Академический Документы
Профессиональный Документы
Культура Документы
ndice
Introduccin 5
A quin est dirigida la Gua ........................................................................................6
Objetivo ...................................................................................................................10
Alcance ...................................................................................................................10
3
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
4
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Introduccin
A lo largo de 2013 y 2014, la Auditora Superior de obligaciones de administracin de riesgos en caso de
la Federacin (ASF) trabaj con las instituciones del que se encuentren normadas en dicha esfera. A la vez
sector pblico federal con objeto de contribuir al ser una herramienta til para el establecimiento de
fortalecimiento de sus sistemas de control interno y tal actividad en las organizaciones que, aun sin estar
de sus programas de promocin de la integridad. Para sujetas a una regulacin especfica, se ven impelidas a
ello, utiliz un enfoque basado en la aplicacin de gestionar sus riesgos como parte de una modernizacin
evaluaciones especializadas y la difusin de mejores y mejora continuas.
prcticas en la materia.
Por ello, para la elaboracin de esta Gua no slo
La ASF guarda la conviccin de que la mejora del se analiz la legislacin federal y local respectiva, a
control interno es uno de los ejes indispensables para efecto de hacerla compatible; tambin se tomaron
elevar la eficiencia y economa de la gestin pblica, en consideracin las mejores prcticas internacionales
as como un elemento imprescindible para reducir en la materia, como son las Normas de las Entidades
efectivamente la posibilidad de ocurrencia de actos Fiscalizadoras Superiores publicadas por la INTOSAI, las
corruptos desde un enfoque preventivo, disciplinado normas del Instituto Internacional de Auditores Internos
y sistemtico. y los lineamientos establecidos en la materia por el
Modelo COSO 2013, entre otras reconocidas fuentes
En las cerca de 400 reuniones de facilitacin relativas internacionales.
al control interno y la salvaguarda de la integridad que
la ASF sostuvo en 2014 con ms de 190 instituciones Es importante observar que, adems de preparar esta
federales, se hizo patente la necesidad que existe Gua, la ASF ha desarrollado una herramienta tecnolgica
en un nmero significativo de ellas de contar con automatizada, el Sistema Automatizado de Administracin
herramientas metodolgicas especializadas, las cuales de Riesgos, la cual tambin pone a disposicin de todas
les permitan evaluar los riesgos que enfrentan en el las instituciones gubernamentales el SNF.
logro de sus objetivos.
Dicha herramienta tiene como propsito que todo
Como respuesta a esa necesidad, expresada de ente del sector pblico est en posibilidad de realizar el
manera recurrente por mltiples instituciones, y como registro de los riesgos que enfrenta, evaluarlos conforme
una contribucin al Sistema Nacional de Fiscalizacin a su impacto y probabilidad de ocurrencia, asignar
(SNF), la ASF presenta esta Gua de Autoevaluacin de responsables especficos, obtener los mapas respectivos
Riesgos en el Sector Pblico, la cual est concebida y, en breve, hacer de la administracin de riesgos una
para ser utilizada por toda institucin de gobierno que realidad funcional en la operacin cotidiana de la
as lo decida, independientemente del Poder en que se institucin.
encuentre y el orden de gobierno al que pertenezca.
Debe sealarse que la legislacin vigente en materia de Desde la perspectiva de la fiscalizacin superior, muchas
administracin de riesgos no se encuentra homologada de las dificultades que enfrenta la gestin pblica y
a nivel nacional; incluso en el orden federal, los distintos que han sido un factor de erosin de la confianza en
Poderes cuentan con marcos regulatorios distintos y, la capacidad del Estado para resolver las demandas
en algunos casos, inexistentes. ciudadanas ms urgentes pueden ser abordadas
desde enfoques tcnicos que han demostrado su
Por esa razn, la presente Gua ha sido preparada utilidad y eficacia en donde se han implantado.
tomando en consideracin el marco normativo que
s se encuentra presente y es por tanto obligatorio Para la ASF, tanto las reuniones de facilitacin sostenidas,
para determinadas instituciones, al tiempo que es un como la preparacin de diversas guas especializadas
documento de orientacin para aquellas instituciones y la elaboracin de la herramienta automatizada para
que no cuentan con normas especficas en relacin la administracin de riesgos, representan una serie de
con la gestin de riesgos. contribuciones tcnicas y especializadas para la mejora
general de la gestin pblica, al tiempo que se traducen
En otras palabras, la puesta en prctica de esta Gua en un ahorro sustantivo de recursos econmicos para
permitir a las instituciones cumplir cabalmente con sus las instituciones que decidan implementarlas.
5
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Con la publicacin de esta Gua, el rgano de gubernamental, y de que contine brindando beneficios
fiscalizacin superior federal respalda su compromiso de a sus miembros y a las instituciones del pas para trabajar
seguir consolidando el Sistema Nacional de Fiscalizacin con mayores niveles de control interno, integridad,
como una pieza clave para fortalecer el desempeo transparencia y rendicin de cuentas.
Si No Si No Si No Si No Si No
6
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Tipologa de riesgos
Existen diferentes tipos de riesgos, los cuales se clasifican de acuerdo con su naturaleza, como se muestra en
el cuadro siguiente:
Tipologa de Riesgos
Discrecionales No discrecionales
Resultan de la toma de una posicin de riesgo Resultan de la operacin de la institucin
Presupuestal Estratgico o sustantivo
Crdito Integridad
Liquidez Operativo
Tecnolgico
Legal
Administrativo
Servicios
Seguridad
Obra pblica
Recursos Humanos
7
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Determinar un plan de accin para mitigar, principalmente, los riesgos evaluados con
Responder alto impacto y probabilidad de ocurrencia (analizar diferentes opciones para determinar
la ms adecuada en funcin de las impliaciones, y caractersticas institucionales).
Definir fechas de implementacin del plan y sus responsables.
La administracin de riesgos, ayuda a los mandos sus objetivos y estar preparados para enfrentar cualquier
superiores, medios y operativos de las instituciones del contingencia.
Sector Pblico a tener control sobre aquellos eventos
que, en caso de materializarse, puedan afectar el Cabe sealar, que esta Gua apunta a fortalecer los
desarrollo y funcionamiento de los procesos para sistemas de control interno, mediante la generacin
alcanzar los objetivos que persigue la institucin. de una visin sistmica sobre la adiministracin
y autoevaluacin de riesgos; asimismo, a un
Dada la pluralidad y particularidad de cada una direccionamiento estratgico que establezca
de las entidades del Sector Pblico, por ejemplo, una orientacin precisa y planeada de la gestin,
respecto de las funciones que desempean, estructura proporcionando bases para el desempeo adecuado
organizacional, manejo presupuestario, contacto de actividades de control.
ciudadano y compromiso con la sociedad, es necesario
identificar las reas, procesos o actividades ms La administracin de riesgos se lleva a cabo mediante
vulnerables a la ocurrencia de riesgos que atenten el diseo de un programa destinado para tal objetivo,
contra el logro de sus objetivos. el cual, debe contener los procedimientos y formas
de identificar, evaluar y analizar, responder, controlar,
Las instituciones del Sector Pblico, deben contar con un supervisar y comunicar riesgos institucionales.
proceso de adiministracin de riesgos tendiente a darles
un manejo adecuado, con el fin de lograr en trminos La Auditora Superior de la Federacin (ASF) y los dems
de eficiencia, eficacia y economa el cumplimiento de miembros del Sistema Nacional de Fiscalizacin
8
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
tenemos la firme conviccin de que el proceso los bienes pblicos contra el desperdicio y uso
de fiscalizacin, rendicin de cuentas y combate inadecuado.
a la corrupcin se fortalecen en la medida en que
los programas de gestin de riesgos contribuyen Para implantar un programa de administracin exitoso
favorablemente al cumplimiento eficaz y eficiente se necesita incluir conceptos e ideas integradas
de los objetivos y metas de los planes, programas en el programa, e involucrar a todos los niveles
y proyectos relevantes; propician la generacin de de la institucin, con el objetivo de identificar los
informacin confiable y oportuna; tranparentan la riesgos que podrian afectar potencialemente sus
administracin y control de los recursos pblicos; logros y proporcionar una seguridad razonable el
facilitan que las atribuciones se ejerzan dentro del cumplimiento de los objetivos estratgicos.
marco legal y normativo aplicable, y protegen
Resultados Objetivos
Controles a
Revisiones y
nivel entidad
validaciones
(generales)
Identificacin,
Diseo de evaluacin,
controles por priorizacin y
proceso mitigacin de
riesgos
El cuadro anterior muestra la interaccin del proceso comprensin del entorno institucional tanto interno
de la administracin de riesgos con la estrategia como externo facilita esta etapa del proceso de
institucional, al iniciar con la definicin de los objetivos administracin de riesgos.
estratgicos. Estos ltimos requieren la implantacin de
controles generales que deben observarse por todos los El diseo, implantacin y medicin de la eficacia de
miembros de la entidad, por ejemplo el establecimiento los controles a nivel proceso es el siguiente paso para
formal de una poltica de integridad, cdigo de tica, dar respuesta a los riesgos identificados. Es importante
cdigo de conducta, etctera. sealar que esta actividad es responsabilidad principal
de los dueos de los procesos operativos y, en un
Posteriormente es necesario identificar, evaluar, corto plazo podr llevarse a cabo mediante la Gua
analizar, responder, controlar, supervisar y comunicar de Autoevaluacin de Controles correspondiente
los riesgos que amenazan el logro de los objetivos. La que pondr a disposicin del sector pblico el SNF.
9
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Objetivo
Desarrollar una Gua de Administracin de Riesgos que supervisin y comunicacin adecuada de esos posibles
permita a las entidades del sector pblico gestionar eventos, con la finalidad de asegurar de forma razonable
los riesgos a los que se encuentran expuestos sus que se lograrn los objetivos institucionales en trminos
procesos sustantivos y adjetivos relevantes, mediante de eficacia, eficiencia y economa en un marco de
la identificacin, evaluacin, anlisis, respuesta, control, transparencia y rendicin de cuentas.
Alcance
La Gua, proporciona directrices para establecer y 2013, no obstante, derivado del estudio y anlisis de
mantener un marco tcnico para la administracin diversos documentos especializados en la materia,
general de riesgos, mismo que puede adoptarse por resulta compatible con otros modelos o estndares de
cualquier institucin del sector pblico. Control Interno como ISO 31000, CoCo en Canad,
Cadbury y Turnbull en el Reino Unido, ACC en Australia
Esta gua se basa principalmente en los cinco y MECI en Colombia, COBIT 5 for risk (EUA), entre otros.
componentes del Marco de Control Interno COSO
1 Comit de Organizaciones Patrocinadoras de la Comisin Treadway, integrada por la Asociacin Americana de Contabilidad (AAA), el Instituto
Americano de Contadores Pblicos Certificados (AICPA), los Ejecutivos de Finanzas Internacionales (FEI), el Instituto de Contadores Administrativos
(IMA) y por el Instituto de Auditores Internos (IIA), por sus siglas en ingls.
10
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
El modelo Turnbull fue diseado por el Institute of para que asuman un nivel apropiado de compromiso
Chartered Accountants of England and Wales. Permite a en el logro de los propsitos y objetivos en trminos de
las entidades contar con un sistema de control interno eficiencia y eficacia, legalidad y legitimidad.
que gestiona riesgos operacionales, financieros y legales
a los cuales est expuesta. Simultneamente, ofrece El Modelo Estndar de Control Interno (MECI), el
herramientas para garantizar la fiabilidad de los informes cual fue desarrollado en Colombia, tiene por objeto
financieros y asegurar el cumplimiento de la normativa fortalecer el control interno con base en la tica
aplicable a la organizacin. pblica, el fortalecimiento del proceso de informacin y
comunicacin, la generacin de informacin confiable
El modelo australiano ACC (Australian Control Criteria), da y oportuna y la promocin de la transparencia en las
importancia a los empleados y otros grupos de inters instituciones.
11
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Contexto estratgico
Identificacin de riesgos
Administracin de
Anlisis y evaluacin de riesgos
riesgos
Polticas de administracin de riesgos
Tolerancia al riesgo
Sistemas de informacin
Informacin y
Anlisis e identificacin de informacin relevante
comunicacin
Canales de comunicacin interna y externa
Auditora interna
Autoevaluacin
Supervisin
Evaluaciones independientes
Mejora continua
12
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
activa de los diferentes niveles de autoridad en la e innovador. Para conducir a las instituciones del sector
gestin de riesgos. pblico a cumplir con un estndar internacional de
administracin de riesgos, la presente Gua observa
El riesgo est presente en todas las operaciones de las mejores prcticas establecidas en diferentes
cualquier entidad del sector pblico y se materializa documentos como COSO 2013 y COSO ERM, los cuales
mediante eventos adversos que detonan en prdidas estn enfocados principalmente en la identificacin
directas o indirectas, costos por dao reputacional o de de los objetivos de procesos, los riesgos implcitos a
imagen, ineficiencia de procesos internos, deficiencia stos y su cuantificacin y , el registro histrico de los
en la administracin de personas, anomalas en sistemas materializados.
automatizados, entre otras consecuencias inesperadas.
La gua incluye la identificacin de riesgos, su
La administracin del riesgo operacional se distingue clasificacin y la determinacin de la probabilidad e
de otros tipos de riesgos, debido a que comprende impacto de manera cualitativa para definir los controles
cualquier limitacin, amenaza o problema intrnseco e indicadores correspondientes que permitan mitigar
de todas las actividades y procesos inherentes a las y supervisar tales riesgos. Para ello, se desarrollan
operaciones de los entes gubernamentales que, a e implementan programas de Administracin de
travs de diversos mecanismos de sistemas de mejora Riesgos, que tienen como fin asegurar la existencia de
de control interno y de prevencin del riesgo, busca mecanismos de control, principalmente en los procesos
proteger y fortalecer el patrimonio de las entidades ms vulnerables a su ocurrencia.
ante posibles desviaciones o prdidas econmicas por
la exposicin al riesgo que se tiene. En este sentido, es Las actividades desarrolladas para la administracin
fundamental que la institucin desarrolle una efectiva del riesgo, son un complemento estratgico dentro de
administracin de riesgos que le permita enfrentar o la gestin integral de riesgos en las entidades. Trabajar
evitar prdidas econmicas, eficientar las operaciones, en sinergia asegura que se identifiquen los riesgos y
generar informacin financiera y no financiera y cumplir se definan las respuestas para su mitigacin y otras
con el marco legal y normativo aplicable. acciones de vigilancia de su comportamiento, segn
las mejores prcticas internacionales.
Para el sector pblico mexicano, el desarrollo del
concepto del riesgo puede considerarse como actual
2.5 Supervisin
Busca asegurar que los controles operen como se requiere a fin de, cumplir con oportunidad y eficiencia las metas y
y que sean modificados apropiadamente de acuerdo objetivos previstos en sus respectivos programas, conforme
con los cambios en las condiciones de cada institucin a lo dispuesto en la normativa aplicable.
13
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
3 Metodologa de Administracin
de Riesgos
Las instituciones del sector pblico deben cumplir por la existencia de riesgos, razn por la cual se hace
su misin, mediante los objetivos institucionales, los necesario contar con acciones especficas para
cuales se desarrollan a partir del diseo y ejecucin administrarlos dentro de la institucin. El adecuado
de los diferentes planes, programas y proyectos. El manejo de los riesgos beneficia el desarrollo de
cumplimiento de los objetivos, puede verse afectado la institucin.
Conformacin del equipo: Es importante que la Capacitacin sobre la Gua: Una vez que se cuenta con
institucin cuente con un equipo responsable de la el equipo responsable del proceso de administracin
implementacin del proceso de Administracin de de riesgos, debe capacitarse a sus integrantes en la
Riesgos, el cual cuente con un canal de comunicacin instrumentacin del presente documento.
directo con el titular y mandos superiores de las unidades
administrativas. Es recomendable que los integrantes La figura 4 muestra de manera sintetizada el marco
de este equipo cuenten con conocimientos sobre la general de administracin de riesgos en el sector pblico:
14
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Objetivos estratgicos
Conocimiento puntual de
Definicin de metas y
los objetivos institucionales y
objetivos de cada Unidad
nacionales contenidos en el Objetivos de administracin
Administrativa alineados a los
Plan Estratgico o Programa de riesgos.
institucionales, sectoriales y
Sectorial y en el Plan
nacionales.
Nacional de Desarrollo.
Identificacin de Riesgos
Supervisin y Monitoreo
Qu y cmo puede pasar?
Comunicacin
Determinar probabilidad
Determinar impacto
15
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Para establecer un programa de administracin de Asimismo deben considerarse los registros histricos
riesgos es fundamental que los servidores pblicos de de riesgos materializados o cercanos a materializarse,
los diferentes puestos que integran la institucin tengan opiniones de especialistas y expertos, informes de
conocimientos referentes a la estrategia institucional. evaluaciones de aos anteriores e indicadores
Dicho programa debe atenderse de manera sistmica; generados en la institucin. A continuacin se muestran
es decir, no debe funcionar de manera aislada, sino algunos ejemplos de factores internos y externos:
integral. Esto puede lograrse mediante comunicados y
16
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Internos
- Corrupcin -Recursos pblicos mal
Fallas en procesos,
Factores/causas
Riesgo potencial
17
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
1. Talleres de
autoevaluacin
9. Registros
de riesgos 2. Mapeo de
materializados procesos
3. Anlisis de
8. Anlisis entorno interno y
comparativo Tcnicas para externo
identificacin
de riesgos
7.Cuestionarios
dirigidos a SP de 4. Lluvia de ideas
mandos superiores
o medios
5. Anlisis de
indicadores de
6. Entrevistas gestin, desempeo
y riesgos
18
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
1. Talleres de autoevaluacin: Consisten en o debajo del rango normal, esto debe analizarse
reuniones de servidores pblicos de diferentes para determinar si esa desviacin se debe a algun
niveles jerquicos que dempeen actividades riesgo materializado o su comportamiento anormal
clave en la entidad; con el objetivo de identificar tiene alguna explicacin diferente a un riesgo.
los riesgos, analizar y evaluar su posible impacto
en el cumplimiento de los objetivos y proponer 7. Cuestionarios: Consisten en una serie de preguntas
acciones para su mitigacin. enfocadas a detectar las preocupaciones de los
servidores pblicos de mandos superiores, medios
2. Mapeo de procesos: Esta tcnica consiste en u operativos sobre riesgos que se perciben en las
revisar el diagrama del proceso operativo e actividades que desempean.
identificar los puntos crticos que podran implicar
un riesgo. Para efectuarla es necesario que se 8. Anlisis comparativo: Comprenden el anlisis
encuentren documentados todos los procesos entre instituciones que desarrollan actividades
de la institucin. similares, con el fin de identificar riesgos que
podran afectar la entidad.
3. Anlisis de entorno: Consiste en la revisin de
cambios en marco legal, entorno econmico 9. Registros de riesgos materializados: Consiste en
o cualquier factor externo que podra amenazar bases de datos con los riesgos materializados en
el cumplimiento de los objetivos. el pasado en la institucin. Estos registros deben
contener la descripcin del evento, fecha, monto
4. Lluvia de ideas: Se trata de una tcnica grupal de prdida, si se llev a cabo alguna recuperacin
en la que participan actores de diferentes niveles y qu control se estableci para mitigar el riesgo
jerrquicos para generar ideas relacionadas con y que cierta situacin vuelva a repetirse.
los riesgos, causas, eventos o impactos que
pueden poner en peligro el logro de los objetivos. Una de las herramientas que funciona de manera ms
adecuada para la identificacin de riesgos son los
5. Entrevistas: stas consisten en realizar una serie talleres; sin embargo, las otras tcnicas pueden utilizarse
de preguntas relacionadas con los eventos como complemento, de tal forma que mediante la
que amenazan el logro de los objetivos. Se combinacin de varias herramientas se logre una
aplican a servidores pblicos de diferentes cobertura ms amplia en la identificacin de riesgos.
niveles jerrquicos de una o varias unidades
administrativas. Durante el proceso de identificacin de riesgos es
preciso clasificarlos en primer instancia de acuerdo
6. El anlisis de indicadores de gestin, de con su tipologa, con el fin de comprender las causas
desempeo o de riesgos: Debern establecerse e impacto que dichos riesgos pueden tener en caso
con anterioridad y evaluar sus desviaciones, es de materializarse.
decir, que su comportamiento est por encima
19
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
20
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
La identificacin de los riesgos debe ser acorde a su Durante el desarrollo de la etapa de identificacin
causa primaria; es decir, aquellas que los originan de riesgos, las instituciones deben dar prioridad a los
dentro del proceso o subproceso, en especial debe procesos crticos y los riesgos ms relevantes.
cuidarse separar eventos transferidos por otras reas
o procesos. Es importante sealar que, como se ha mencionada
anteriormente, de forma complementaria a esta Gua
La matriz de identificacin de riesgos permite que las se dise el SAAR para llevar a cabo el registro de los
instituciones lleven el registro de los riesgos detectados, riesgos, el cual permitir a las instituciones del sector
para contar con un inventario de los mismos, al determinar pblico llevar una adecuada administracin de riesgos.
el objetivo, proceso o plan que puede verse afectado Dicha herramienta incluye un instructivo para el usuario,
por un determinado riesgo, as como las causas y el que apoya el uso y aprovechamiento de los recursos
impacto posible.
21
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
En el grado de impacto, debe considerarse el valor 10 causar en la institucin; dicha estimacin se realiza
de mayor jerarqua y 1 de menor. El orden los factores utilizando las dos escalas anteriores.
o criterios puede variar, dependiendo del mandato,
naturaleza y circunstancias de cada entidad. Es importante que esta evaluacin se lleve a cabo cada
3 meses, con la finalidad de mantener actualizados
La evaluacin del riesgo debe estimar la probabilidad los riesgos de acuerdo con el entorno interno y externo
de ocurrencia de un riesgo y el impacto que puede de la institucin.
22
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Evaluacin de riesgos
Probabilidad Impacto Valor del Riesgo Prioridad del Riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
23
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
La escala para priorizar riesgos se muestra a continuacin la probabilidad e impacto determinados al momento
y determina la gravedad del riesgo de acuerdo con de la evaluacin.
CONTROLES
rea Evidencia
Nmero Nombre Tipo de Frecuencia Evidencia Efectividad Diseo del Existe riesgo
responsable de la
de control de control control de Ejecucin del control del control control residual?
del control ejecucin
24
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Valores
Mandos Superiores corporativos
Objetivos de
negocios
Mandos medios y operativos
Gestin de riesgos y controles
Estrategias de
riesgo/control
Proceso de
auditora inicial
25
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Figura 9. Fuente: Elaborada por la ASF Transferir el riesgo: Esta respuesta consiste en trasladar
el riesgo mediante la responsabilizacin de un tercero
(tercerizacin especializada). El tercero debe tener
Para responder a los riegsos evaluados, la institucin experiencia particular para ejecutar el trabajo sin
analiza y determina las acciones correspondientes que riesgos o si el riesgo permanece. La responsabilidad
deben emprenderse, considerando de el impacto y ser del tercero y asumir los impactos o perdidas
la probabilidad determinada, con el fin de alinear los derivadas de su materializacin. En la actualidad la
riesgos evaluados con el apetito de riesgo, estrategia estrategia de transferencia de riesgos es una de las
y objetivos. ms utilizadas; cuenta con tres dimensiones que se
detallan a continuacin:
La institucin debe analizar diversas alternativas
para emprender posibles respuestas a los riesgos, Proteccin o cobertura: Cuando la accin
incluyendo las que se enfocan a asumirlos, vigilarlos, que se realiza para reducir la posibilidad de
evitarlos, transferirlos, mitigarlos y compartirlos. Es de vital una prdida, obliga tambin a renunciar a la
importancia realizar un anlisis del beneficio ante el costo posibilidad de una ganancia.
en la mitigacin de los riesgos para que posteriormente Aseguramiento: Significa pagar una prima (el
se establezcan polticas de administracin de riesgos. precio del seguro) para que en caso de tener
prdidas estas sean asumidas por la aseguradora.
Asumir el riesgo: Una vez analizado el grado de impacto Diversificacin: Implica mantener cantidades
que el riesgo tiene sobre los objetivos estratgicos y que similares de muchos activos riesgosos en lugar de
se concluye que no est en condiciones de mitigarlo concentrar toda la inversin en uno slo producto.
razonablemente, se decide retenerlo y no ejecutar
accin alguna. Esta estrategia deber usarse slo Reducir el riesgo: Esta estrategia aplica cuando un riesgo
para riesgos de bajo impacto y baja probabilidad de ha sido identificado y representa una amenaza para el
ocurrencia.
26
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
A continuacin se muestran los niveles y su correspondencia respuesta que necesita el riesgo para gestionarlo de
con las zonas que determinan la prioridad y el tipo de manera adecuada:
27
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
28
Matriz de riesgos
Identificacin del riesgo Evaluacin de riesgos
Objetivo Nombre Causa rea Prioridad
Nmero de Tipo de Descripcin Tipo de Clasificacin Tipo de Consecuencia Valor del
Proceso del del del del Probabilidad Impacto del
riesgo proceso del riesgo riesgo del riesgo factor del riesgo riesgo
proceso riesgo riesgo riesgo riesgo
1 3 2.2 Bajo
7 6 6.4 Alto
10 10 10 Muy alto
2 9 6.2 Alto
6 3 4.2 Medio
4 7 5.8 Alto
3 8 6 Alto
8 7 7.4 Alto
6 5 5.4 Alto
29
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
30
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
Mapa de riesgos
10 36 21 15 6 4 1,2
35 14 9,10
8 43 37,38 30,32 23 16 12 7 3
45 18 11 5
6 46 40,41 33 17
Probabilidad
44 22 8
4 28,29 19
47 42 34 27 13
2 31 24,25,26
49 48 39 20
0
0 2 4 6 8 10
Impacto
Figura 11. Fuente: Elaborada por la ASF
31
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
2. El Titular revisar los niveles de tolerancia 5. Los responsables de cada riesgos deben supervisar
aprobados al menos una vez al ao o cuando el comportamiento de los niveles de tolerancia
se requiera, con la finalidad de asegurar que mediante de indicadores de riesgos establecidos
se encuentran en los niveles razonables y por el Titular y autorizados por el Comit de Riesgos
cualquier cambio que se requiera se someter o su equivalente.
a aprobacin del Comit de Riesgos o su
equivalente para su aprobacin.. 6. En caso de que el nivel de riesgo observado
exceda el nivel de tolerancia autorizado por
3. Una vez aprobados los niveles de tolerancia por el Comit de Riesgos, la institucin informar
el Comit de Riesgos o su equivalente, sern inmediatamente despus de haberla detectado.
comunicados a las reas involucradas.
4.1 Resiliencia
Es la capacidad de un sistema, expuesto a una amenaza, La resiliencia de una institucin con respecto a los
para resistir, absorber, adaptarse y recuperarse de sus posibles eventos que resulten de una amenaza, se
efectos de manera oportuna y eficaz, lo que incluye determina por el grado en que la entidad cuenta con
la preservacin y la restauracin de sus estructuras y los recursos necesarios y es capaz de organizarse tanto
funciones bsicas.6 antes como durante una crisis o un desastre natural,
por ejemplo un terremoto, inundacin incedio, etc. Este
La resiliencia como concepto, proviene de la fsica concepto incluye a los servidores pblicos, procesos
de los materiales y a manera de ejemplo se puede sustantivos, adjetivos y estratgicos, tecnologa e
expresa por medio de las cualidades de un resorte, es infraestructura.
decir, qu tanto puede resistir a la presin, doblarse con
flexibilidad y recobrar su forma original. La imagen de un El dao reputacional y la interrupcin de las operaciones,
resorte que se estira y regresa a su forma original, refleja encabezan la lista de los mayores impactos para las
la resiliencia, que toma el sentido de la capacidad instituciones del sector pblico. Hoy en da, la continuidad
de resistir a o de resurgir de un choque o una crisis. del negocio no slo se asocia con fenmenos fsicos
6 2009 UNISDR Terminologa sobre Reduccin del Riesgo de Desastres, Pg. 28, Organizacin de las Naciones Unidas (ONU)
32
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
como incendios o fallos tecnolgicos, sino que se Contar con un Plan de Continuidad del Negocio
extiende a un nivel estratgico en el que la reputacin permite a las instituciones garantizar la continuidad
y el valor de las instituciones en cuanto a credibilidad de la actividad frente a una crisis, aumentando las
y confianza de la ciudadana, son elementos clave. posibilidades de supervivencia de la institucin.
1.- Obtener una imagen clara y detallada de El PCN o Plan de Continuidad del Negocios extiende
los procesos sustantivos y adjetivos relevantes el alcance:
de la entidad, determinando sus criticidades,
interdependencias y riesgos. El PCN tiene como objetivo el mantenimiento de la
2.- Lograr un conocimiento profundo de la plataforma actividad en la entidad, bien mediante la recuperacin
tecnolgica. de los procesos de soporte o mediante la aplicacin
3.- Determinar las necesidades crticas para permitir de procesos de emergencia.
un grado de operatividad en lnea con los planes
estratgicos y metas definidas. Dentro del PCN es clave el anlisis de impacto en
4.- Desarrollar una solucin cuya relacin costo- las Operaciones que toma en cuenta el impacto
beneficio cumpla con los requisitos y las econmico cuando se detenienen las actividades
expectativas de la entidad. en la entidad.
5.- Prever y documentar las acciones necesarias
para restaurar las actividades de la entidad.
33
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
Utilizada por las organizaciones para asegurar el Utilizada por las organizaciones para proporcionar
cumplimiento con las leyes y reglamentos; informacin relevante acerca de las polticas,
directivas, normas y procedimientos de seguridad de
Utilizada en una organizacin como un marco de la informacin a los proveedores y otras organizaciones
procesos para el establecimiento y gestin de controles con las que interactan por razones operativas.
34
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
estratgico, sin dejar de lado el marco jurdico ser sujetos a una revisin formal o a una
y legal aplicable. determinada respuesta.
La poltica de riesgos debe ser ratificada por Puntualizar la relacin causa-efecto y la tendencia
algn comit (preferentemente el de riesgos) hacia la gestin de riesgo de la institucin
y relacionarla con la visin, misin y plan mediante un mapa de riesgos institucional.
estratgico, incorporando la administracin de Precisar el modo en que el proceso de la
riesgos como parte de una cultura deseada en administracin de riesgos tiene y preserva su
el estilo de la gestin de la institucin. calidad, y cmo las decisiones institucionales
La poltica de riesgos debe contener datos claros deben basarse en el anlisis de los riesgos.
que identifiquen los diferentes tipos de riesgos, Describir el impacto en la reputacin, operacin,
incluyendo categoras de riesgos en grupos clave. integridad, etc., de la institucin en caso de
Definir roles y responsabilidades referentes a materializarse los riesgos.
la administracin de riesgos, sobre todo en Capacitacin continua en temas relacionados
lo referente a la propiedad, evaluacin y con el programa de administracin de riesgos,
seguimiento de los mismos. que garantice la existencia de una cultura
Determinar acciones que deben desarrollarse institucional de administracin de riesgos.
cuando se presentan los riesgos o surjan fallas Comunicar los programas, polticas y procesos
en los controles. de administracin de riesgos para permear esta
Mantener el entendimiento de las polticas conciencia de riesgos en todo el personal de
de riesgos entre los servidores pblicos con la entidad.
encuestas regulares y entrevistas selectivas.
Describir los riesgos y controles, y el mod en que El seguimiento y supervisin de los riesgos son parte
los riesgos clave deben registrarse en un sistema de la mejora continua, y el Titular debe establecer
de reportes. mecanismos que permitan el seguimiento para valorar
Definir la relacin entre la administracin de el grado de avance y las mejoras necesarias que deben
riesgos, el sistema de control y la poltica de hacerse para reforzar e impulsar la administracin de
integridad institucional. riesgo, hasta lograr una madurez adecuada en el
Definir qu es considerado un control clave, programa de administracin de riesgos.
e indicar si los riesgos registrados deben
Glosario
Se incluye el siguiente glosario para mayor precisin
en las definiciones relacionadas con el proceso de
Administracin de Riesgos:
Trmino Descripcin
Las actividades determinadas e implantadas por los titulares y dems
Accin (es) de servidores pblicos de las instituciones para fortalecer el Sistema de Control
mejora Interno Institucional, as como prevenir, disminuir, administrar y/o eliminar los
riesgos que pudieran obstaculizar el cumplimiento de objetivos y metas.
El proceso sistemtico que deben de realizar las instituciones para evaluar y
dar seguimiento al comportamiento de los riesgos a que estn expuestas en
Administracin de el desarrollo de sus actividades, mediante el anlisis de los distintos factores
riesgos que pueden provocarlos, con la finalidad de definir las estrategias y acciones
que permitan controlarlos y asegurar el logro de los objetivos y metas de una
manera razonable.
35
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
36
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
37
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
38
.................................................................................................... Gua de Autoevaluacin de Riesgos en el Sector Pblico
39
Gua de Autoevaluacin de Riesgos en el Sector Pblico ................................................................................................................
40