejemplo un terremoto, inundacin incedio, etc. Este
La resiliencia como concepto, proviene de la fsica concepto incluye a los servidores pblicos, procesos
de los materiales y a manera de ejemplo se puede sustantivos, adjetivos y estratgicos, tecnologa e
expresa por medio de las cualidades de un resorte, es infraestructura.
decir, qu tanto puede resistir a la presin, doblarse con
flexibilidad y recobrar su forma original. La imagen de un El dao reputacional y la interrupcin de las operaciones,
resorte que se estira y regresa a su forma original, refleja encabezan la lista de los mayores impactos para las
la resiliencia, que toma el sentido de la capacidad instituciones del sector pblico. Hoy en da, la continuidad
de resistir a o de resurgir de un choque o una crisis. del negocio no slo se asocia con fenmenos fsicos
6 2009 UNISDR Terminologa sobre Reduccin del Riesgo de Desastres, Pg. 28, Organizacin de las Naciones Unidas (ONU)
32
como incendios o fallos tecnolgicos, sino que se Contar con un Plan de Continuidad del Negocio
extiende a un nivel estratgico en el que la reputacin permite a las instituciones garantizar la continuidad
y el valor de las instituciones en cuanto a credibilidad de la actividad frente a una crisis, aumentando las
y confianza de la ciudadana, son elementos clave. posibilidades de supervivencia de la institucin.
4.2 Ventajas del PCN

El Plan de Continuidad de Negocio es una herramienta responsabilidad civil derivadas de la misma. Ayuda
que permite prevenir o evitar los posibles escenarios adems a reducir los costos asociados a la interrupcin
originados por una situacin de crisis, as como minimizar o evitar penalizaciones contractuales por incumplimiento
las consecuencias econmicas, reputacionales o de de contratos como proveedor de productos o servicios.
4.3 Contenido del PCN

El Plan de Continuidad del Negocio permite anticiparse acciones a adoptar en caso de que algn riesgo
a la situacin de crisis y garantizar el desarrollo normal se materialice. Asimismo, ayuda a determinar de
de la actividad, determinando los riesgos de magnitud antemano qu informacin es crtica y cmo debe
suficiente para poder responder ante el peligro de salvaguardarse. Estos planes son una herramienta de
un evento, continuar con el funcionamiento normal estabilidad y continuidad que aporta prestigio a las
de las actividades de la institucin y sealando las instituciones que los implantan.
4.4 Metodologa del PCN

El proyecto se inicia en las operaciones y progresa El mbito del PRCD son los sistemas de informacin
hasta garantizar su continuidad, los resultados de cada de la organizacin.
etapa alimentan a la siguiente, con lo que se logra
una evolucin coherente. A lo largo del desarrollo del Dentro de los PRCD son crticos los tiempos de prdida
proyecto, se cubren los siguientes objetivos. y recuperacin de informacin.
1.- Obtener una imagen clara y detallada de El PCN o Plan de Continuidad del Negocios extiende
los procesos sustantivos y adjetivos relevantes el alcance:
de la entidad, determinando sus criticidades,
interdependencias y riesgos. El PCN tiene como objetivo el mantenimiento de la
2.- Lograr un conocimiento profundo de la plataforma actividad en la entidad, bien mediante la recuperacin
tecnolgica. de los procesos de soporte o mediante la aplicacin
3.- Determinar las necesidades crticas para permitir de procesos de emergencia.
un grado de operatividad en lnea con los planes
estratgicos y metas definidas. Dentro del PCN es clave el anlisis de impacto en
4.- Desarrollar una solucin cuya relacin costo- las Operaciones que toma en cuenta el impacto
beneficio cumpla con los requisitos y las econmico cuando se detenienen las actividades
expectativas de la entidad. en la entidad.
5.- Prever y documentar las acciones necesarias
para restaurar las actividades de la entidad.
Diferencias entre PCN Y PRS
El PRCD o Plan de Recuperacin en caso de Desastres

plantea:
Realizar planes de prevencin y recuperacin ante

los escenarios de desastre con mayor impacto y
probabilidad de ocurrencia.
33
4.5 PCN Y Sistema de Gestin de la Seguridad

de la Informacin (SGSI)
La existencia de un PCN se considera una parte
clave en la implantacin de un SGSI.
Una medida bsica en cualquier organizacin

de seguridad es la disponibilidad y acceso a la
informacin crtica.
4.5.1 ISO 27001

Publicada el 15 de octubre de 2005, revisada el 25 que garanticen el cumplimiento de los objetivos
de Septiembre de 2013. Es la norma principal de la especficos de seguridad de una organizacin;
serie y contiene los requisitos del sistema de gestin
de seguridad de la informacin. Tiene su origen en la Definicin de nuevos procesos de gestin de seguridad
BS 7799-2:2002 (anulada) y es la norma con arreglo de la informacin;
a la cual se certifican los SGSIs de las organizaciones
por auditores externos. Identificacin y clarificacin de los procesos de gestin
de seguridad de la informacin existentes;
La norma ISO/IEC 27001:2005 pretende adecuarse a
diferentes tipos de uso, incluyendo los siguientes: Utilizada por la administracin de las organizaciones
para determinar el estado de las actividades de
Utilizada por las organizaciones para formular los gestin de seguridad de la informacin;
requisitos y objetivos de seguridad;
Utilizada por los auditores internos y externos de
Utilizada por las organizaciones como una forma de las organizaciones para determinar el grado de
garantizar que los riesgos de seguridad son gestionados cumplimiento con las polticas, directrices y normas
eficazmente; adoptadas por la organizacin;
Utilizada por las organizaciones para asegurar el Utilizada por las organizaciones para proporcionar
cumplimiento con las leyes y reglamentos; informacin relevante acerca de las polticas,
directivas, normas y procedimientos de seguridad de
Utilizada en una organizacin como un marco de la informacin a los proveedores y otras organizaciones
procesos para el establecimiento y gestin de controles con las que interactan por razones operativas.
4.5.2 Estrategia de administracin de riesgos (nivel de madurez)

Las entidades del sector pblico deben establecer mensaje desde el comienzo de la administracin de
programa de administracin de riesgos y una estrategia riesgos y ser entendidos, aplicados y reportados.
en cuanto a su comunicacin y difusin, ya que cada
institucin debe asegurar razonablemente que los En la implementacin de polticas de riesgos, los entes
servidores pblicos que forman parte de sta participen gubernamentales deben considerar las siguientes
de manera activa en la administracin de riesgos. cuestiones prcticas que afectan la manera de
administrar el riesgo:
Las instituciones que tienen menor nivel de madurez en
la administracin de riesgos se enfrentan a difucultades Debe tenerse una administracin de riesgos
para identificar riesgos y para definir cmo afectan efectiva en toda la institucin, al punto de
stops a la estrategia institucional. Las polticas de riesgo que algunos de los beneficios que percibe el
deben ser documentos dinmicos que contengan un personal sean basados en el logro del plan
34
estratgico, sin dejar de lado el marco jurdico ser sujetos a una revisin formal o a una
y legal aplicable. determinada respuesta.
La poltica de riesgos debe ser ratificada por Puntualizar la relacin causa-efecto y la tendencia
algn comit (preferentemente el de riesgos) hacia la gestin de riesgo de la institucin
y relacionarla con la visin, misin y plan mediante un mapa de riesgos institucional.
estratgico, incorporando la administracin de Precisar el modo en que el proceso de la
riesgos como parte de una cultura deseada en administracin de riesgos tiene y preserva su
el estilo de la gestin de la institucin. calidad, y cmo las decisiones institucionales
La poltica de riesgos debe contener datos claros deben basarse en el anlisis de los riesgos.
que identifiquen los diferentes tipos de riesgos, Describir el impacto en la reputacin, operacin,
incluyendo categoras de riesgos en grupos clave. integridad, etc., de la institucin en caso de
Definir roles y responsabilidades referentes a materializarse los riesgos.
la administracin de riesgos, sobre todo en Capacitacin continua en temas relacionados
lo referente a la propiedad, evaluacin y con el programa de administracin de riesgos,
seguimiento de los mismos. que garantice la existencia de una cultura
Determinar acciones que deben desarrollarse institucional de administracin de riesgos.
cuando se presentan los riesgos o surjan fallas Comunicar los programas, polticas y procesos
en los controles. de administracin de riesgos para permear esta
Mantener el entendimiento de las polticas conciencia de riesgos en todo el personal de
de riesgos entre los servidores pblicos con la entidad.
encuestas regulares y entrevistas selectivas.
Describir los riesgos y controles, y el mod en que El seguimiento y supervisin de los riesgos son parte
los riesgos clave deben registrarse en un sistema de la mejora continua, y el Titular debe establecer
de reportes. mecanismos que permitan el seguimiento para valorar
Definir la relacin entre la administracin de el grado de avance y las mejoras necesarias que deben
riesgos, el sistema de control y la poltica de hacerse para reforzar e impulsar la administracin de
integridad institucional. riesgo, hasta lograr una madurez adecuada en el
Definir qu es considerado un control clave, programa de administracin de riesgos.
e indicar si los riesgos registrados deben
Glosario
Se incluye el siguiente glosario para mayor precisin
en las definiciones relacionadas con el proceso de
Administracin de Riesgos:
Trmino Descripcin
Las actividades determinadas e implantadas por los titulares y dems
Accin (es) de servidores pblicos de las instituciones para fortalecer el Sistema de Control
mejora Interno Institucional, as como prevenir, disminuir, administrar y/o eliminar los
riesgos que pudieran obstaculizar el cumplimiento de objetivos y metas.
El proceso sistemtico que deben de realizar las instituciones para evaluar y
dar seguimiento al comportamiento de los riesgos a que estn expuestas en
Administracin de el desarrollo de sus actividades, mediante el anlisis de los distintos factores
riesgos que pueden provocarlos, con la finalidad de definir las estrategias y acciones
que permitan controlarlos y asegurar el logro de los objetivos y metas de una
manera razonable.
35
Una herramienta de Administracin de Riesgos usada para tomar decisiones

sobre las tcnicas propuestas por el grupo para la administracin de los
Anlisis de Costo- riesgos, en la cual se valoran y comparan los costos, financieros y econmicos,
Beneficio de implementar la medida, contra los beneficios generados por la misma.
Una medida de administracin de riesgos ser aceptada siempre que el
beneficio valorado supere al costo.
rea (s) de La situacin favorable en el entorno institucional, bajo la forma de hechos,
oportunidad tendencias, cambios o nuevas necesidades que se pueden aprovechar.
La implantacin que realizan los titulares de las instituciones, de los
mecanismos, acciones y prcticas de supervisin o evaluacin de cada
sistema, actividad o proceso; ejecutado de manera automtica por los
Autocontrol sistemas informticos, o de manera manual por los servidores pblicos; y
que permite identificar, evitar y, en su caso, corregir con oportunidad los
riesgos o condiciones que limiten, impidan o hagan ineficiente el logro de
objetivos.
Causa Son los medios, circunstancias y agentes precursores de los riesgos.
El Comit de Control y Desempeo Institucional, rgano colegiado que
contribuye al cumplimiento de los objetivos y metas institucionales; a impulsar
el establecimiento y actualizacin del Sistema de Control Interno, y al anlisis
Comit y/o COCODI
y seguimiento para la deteccin y administracin de riesgos, conforme a lo
dispuesto en el Ttulo Cuarto de las presentes Disposiciones en Materia de
Control Interno.
El mecanismo especfico de control que opera en la etapa final de un
Control correctivo proceso, el cual permite identificar y corregir o subsanar en algn grado,
omisiones o desviaciones.
El mecanismo especfico de control que opera en el momento en que
Control detectivo los eventos o transacciones estn ocurriendo, e identifican las omisiones o
desviaciones antes de que concluya un proceso determinado.
El proceso que tiene como fin proporcionar un grado de seguridad razonable
Control Interno
en la consecucin de los objetivos de la institucin.
El mecanismo especfico de control que tiene el propsito de anticiparse a
Control preventivo la posibilidad de que ocurran situaciones no deseadas o inesperadas que
pudieran afectar al logro de los objetivos y metas.
Se entiende por costo las erogaciones, directas e indirectas en que incurre la
entidad en la produccin, prestacin de un servicio o manejo de un riesgo,
por ejemplo, adquirir de una pliza de fidelidad para transferir el riesgo de
Costo
fraude por un costo.
La insuficiencia, deficiencia o inexistencia identificada en el Sistema de

Debilidad de Control Interno Institucional mediante la supervisin, verificacin y evaluacin
Control Interno interna y/o de los rganos de fiscalizacin, que pueden evitar que se
aprovechen las oportunidades y/u ocasionar que los riesgos se materialicen.
36
La insuficiencia, deficiencia o inexistencia identificada que obstaculizan

Debilidad de
o impiden el logro de los objetivos y metas institucionales, o motivan la
Control Interno de
existencia de un riesgo que eventualmente genere un dao al erario pblico
mayor importancia
federal.
Determinar el impacto y la probabilidad del riesgo. Dependiendo de la
Evaluacin de
informacin disponible pueden emplearse desde modelos de simulacin,
riesgos
hasta tcnicas colaborativas.
Las secretaras de Estado, incluyendo a sus rganos administrativos
desconcentrados y la Consejera Jurdica del Ejecutivo Federal, conforme
Dependencias
a lo dispuesto en la Ley Orgnica de la Sector Pblico y la Procuradura
General de la Repblica.
Disposiciones Las disposiciones en materia de control interno.
Los trminos y condiciones bajo los cuales se adquieren recursos, en
Economa cantidad y calidad apropiada y al menor costo posible para realizar una
actividad determinada, con la calidad requerida.
El cumplimiento de los objetivos y metas establecidos, en lugar, tiempo,
Eficacia
calidad y cantidad.
El logro de objetivos y metas programadas con la menor cantidad de
Eficiencia
recursos.
Encuesta de La herramienta que aplican los servidores pblicos de una institucin, en el
autoevaluacin mbito de su competencia por nivel de control interno (estratgico, directivo
por nivel de Control y operativo) para conocer los avances en el establecimiento y actualizacin
Interno de los elementos del sistema de control interno institucional.
Los organismos pblicos descentralizados, empresas de participacin estatal
mayoritaria y fideicomisos pblicos que en trminos de la Ley Orgnica de
Entidades
la Sector Pblico y de la Ley Federal de las Entidades Paraestatales son
considerados entidades de la Sector Pblico Paraestatal.
Estrategia para Actividades determinadas y especficas que elige la entidad para evitar o
manejar el riesgo prevenir, reducir, dispersar, transferir y asumir riesgos.
El proceso mediante el cual se determina el grado de eficacia y de eficiencia
Evaluacin del
con que se cumplen los elementos de control del Sistema de Control Interno
Sistema de Control
Institucional en sus tres niveles: Estratgico, Directivo y Operativo, para
Interno
asegurar el cumplimiento de los objetivos del Control Interno institucional.
La circunstancia o situacin interna y/o externa que aumenta la probabilidad
Factor de riesgo
de que un riesgo se materialice.
Grado de madurez
de la Administracin El nmero de controles suficientes establecidos con relacin al nmero de
de Riesgos riesgos inventariados.
Institucional
Grado de madurez La medicin del nivel de aplicacin y estandarizacin de los elementos de
del Sistema de Control Interno que integran los componentes del sistema en un contexto
Control Interno de mejores prcticas, que se obtendr con la implementacin de las
Institucional encuestas.
37
Establecer la estructura del riesgo; fuentes o factores, internos o externos,

Identificacin de generadores de riesgos; puede hacerse a cualquier nivel: toda la entidad,
riesgos por reas, por procesos, incluso, bajo el viejo paradigma, por funciones;
desde el nivel estratgico hasta el ms humilde operativo.
Las consecuencias negativas que se generaran en la institucin, en el
Impacto o efecto
supuesto de materializarse el riesgo.
Es la valoracin de una o ms variables que informa sobre una situacin y
Indicador soporta la toma de decisiones, es un criterio de medicin y de evaluacin
cuantitativa o cualitativa.
Informe Anual del estado que guarda el sistema de control interno
Informe Anual
institucional.
Dependencias y entidades del SECTOR PBLICO Federal, Estatal o Municipal,
Intitucin o
segn corresponda, as como en los rganos Constitucionales Autnomos,
Intituciones
en su caso.
El Manual Administrativo de Aplicacin General en Materia de Control
Interno a que se refiere el artculo cuarto del Acuerdo en el que se emiten
Manual las Disposiciones en Materia de Control Interno y se expide el Manual
Administrativo de Aplicacin General en Materia de Control Interno, el cual
integra diversos procesos asociados con el Control Interno.
Mapas de riesgos La representacin grfica de uno o ms riesgos que permite vincular la
institucional probabilidad de ocurrencia y su impacto en forma clara y objetiva.
Matriz de El tablero de control que refleja el diagnstico general de los riesgos para
Administracin de contar con un panorama de los mismos e identificar reas de oportunidad
Riesgos Institucional en la Institucin.
Modelo Estndar de La herramienta para el establecimiento y actualizacin del Sistema de
Control Interno Control Interno en las Instituciones del sector Pblico.
Nivel de riesgo Es el resultado de correlacionar el impacto y la posibilidad, con los controles
(determinacin del) internos existentes.
La implementacin y actualizacin de los elementos de Control Interno que
integran las cinco Normas Generales de Control Interno, que realizan los
Nivel (es) de Control servidores pblicos adscritos a las Instituciones de acuerdo al mbito de
Interno su competencia y nivel jerrquico y se clasifican en: Estratgico, Directivo
y Operativo, en apego a los numerales 14 y 16 del Acuerdo por el que se
emiten las Disposiciones en Materia de Control Interno.
La implementacin y actualizacin de los elementos de Control Interno
Normas Generales que integran los cinco componentes del Control Interno que realizan los
de Control Interno servidores pblicos adscritos a las Instituciones, de acuerdo al mbito de su
competencia y nivel jerrquico.
OIC El rgano interno de control de la dependencia o entidad
La generacin y entrega de la informacin y documentacin en el tiempo
Oportunidad
requerido para su uso.
El cuerpo colegiado de la administracin de las entidades, de conformidad
rgano de
con los artculos 17 y 18 de la Ley Federal de las Entidades Paraestatales y 2
gobierno
de su Reglamento.
38
La instancia facultada para realizar la revisin, supervisin, evaluacin,

control y seguimiento del ejercicio de los recursos pblicos de acuerdo
rgano (s) a las disposiciones legales, reglamentarias y normas administrativas, as
fiscalizador (es como del cumplimiento de los objetivos contenidos en planes y programas
institucionales, con el propsito de detectar desviaciones, prevenir, corregir,
mejorar y/o sancionar.
Parte del plan de manejo de riesgos que contiene las acciones a ejecutar
Plan de
en caso de la materializacin del riesgo, con el fin de dar continuidad a los
contingencia
objetivos de la entidad.
Programa de manejo del riesgo que contiene las tcnicas de administracin
Plan y programa de
del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir
accin
riesgos.
El ejercicio peridico que facilita la identificacin de fortalezas, oportunidades,
debilidades y amenazas, a travs del cual se integra un programa de trabajo
Planeacin
que permite establecer las palancas o acciones estratgicas o prioritarias,
estratgica
en virtud de que son las que derivan el mayor impacto en resultados,
satisfaccin y confianza de la sociedad.
Una medida (expresada como porcentaje o razn) para estimar la
Probabilidad o posibilidad de que ocurra un incidente o evento. Contando con registros,
posibilidad puede estimarse a partir de su frecuencia histrica mediante modelos
estadsticos de mayor o menor complejidad.
PTAR El Programa de Trabajo de Administracin de Riesgos.
PTCI El Programa de Trabajo de Control Interno.
Son los servidores pblicos encargadas de monitorear un riesgo y dar
Responsables
seguimiento a planes de accin propuestos.
Informacin sistemtica sobre los resultados alcanzados en la ejecucin de
Retroalimentacin
un plan, que sirven para actualizar el nivel de riesgos deseado.
El evento adverso e incierto (externo o interno) que derivado de la
Riesgo combinacin de su probabilidad de ocurrencia y el posible impacto pudiera
obstaculizar o impedir el logro de los objetivos y metas institucionales.
Es aquel al que se enfrenta una entidad en ausencia de acciones de la
Riesgo inherente
direccin para modificar su probabilidad o impacto
Nivel de riesgo que permanece luego de tomar medidas de tratamiento de
Riesgo residual
riesgo.
Recoleccin regular y sistemtica sobre la ejecucin del plan, que sirven
Seguimiento
para actualizar y mejorar la exposicin a riesgos.
Seguridad El escenario en el que la posibilidad de materializacin del riesgo
razonable disminuye, y la posibilidad de lograr los objetivos se incrementa.
39
El conjunto de procesos, mecanismos y elementos organizados y

relacionados que interactan entre s, y que se aplican de manera especfica
por una Institucin a nivel de planeacin, organizacin, ejecucin, direccin,
Sistema de Control
informacin y seguimiento de sus procesos de gestin, para dar certidumbre
Interno Institucional
a la toma de decisiones y conducirla con una seguridad razonable al logro
de sus objetivos y metas en un ambiente tico, de calidad, mejora continua,
eficiencia y de cumplimiento de la ley.
El conjunto de procedimientos ordenados que, al ser ejecutados,
Sistema de
proporcionan informacin para apoyar la toma de decisiones y el control
informacin
de la institucin.
Las tcnicas cualitativas se utilizan cuando los riesgos no se prestan a la
cuantificacin o cuando no estn disponibles datos suficientes y crebles
Tcnicas para una evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte
cualitativas eficaz por su coste.
Las tcnicas cuantitativas pueden utilizarse cuando existe la suficiente
informacin para estimar la probabilidad o el impacto del riesgo empleando
mediciones de intervalo o de razn. Los mtodos cuantitativos incluyen
Tcnicas
tcnicas probabilsticas, no probabilsticas y de anlisis comparativo. Una
cuantitativas
consideracin importante en la evaluacin cuantitativa es la disponibilidad
de informacin precisa, ya sea de fuentes internas o externas, y uno de los
retos que plantea el uso de estas tcnicas es de obtener datos vlidos.
TICs Las Tecnologas de la Informacin y Comunicaciones.
Las comprendidas en el reglamento interior, estatuto orgnico y/o estructura
Unidades
orgnica bsica de una Institucin, responsable de ejercer la asignacin
administrativas
presupuestaria correspondiente.
Valoracin del Fase en la administracin de riesgos, diagnstico que consta de la
riesgo identificacin, anlisis y determinacin del nivel de riesgo.
40

Mesicic5 Mex Ane 64 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Mesicic5 Mex Ane 64 PDF

Загружено:

Авторское право:

Доступные форматы

Gua de Autoevaluacin de

Riesgos en el Sector Pblico

AUDITORA ESPECIAL DE TECNOLOGAS DE INFORMACIN,

Tipologa de riesgos .................................................................................................7

Proceso General de Administracin de Riesgos ....................................................7

1. Sistemas de Control Interno ...............................................................................10

2. Componentes del marco de control interno COSO 2013 .................................11

3. Metodologa de Administracin de Riesgos .....................................................14

4. Plan de Continuidad del Negocio (PCN) ............................................................ 32

Anexo 1. Glosario ................................................................................................. 35

A quin est dirigida la Gua

Tienes Procedimiento Evaluacin de

279 149 130 161 118 66 213 110 169 4 275

% 53% 47% 58% 42% 24% 76% 39% 61% 1% 99%

Cuadro 1. Elaboracin de la ASF con informacin del Estudio 1172

Financiero Reputacional o de imagen

Cuadro 2. Elaborado por la ASF

Proceso General de Administracin

Establecer de manera precisa los objetivos estratgicos conforme a la normatividad

Identificar los procesos sustantivos, adjetivos y estratgicos, as como los riesgos

Valorar el posible impacto y probabilidad que representa la materializacin de los

Segumiento del avance de las actividades establecidas en el plan de accin y

Figura 1. Elaborada por la ASF

Desempeo del Metas

Figura 2. Fuente: Elaborada por la ASF

1 Sistemas de Control Interno

2 Componentes del marco de control

Compromiso de los titulares de las instituciones y unidades administrativas

Polticas y manuales operativos

Figura 3: Elaborada por la ASF

2.1 Ambiente de control

2.2 Evaluacin de riesgos

2.3 Actividades de Control

2.4 Informacin y Comunicacin

3.1 Principios bsicos para una adecuada

Marco General de Administracin de Riesgos en el Sector Pblico

Evaluacin y anlisis de riesgos

Establecer la priorizacin del

Respuesta a los riesgos

Tratamiento de los riesgos

Figura 4.Fuente: Elaborada por la ASF

3.2 Identificar objetivos estratgicos

Factores internos Factores externos

Cambios en el marco legal: Podra implicar un riesgo

Tecnologas de Informacin: Confidencialidad de la

Procesos: Diseo y documentacin de los procesos,

Cuadro 3. Fuente: Elaborado por la ASF

3.3 Contexto en el cual se materializan los riesgos

Categoras de riesgos Financieros

- Relaciones laborales y utilizados

Figura 5. Fuente: Elaborada por la ASF

3.4 Identificacin de riesgos

3.4.1 Tcnicas para la identificacin de riesgos

Figura 6. Fuente: Elaborada por la ASF

3.4.2 Clasificacin de riesgos

Tecnolgico: Se relaciona con la capacidad de la A la reputacin o imagen: Se refleja en un impacto

3.4.3 Desarrollo de talleres de trabajo para la identificacin

1. Designar a un responsable para moderar los 3. Analizar el contexto en el que se encuentra la

Cuadro 4. Fuente: Elaborado por la ASF

Identificacin del riesgo

Cuadro 5. Elaborada por la ASF2

3.5 Evaluacin de riesgos

2 Matriz incluida en el SAAR