Professional Documents
Culture Documents
de
Riesgos
Autoevaluacin
en el
de
Sector Pblico
COMUNICACIONES Y CONTROL
....................................................................................................
ndice
5
Introduccin
10
Alcance ...................................................................................................................
10
10
11
13
14
3.4.2
3.4.3
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
19
3.12.1
28
.......................................................................... 28
30
31
32
4. Plan de
4.1
4.2
4.3
4.4
4.5
PCN Y Sistema
4.5.1
4.5.2
32
33
33
de Gestin de Sguridad de la Informacin (SGSI) .....
33
ISO 27001 ............................................................................
34
Estrategia de administracin de riesgos (nivel de madurez)
34
34
32
35
....................................................................................................
Introduccin
A lo largo de 2013 y 2014, la Auditora Superior de
la Federacin (ASF) trabaj con las instituciones del
sector pblico federal con objeto de contribuir al
fortalecimiento de sus sistemas de control interno y
de sus programas de promocin de la integridad. Para
ello, utiliz un enfoque basado en la aplicacin de
evaluaciones especializadas y la difusin de mejores
prcticas en la materia.
Por ello, para la elaboracin de esta Gua no slo
La ASF guarda la conviccin de que la mejora del se analiz la legislacin federal y local respectiva, a
control interno es uno de los ejes indispensables para efecto de hacerla compatible; tambin se tomaron
elevar la eficiencia y economa de la gestin pblica, en consideracin las mejores prcticas internacionales
as como un elemento imprescindible para reducir en la materia, como son las Normas de las Entidades
efectivamente la posibilidad de ocurrencia de actos Fiscalizadoras Superiores publicadas por la INTOSAI, las
corruptos desde un enfoque preventivo, disciplinado normas del Instituto Internacional de Auditores Internos
y los lineamientos establecidos en la materia por el
y sistemtico.
Modelo COSO 2013, entre otras reconocidas fuentes
En las cerca de 400 reuniones de facilitacin relativas
al control interno y la salvaguarda de la integridad que
la ASF sostuvo en 2014 con ms de 190 instituciones
federales, se hizo patente la necesidad que existe
en un nmero significativo de ellas de contar con
herramientas metodolgicas especializadas, las cuales
les permitan evaluar los riesgos que enfrentan en el
logro de sus objetivos.
internacionales.
Es importante observar que, adems de preparar esta
Gua, la ASF ha desarrollado una herramienta tecnolgica
automatizada, el Sistema Automatizado de Administracin
de Riesgos, la cual tambin pone a disposicin de todas
Programa/Plan
Nmero de
Estratgico
Tienes
Identificados
los Riesgos
Procedimiento
para
Administracin de
Riesgos
Institucionales
Instituciones
Evaluacin de
Metodologa para
Riesgos en Procesos
la Administracin
Susceptibles
de Riesgos
a Actos de
corrupcin
(APF)
Si
No
Si
No
Si
No
Si
No
Si
No
279
149
130
161
118
66
213
110
169
275
53%
47%
58%
42%
24%
76%
39%
61%
1%
99%
....................................................................................................
Tipologa de riesgos
Existen diferentes tipos de riesgos, los cuales se clasifican de acuerdo con su naturaleza, como se muestra en
el cuadro siguiente:
Tipologa de Riesgos
No discrecionales
Discrecionales
Resultan de la toma de una posicin de riesgo
Presupuestal
Estratgico o sustantivo
Financiero
Reputacional o de imagen
Crdito
Integridad
Liquidez
Operativo
Tecnolgico
Legal
Administrativo
Servicios
Seguridad
Obra pblica
Recursos Humanos
de Riesgos
Acorde con el mandato, caractersticas y funcionamiento
Objetivos
estratgicos
Identificar
los riesgos
Evaluar y
analizar
Priorizar los riesgos en trminos de mayor a menor impacto y frecuencia para definir
las acciones
su mitigacin.
Determinar un plan de accin para mitigar, principalmente, los riesgos evaluados con
alto impacto y probabilidad de ocurrencia (analizar diferentes opciones para determinar
Responder
Controlar,
monitorear y
comunicar
institucionales).
de los riesgos .
Informar al rgano de gobierno, titular y otras instancias de control y vigilancia.
contingencia.
supervisar y comunicar
riesgos institucionales.
....................................................................................................
Resultados
Objetivos
Revisiones y
validaciones
Controles a
nivel entidad
(generales)
Diseo de
controles por
proceso
Identificacin,
evaluacin,
priorizacin y
mitigacin de
riesgos
Desempeo del
Metas
programa
Objetivo
Desarrollar una Gua de Administracin de Riesgos que
permita a las entidades del sector pblico gestionar
los riesgos a los que se encuentran expuestos sus
procesos sustantivos y adjetivos relevantes, mediante
la identificacin, evaluacin, anlisis, respuesta, control,
Alcance
La Gua, proporciona directrices para establecer y
mantener un marco tcnico para la administracin
general de riesgos, mismo que puede adoptarse por
cualquier institucin del sector pblico.
Esta gua se basa principalmente en los cinco
10
Comit de Organizaciones Patrocinadoras de la Comisin Treadway, integrada por la Asociacin Americana de Contabilidad (AAA), el Instituto
Americano de Contadores Pblicos Certificados (AICPA), los Ejecutivos de Finanzas Internacionales (FEI), el Instituto de Contadores Administrativos
(IMA) y por el Instituto de Auditores Internos (IIA), por sus siglas en ingls.
....................................................................................................
instituciones.
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin
Es importante mencionar que, en lo pertinente, el
modelo COSO fue el referente para elaborar, tanto
11
Contexto estratgico
Identificacin de riesgos
Anlisis y evaluacin de riesgos
Actividades de control
Informacin y
comunicacin
Sistemas de informacin
Supervisin
Auditora interna
Autoevaluacin
Evaluaciones independientes
Mejora continua
Ambiente de
control
Administracin de
riesgos
Tolerancia al riesgo
12
el titular de la institucin y
....................................................................................................
materializados.
2.5 Supervisin
Busca asegurar que los controles operen como se requiere
y que sean modificados apropiadamente de acuerdo
13
Metodologa de Administracin
de Riesgos Metodologa
14
....................................................................................................
Objetivos estratgicos
Conocimiento puntual de
los objetivos institucionales y
nacionales contenidos en el
Definicin de metas y
objetivos de cada Unidad
Objetivos de administracin
Sectorial y en el Plan
Nacional de Desarrollo.
de riesgos.
institucionales, sectoriales y
nacionales.
M o n i t o r e o
Identificacin de Riesgos
C o m u n i c a c i n
S u p e r v i s i n
Determinar probabilidad
Determinar impacto
Establecer la priorizacin del
riesgo de acuerdo a impacto y
probabilidad
verificar efectividad
Polticas de Administracin
de Riesgos
15
las atribuciones en el mbito de su competencia, en los procesos; analizar los escenarios (supuestos de
materializacin de riesgos) y revisar de manera peridica
(reglamento o manual organizacional).
factores econmicos, tecnolgicos, de regulacin,
La lineacin de las metas y objetivos particulares
de cada Unidad Administrativa con
las metas
y objetivos estratgicos.
Para establecer un programa de administracin de
riesgos es fundamental que los servidores pblicos de
los diferentes puestos que integran la institucin tengan
conocimientos referentes a la estrategia institucional.
Dicho programa debe atenderse de manera sistmica;
es decir, no debe funcionar de manera aislada, sino
integral. Esto puede lograrse mediante comunicados y
16
la institucin.
....................................................................................................
Factores internos
Factores externos
Gubernamental)
Riesgo potencial
Factores/causas
Externos
Polticas
gubernamentales,
legislacin, tecnologa,
desastres naturales
Ejemplo:
Causa: Falta de segregacin de funciones. Un servidor
pblico del rea de adquisiciones tiene facultades para
solicitar, tramitar y autorizar una compra de materiales.
Riesgo potencial: Corrupcin. Que un servidor
pblico compre materiales de oficina inecesarios y
adems los sustraiga, para posteriormente obtener
un beneficio personal.
Impacto: Recursos. Prdida econmica para la institucin.
Categoras de riesgos
Internos
Fallas en procesos,
sistemas y personas
- Corrupcin
- Relaciones laborales y
seguridad en el empleo
- Fallas, cadas de
sistemas, virus
- Daos a activos
materiales
-Fallas o errores en
procesos
Impacto/consecuencia
Financieros
-Recursos pblicos mal
utilizados
-Desvo de presupuesto
No financieros
-Dao reputacional
17
un lenguaje
9. Registros
de riesgos
materializados
1. Talleres de
autoevaluacin
2. Mapeo de
procesos
3. Anlisis de
8. Anlisis
comparativo
entorno interno y
Tcnicas para
identificacin
de riesgos
7.Cuestionarios
dirigidos a SP de
externo
4. Lluvia de ideas
mandos superiores
o medios
5. Anlisis de
indicadores de
6. Entrevistas
18
gestin, desempeo
y riesgos
....................................................................................................
estructura de la institucin.
Estratgico: Se asocia a los asuntos relacionados con
la misin y el cumplimiento de los objetivos estratgicos.
19
Proceso
Riesgo
Errores humanos
Procesos sustantivos
Fallas de procesos
Errores humanos
Fallas de sistemas institucionales
Procesos adjetivos
Fallas de procesos
desviacin de recursos)
impuestos,
gastos, etc. )
desviacin de recursos)
Integridad de la informacin
institucionales
Virus
Cada de sistemas institucionales
20
....................................................................................................
Objetivo
Tipo de
de
del
Proceso
riesgo
proceso proceso
Nombre
del
riesgo
Descripcin
del riesgo
Tipo
de
riesgo
Clasificacin
del riesgo
Causa
Tipo
del
de
riesgo factor
Consecuencia
del riesgo
rea
del
riesgo
instituciones lleven el registro de los riesgos detectados, riesgos, el cual permitir a las instituciones del sector
para contar con un inventario de los mismos, al determinar
pblico llevar una adecuada administracin de riesgos.
el objetivo, proceso o plan que puede verse afectado
Dicha herramienta incluye un instructivo para el usuario,
por un determinado riesgo, as como las causas y el
impacto posible.
21
internos y externos.
10
9
8
7
6
5
4
3
2
1
Categora
Probabilidad
Recurrente
Muy probable
Poco probable
Inusual
Rara
Valor
Categora
Impacto
Riesgo cuya materializacin influye directamente en el cumplimiento
Catastrfico
9
10
Grave
7
6
5
4
3
2
1
Bajo
pequeos en la institucin.
22
....................................................................................................
Evaluacin de riesgos
Probabilidad
Impacto
2.2
Bajo
6.4
Alto
10
10
10
Muy alto
6.2
Alto
4.2
Medio
5.8
Alto
Mapa de riesgos
21
36
10
15
35
8
43
37,38 30,32
23
Probabilidad
45
6
6
14
9,10
16
12
18
46
40,41
33
1,2
11
17
44
22
4
47
42
28,29
19
34
27
13
31 24,25,26
2
49
39
48
20
0
0
10
Impacto
Figura 7. Fuente: Elaborada por la ASF3
23
Riesgo bajo
1-24
Riesgo moderado
2.5-4.9
Riesgo alto
5-7.5
Riesgo grave
7.6-10
Nmero
Nombre
de control de control
Tipo de
control
Frecuencia
de Ejecucin
rea
responsable
del control
Evidencia
de la
ejecucin
24
Evidencia
del control
del control
control
residual?
....................................................................................................
3.7.1
eficiente
7. Consultar a los auditores, y que ellos cuenten
la organizacin
efectiva
de administracin de riesgos
Revisar todos
los informes de
auditoras iniciales
Titular u rgano
de Gobierno
Establecer la estrategia corporativa
Mandos Superiores
Misin
Valores
corporativos
Objetivos de
negocios
Proceso de
auditora inicial
Estrategias de
riesgo/control
25
Entradas
Procesos
Salidas
Controles
Figura 9. Fuente: Elaborada por la ASF
26
....................................................................................................
rea responsable de la
respuesta
Fecha de
entrega
Riesgo bajo
1-24
Riesgo moderado
2.5-4.9
manera adecuada:
5-7.5
manera adecuada.
Zona de riesgo significativo.
Despus del anlisis de riesgo se deben tomar las medidas
Riesgo grave
7.6-10
27
titular de la entidad.
28
Matriz de riesgos
Frecuencia
Acciones
Respuesta al riesgo
rea
Evidencia Evidencia
Existe
Nmero Nombre Tipo de
rea
Respuesta
Efectividad del
Entregable responsable Fecha de
de
de
riesgo
responsable de la
de
del
del
control ejecucin
al riesgo Respuesta de acciones
entrega
del control control
de la
residual?
del control ejecucin control
control control
respuesta
Controles
Diseo
Evaluacin de riesgos
Prioridad
Objetivo
Causa
Nombre
rea
Valor del
Descripcin
Tipo
de
Clasificacin
Nmero de
Tipo
de
Tipo
de
Consecuencia
del
del
del
Proceso
del
del
Probabilidad Impacto
riesgo
riesgo
del riesgo
riesgo
proceso proceso riesgo del riesgo riesgo del riesgo riesgo factor
riesgo
Bajo
1
3
2.2
Alto
7
6
6.4
Muy alto
10
10
10
Alto
2
9
6.2
Medio
6
3
4.2
Alto
4
7
5.8
Alto
3
8
6
Alto
8
7
7.4
6
5
5.4
Alto
....................................................................................................
Gua de Autoevaluacin de Riesgos en el Sector Pblico
29
Mapa de riesgos
3.11
El mapa permite ubicar qu riesgos tienen mayor grado de frecuencia e impacto; a partir de esto deber
decidirse que respuesta para los riesgos ubicados con niveles altos deben llevarse a cabo.
El SAAR tambin permite visualizar la ubicacin de los riesgos de la forma siguiente:
Mapa de riesgos
21
36
10
15
35
8
43
37,38 30,32
23
Probabilidad
45
6
6
14
9,10
16
12
18
46
40,41
33
1,2
11
17
44
22
4
47
42
28,29
19
34
27
13
31 24,25,26
2
49
39
48
20
0
0
6
Impacto
30
10
....................................................................................................
Mapa de riesgos
21
36
10
15
35
8
43
37,38 30,32
23
Probabilidad
45
6
14
9,10
16
12
18
46
40,41
1,2
11
33
17
44
22
4
47
28,29
19
34
27
42
13
31 24,25,26
2
49
39
48
20
0
0
10
Impacto
Figura 11. Fuente: Elaborada por la ASF
un mapa de calor.
Tolerancia al Riesgo. Es el nivel aceptable de diferencia
institucionales.
Es posible medir
aceptar).
dispuesta a aceptar (por ejemplo: en el
cumplimiento del marco legal).
Principales caractersticas:
31
3.12.1
para su aprobacin.
2. El Titular revisar los niveles de tolerancia
aprobados al menos una vez al ao o cuando
se requiera, con la finalidad de asegurar que
se encuentran en los niveles razonables y
cualquier cambio que se requiera se someter
a aprobacin del Comit de Riesgos o su
equivalente para su aprobacin..
3. Una vez aprobados los niveles de tolerancia por
o su equivalente.
6. En caso de que el nivel de riesgo observado
4.1 Resiliencia
Es la capacidad de un sistema, expuesto a una amenaza,
6 2009 UNISDR Terminologa sobre Reduccin del Riesgo de Desastres, Pg. 28, Organizacin de las Naciones Unidas (ONU)
32
....................................................................................................
plantea:
Realizar planes de prevencin y recuperacin ante
los escenarios de desastre con mayor impacto y
probabilidad de ocurrencia.
33
de la informacin;
eficazmente;
Utilizada por las organizaciones para asegurar el
cumplimiento con las leyes y reglamentos;
34
....................................................................................................
en los controles.
Mantener el entendimiento de las polticas
de riesgos entre los servidores pblicos con
encuestas regulares y entrevistas selectivas.
Describir los riesgos y controles, y el mod en que
los riesgos clave deben registrarse en un sistema de la mejora continua, y el Titular debe establecer
de reportes.
mecanismos que permitan el seguimiento para valorar
Definir la relacin entre la administracin de
el grado de avance y las mejoras necesarias que deben
riesgos, el sistema de control y la poltica de
hacerse para reforzar e impulsar la administracin de
integridad institucional.
riesgo, hasta lograr una madurez adecuada en el
Definir qu es considerado un control clave,
programa de administracin de riesgos.
e indicar si los riesgos registrados deben
Glosario
Se incluye el siguiente glosario para mayor precisin
Descripcin
Las actividades determinadas e implantadas por los titulares y dems
Accin (es) de
mejora
35
Beneficio
rea (s) de
oportunidad
Autocontrol
objetivos.
Causa
Control Interno.
El mecanismo especfico de control que opera en la etapa final de un
Control correctivo
Control Interno
Costo
por un costo.
Control Interno
36
....................................................................................................
Debilidad de
Control Interno de
mayor importancia
Evaluacin de
riesgos
federal.
Determinar el impacto y la probabilidad del riesgo. Dependiendo de la
informacin disponible pueden emplearse desde modelos de simulacin,
hasta tcnicas colaborativas.
Las secretaras de Estado, incluyendo a sus rganos administrativos
Dependencias
Disposiciones
Economa
Eficacia
Eficiencia
Encuesta de
autoevaluacin
por nivel de Control y operativo) para conocer los avances en el establecimiento y actualizacin
de los elementos del sistema de control interno institucional.
Interno
Estrategia
para
manejar el riesgo
Evaluacin del
Sistema de Control
Interno
Factor de riesgo
Grado de madurez
de la Administracin El nmero de controles suficientes establecidos con relacin al nmero de
de Riesgos
riesgos inventariados.
Institucional
Grado de madurez
del Sistema de
Control Interno
Institucional
37
Identificacin de
riesgos
por reas, por procesos, incluso, bajo el viejo paradigma, por funciones;
desde el nivel estratgico hasta el ms humilde operativo.
Impacto o efecto
Indicador
Informe Anual
Intitucin o
Intituciones
Manual
Mapas de riesgos
institucional
Matriz de
Administracin de
que integran los cinco componentes del Control Interno que realizan los
de Control Interno
OIC
Oportunidad
rgano de
gobierno
38
de su Reglamento.
....................................................................................................
fiscalizador (es
Plan de
contingencia
Plan y programa de
accin
Parte del plan de manejo de riesgos que contiene las acciones a ejecutar
en caso de la materializacin del riesgo, con el fin de dar continuidad a los
objetivos de la entidad.
Programa de manejo del riesgo que contiene las tcnicas de administracin
del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir
riesgos.
El ejercicio peridico que facilita la identificacin de fortalezas, oportunidades,
Planeacin
estratgica
Probabilidad o
posibilidad
PTAR
PTCI
Responsables
Retroalimentacin
Riesgo inherente
Riesgo residual
Seguimiento
Seguridad
razonable
39
El
conjunto
de
procesos,
mecanismos
elementos
organizados
Interno Institucional
Sistema de
informacin
El
conjunto
de
procedimientos
ordenados
que,
al
ser
ejecutados,
TICs
Unidades
administrativas
Valoracin del
riesgo
40