guía técnica nº 53

Objetivo Gubernamental de Auditora Aos 2011 a 2014 - N 3, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

PROGRAMA MARCO NORMA ISO 31.000

OBJETIVO DE AUDITORA GUBERNAMENTAL N 3 - AO 2011

GUA TCNICA N 53

MARZO 2011

_____________________________________________________________________________________________ 1

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________

TABLA DE CONTENIDOS ____________________________________________________________________________ MATERIASI.INTRODUCCIN

PGINA3 5 5 5 6 6 7 8 9 ENTIDADES 12

II.- OBJETIVO GENERAL DEL DOCUMENTO III.- RELACIN CON EL ASEGURAMIENTO IV.V.MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2011 PROCESO DE GESTIN DE RIESGOS

1.- Algunos Conceptos sobre Gestin de Riesgos 2.- Modelos para la Gestin de Riesgos y de Control Interno 3.- Marco de Gestin de Riesgos de Acuerdo a la Norma ISO 31.000:2009 4.- Fases Genricas en el Proceso de Gestin de Riesgos VI.- ESTADO DEL PROCESO DE GESTIN DE RIESGOS EN LAS GUBERNAMENTALES

VII.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 3 - 2011 1.- Fase Establecimiento del Contexto 2.- Fase Identificacin de Riesgos y Oportunidades 3.- Fase Anlisis de Riesgos 4.- Fase Evaluacin de Riesgos 5.- Fase Tratamiento de Riesgos 6.- Fase Monitoreo y Revisin 7.- Fase Comunicacin y Consultas VIII.- RESUMEN DE REQUERIMIENTOS GUBERNAMENTAL DE AUDITORA N 3 - 2011 1.- Fase Establecimiento del Contexto 2.- Fase Identificacin de Riesgos y Oportunidades ESPECFICOS PARA EL OBJETIVO

12

12 25 29 31 35 40 41 43

43 44

______________________________________________________________________________________________ 2

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________ 3.- Fase Anlisis de Riesgos 4.- Fase Evaluacin de Riesgos 5.- Fase Tratamiento de Riesgos 6.- Fase Monitoreo y Revisin 7.- Fase Comunicacin y Consultas 8.- Flujograma de Todas las Fases del Proceso de Gestin de Riesgos y Requerimientos Especficos para dar Cumplimiento al Objetivo Gubernamental de Auditora N 3 - 2011 IX.- BIBLIOGRAFA ANEXO N 1 ANEXO N 2 ANEXO N 3 ANEXO N 4 ANEXO N 5 ANEXO N 6 ANEXO N 7 ANEXO N 8 ANEXO N 9 ANEXO N 10 ANEXO N 11 45 46 47 47 48 49

51 52 54 56 58 61 67 76 78 81 92 93

______________________________________________________________________________________________ 3


I.-

INTRODUCCIN

En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o privada, la constituye su Gobierno Corporativo, descrito como es el sistema mediante el cual las empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un horizonte de largo plazo.1 Para la Organizacin para la Cooperacin y el Desarrollo Econmicos OCDE, el Gobierno Corporativo es el sistema por el cual las sociedades del sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores, accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la implementacin de procesos de gestin de riesgos, que ayudan a las organizaciones al cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos. En este sentido, y con la finalidad de que los Servicios y entidades del Estado mejoren sus procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada, se ha definido como Objetivo Gubernamental de Auditora N 3 para los aos 2011 a 2014, la implementacin de un Proceso de Gestin de Riesgos que considere la elaboracin de un levantamiento de procesos, identificando y describiendo los objetivos, riesgos y controles y, en especial, la formulacin de las medidas de tratamiento de los riesgos. El enfoque metodolgico estar basado principalmente en la Norma ISO 31.000 de diciembre 2009. El rol principal de la auditora interna en este proceso es coordinar las actividades para introducir el Proceso de Gestin de Riesgos. Para este ao 2011, la auditora interna tendr un rol de apoyo para que la direccin pueda implementar adecuadamente un Proceso de Gestin de Riesgos y adems, debe proveer aseguramiento a la direccin sobre la efectividad de la gestin de los riesgos mediante el cumplimiento del Objetivo Gubernamental de Auditora N 3, definido por el Instructivo Presidencial N 001, cuyos resultados en conjunto con las directrices emitidas por el Consejo de Auditora Interna de Gobierno, servirn para retroalimentar el proceso. En este documento se ha consolidado toda la informacin disponible referida al Proceso de Gestin de Riesgos en el Sector Gubernamental, establecindose para cumplir este objetivo la siguiente estructura: Como punto I esta introduccin; en el punto II se seala el objetivo general del documento; en el punto III, su relacin con el Objetivo Gubernamental de Auditora de aseguramiento del proceso de Gestin de Riesgos; en el punto IV, el marco metodolgico para el Proceso de Gestin de Riesgos para el ao 2011, bajo ISO 31.000; en el punto V, se establecen conceptos bsicos del Proceso de Gestin de Riesgos; en el punto VI se seala el anlisis

1

Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G, Departamento de Ingeniera Industrial. Universidad de Chile. ______________________________________________________________________________________________ 4


de las fases del Proceso de Gestin de Riesgos en las entidades gubernamentales; en el punto VII se definen conceptos y elementos a incorporar para el Proceso de Gestin de Riesgos en las entidades del sector gubernamental bajo el Objetivo Gubernamental de Auditora y, en el punto VIII se sealan los requerimientos especficos para el cumplimiento del referido Objetivo Gubernamental de Auditora. Finalmente, se adjuntan anexos que contienen: en el anexo N 1, un ejemplo de Poltica de Riesgos; en el anexo N 2 un ejemplo de asignacin de roles y responsabilidades; en el anexo N 3 la descripcin del rol del auditor interno en el Proceso de Gestin de Riesgos; en el anexo N 4 se entrega una gua para el levantamiento de procesos; el anexo N 5 establece las tablas de valuacin para riesgos, controles y exposicin; el anexo N 6 entrega un ejemplo de levantamiento de procesos; el anexo N 7 enuncia tcnicas de identificacin de eventos generados de riesgos y oportunidades; el anexo N 8 entrega un ejemplo de riesgos genricos que afectan los procesos mejorados con Tecnologas de Informacin; el anexo N 9 define los conceptos generales de control; el anexo N 10 presenta un ejemplo de plan de tratamiento de riesgos con estrategias, acciones e indicadores y, por ltimo en el anexo N 11 acompaa un ejemplo de Matriz de Riesgos del Servicio o entidad construida con la metodologa descrita en el documento.

Hay que relevar, que cada Servicio o entidad del Estado debe tener implementado un Proceso de Gestin de Riesgos que sea til para identificar aquellos eventos que puedan afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse todas las fases que se definen en la presente gua tcnica, con la finalidad de tener una gestin de riesgos slida. Para el ao 2011 el Consejo de Auditora slo solicita algunos reportes derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes debe ejecutarse la metodologa contenida en la presente gua, para conseguir por una parte un Proceso de Gestin de Riesgos robusto funcionando en el Servicio y por otra, reportes de calidad, que entreguen informacin adecuada al Presidente de la Repblica, para la coordinacin y gestin adecuada de los diversos organismos del Gobierno. Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General de Gobierno deber focalizarse slo en los riesgos crticos para la entidad o Servicio, sin perjuicio que internamente, dicha entidad deba desarrollar un Proceso de Gestin de Riesgos, que le permita identificar todos los riesgos, de cualquier severidad y exposicin, para efectos de hacer una gestin ms eficiente, priorizando los temas y materias de mayor relevancia en cada proceso o actividad que desempea.

______________________________________________________________________________________________ 5


II.-

OBJETIVO GENERAL DEL DOCUMENTO

Documentar los procedimientos que permitan a las entidades del Estado, cumplir satisfactoriamente con el Objetivo Gubernamental de Auditora N 3 - 2011, referido a mantener y mejorar el Proceso de Gestin de Riesgos en las entidades de la Administracin del Estado. Para ello, todas las entidades del Estado deben cumplir al menos los siguientes objetivos:Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora Interna. Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al Consejo de Auditora Interna General de Gobierno. Disponer de los recursos necesarios para la correcta implementacin y funcionamiento del Proceso de Gestin de Riesgos en la entidad.

Este Objetivo Gubernamental slo estar regulado por la presente gua tcnica. III.RELACIN CON EL ASEGURAMIENTO

Durante el ao 2010, las entidades del Sector Gubernamental cumplieron con un proceso de gestin de riesgos simplificado, que consideraba el levantamiento de, al menos, sus 20 riesgos crticos. Estos riesgos fueron clasificados y valorados en una Matriz de Riesgos Simplificada. De acuerdo a la metodologa del ao 2010, deban tratarse por el Servicio o entidad todos los riesgos crticos levantados e identificados, considerando acciones y planes para la mitigacin de cada uno de esos riesgos. En este marco, es necesario que los auditores internos entreguen aseguramiento a sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de tratamiento de riesgos definidos y presentados al Consejo de Auditora al 30.12.2010. De esta manera, se informar a las jefaturas acerca del tratamiento de los riesgos crticos en el Servicio y si los planes determinados han logrado mitigar los riesgos hasta un nivel aceptable para la entidad o si por el contrario se requiere reformular las medidas contenidas en los planes de tratamiento. Esta materia ser regulada por la Gua Tcnica N 52. IV.MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS AO 2011 El modelo metodolgico para la Gestin de Riesgos en las entidades del Estado estar basado mayoritariamente en las disposiciones de la Norma ISO 31.000:2009 y, en menor medida, en otros marcos de gestin de riesgos. El presente documento se entender como el marco tcnico para el Objetivo Gubernamental N 3 - 2011, y en general como documento marco para el funcionamiento y mantencin del Proceso de Gestin de Riesgos.

______________________________________________________________________________________________ 6


V.-

PROCESO DE GESTIN DE RIESGOS

1.- Algunos Conceptos Sobre Gestin de Riesgos Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el que hacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y los administradores y a la creacin de valor para los interesados o stakeholders, en este caso, para el ciudadano. Para lograr todo ello, la alta direccin cuenta con herramientas como la gestin de riesgos y el control interno. La primera como un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organizacin; y el segundo, entendido como un sistema de acciones y medidas que asumidas por quienes toman las decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas.2 En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan a factores internos y externos que hacen incierto saber si y cundo van a alcanzar sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organizacin, se denomina riesgo3. La Gestin de Riesgos es un proceso estructurado, consistente y continuo implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la organizacin juegan un rol en el aseguramiento de xito de la Gestin de Riesgos, pero la responsabilidad principal de la misma recae sobre la Direccin. 4 La definicin anterior se puede complementar con otros importantes elementos: La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora organizacional a travs del perfeccionamiento de los procesos. Puede ser aplicada a todos los niveles de una organizacin, es decir, en los niveles estratgicos, tcticos y operacionales. Tambin puede ser aplicada a proyectos especficos, para sustentar decisiones especficas o para administrar reas especficas de riesgo. Para cada fase del Proceso de Gestin de Riesgos deberan mantenerse registros adecuados, suficientes como para satisfacer a una auditora externa o certificacin independiente. No slo considera la identificacin y tratamiento de riesgos, sino que tambin las oportunidades que contribuyan al logro de los objetivos. La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe adecuarse a la entidad y al sector que sta pertenece.

Normas Internacionales de Auditora Interna THEIIA. ISO 31.000. 4 Cfr. COSO II Gestin de Riesgos Corporativos. ______________________________________________________________________________________________ 72 3


Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos Mejora las posibilidades de alcanzar los objetivos en la organizacin. Incrementa el entendimiento de riesgos claves y sus implicaciones en la organizacin. Se identifica y comparte la responsabilidad de la administracin de los riesgos del negocio. Genera y fortalece el enfoque en asuntos que realmente importan a la organizacin. Contribuye a disminuir las sorpresas y crisis en la organizacin. Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma. Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y econmicas. Genera mayor informacin y con ms transparencia sobre los riesgos identificados, tomados y las decisiones realizadas. La gestin de riesgos debe considerar el apetito del riesgo o riesgo aceptado de la entidad o Servicio, que es la cantidad de riesgo, a nivel global, que la administracin est dispuesta a aceptar en su bsqueda de valor para el Servicio o entidad. Esto es, cuanto riesgo se puede aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. Otro concepto importante es la tolerancia al riesgo que es el nivel aceptable de la variacin alrededor del logro de un objetivo de negocio especfico y se debe alinear con el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en el cumplimiento de los objetivos y la atencin a los ciudadanos. Estos conceptos deben ser considerados al implementar el Proceso de Gestin de Riesgos, teniendo en cuenta que hay entidades del Estado que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo social son ms riesgosas por el tipo de usuario vulnerable). 2.- Modelos para la Gestin de Riesgos y de Control Interno Si bien existe una diversidad de modelos para la gestin y evaluacin de riesgos, en principio su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma ISO 31.000 de diciembre 2009. Esta norma internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general en el gobierno de la organizacin, la estrategia y la planificacin, gestin, procesos de informacin, polticas, valores y cultura, de manera que sea un proceso integrado en toda la entidad. La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en cualquier momento, as como a las funciones especficas, proyectos y actividades. Para que la gestin del riesgo sea eficaz, una entidad deben cumplir con los siguientes principios. a) La Gestin de Riesgos crea valor, ya que contribuye a la consecucin de los objetivos y mejora demostrable del desempeo (mejora la seguridad, cumplimiento normativo, aceptacin______________________________________________________________________________________________ 8


del pblico, proteccin del medio ambiente, calidad del producto, gestin de proyectos, eficiencia en operaciones, la Gobernanza y la reputacin). b) La gestin de riesgos es una parte integral de todos los procesos de organizacin. No es una actividad independiente, separada de las principales actividades y procesos de la organizacin, sino que forma parte de las responsabilidades de gestin en todos los procesos de la organizacin. c) La gestin del riesgo es parte de la toma de decisiones, y ayuda a su adopcin informada, a priorizar las acciones y distinguir entre los cursos alternativos de accin. d) La gestin del riesgo considera la incertidumbre, su naturaleza, y cmo dirigirla. e) La gestin del riesgo tiene un enfoque sistemtico, oportuno y estructurado que contribuye a la eficiencia y resultados consistentes, comparables y confiables. f) La gestin del riesgo se basa en la mejor informacin disponible, como los datos histricos, experiencia, las opiniones de los interesados, observaciones, predicciones y opinin de expertos. g) La gestin de riesgos se alinea con el contexto externo e interno de la entidad y perfil de riesgo. h) La gestin de riesgos debe considerar factores humanos y culturales, reconociendo las capacidades, percepciones e intenciones de las personas y situaciones que pueden facilitar o dificultar el logro de los objetivos de la organizacin. i) La gestin del riesgo debe ser transparente e inclusiva. La adecuada y oportuna participacin de los interesados y, en particular de los decisores en todos los niveles de la organizacin, asegura que la gestin de los riesgos sigue siendo pertinente y actualizada y que las partes interesadas estn representadas y sus opiniones sean consideradas para determinar los criterios de riesgo. j) La gestin del riesgo es dinmica, interactiva y da respuesta al cambio, ya que debe ser flexible para adaptarse a los diversos escenarios. k) La gestin de riesgos facilita la mejora continua de la organizacin, ya que sta debe desarrollar e implementar estrategias para mejorar la madurez de su gestin de riesgos, junto con todos los dems aspectos de su organizacin. 3.- Marco de Gestin de Riesgos en Base a la Norma ISO 31.000:2009 El xito de la gestin de riesgos depender de la efectividad del marco para manejar los riesgos que proveen las bases y fundamentos que traspasa la organizacin en todos sus niveles. El marco colabora en la gestin efectiva de los riesgos a travs de procesos de administracin de riesgos en varios escenarios y contextos del Servicio o entidad. El marco asegura que la informacin derivada de ese proceso sea adecuadamente comunicada y se______________________________________________________________________________________________ 9


utilice como una base para la toma de decisiones por parte de la autoridad y para la responsabilidad o accountability de las mismas. Se considera un mandato o compromiso del Servicio o entidad con la gestin de riesgos para disear un marco para la gestin de riesgos, que considere la comprensin del contexto de la entidad, el establecimiento de polticas y responsabilidades, la integracin de la gestin de riesgos a los proceso del Servicio, los recursos a usar, el establecimiento de comunicaciones externas e internas y mecanismos de reporte. Posteriormente debe implementarse el marco y el proceso de gestin de riesgos, que debe ser monitoreado y revisado peridicamente para obtener un mejoramiento continuo del sealado marco. El marco describe los componentes necesarios de para la gestin de riesgos y la forma cmo estos componentes se interrelacionan entre s, cmo se seala en el cuadro N 1 a continuacin. Cuadro N 1: Elementos del Marco de Gestin de Riesgos e Interrelaciones

______________________________________________________________________________________________ 10


4.- Fases Genricas en el Proceso de Gestin de Riesgos Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de mayor o menor difusin, como se seala al punto 2 anterior, el Consejo de Auditora ha decidido utilizar un modelo genrico, que recoge en su mayor parte la Norma ISO 31.000, que en su desarrollo y mejora a travs del tiempo permita a las entidades gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese necesario. Las fases en que se puede desagregar dicho modelo genrico se sealan a continuacin: Establecimiento del Contexto: Establecer los contextos estratgico, organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos. Deben establecerse los criterios contra los cuales se evaluarn los riesgos y definirse la estructura de anlisis, los roles y responsabilidades. Identificacin de Riesgos y Oportunidades: Identificar los riesgos que podran impedir, degradar o demorar el cumplimiento de los objetivos estratgicos y operativos de la organizacin, as como las oportunidades que puedan contribuir al logro de los referidos objetivos. Anlisis de Riesgos: El anlisis debera considerar el rango de consecuencias potenciales y cun probable es que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir un nivel estimado de riesgo segn la definicin de la organizacin. Adicionalmente se debe identificar y analizar los controles mitigantes existentes. Evaluacin de Riesgos: Comparar los niveles de riesgo encontrados contra los criterios de riesgo preestablecidos (si es que han sido establecidos por la direccin) considerando el balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar mediante un ranking los riesgos analizados. Tratamiento de Riesgos: De acuerdo al ranking de riesgos y al nivel de riesgo preestablecido por la organizacin (si es que ha sido establecido por la direccin), definir su tratamiento y/o monitoreo, desarrollando e implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro de los niveles aceptados por la organizacin. Monitoreo y Revisin: Definir y utilizar mecanismos para monitorear y revisar el desempeo del Proceso de Gestin de Riesgos y dar cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin. Comunicacin y Consulta: Definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos. Dichos mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto de los riesgos con mayores desviaciones en relacin a los niveles aceptado. En el cuadro N 2, se presenta un esquema representativo de la relacin entre las fases genricas que componen un Proceso de Gestin de Riesgos, bajo la perspectiva que se ha______________________________________________________________________________________________ 11


adoptado para la implementacin de este proceso y para el cumplimiento del Objetivo Gubernamental N 3 - 2011. Cuadro N 2: Esquema representativo del Proceso de Gestin de Riesgos - ISO 31.000

Si el lector requiere ahondar en la teora que sustenta la Gestin de Riesgos Corporativos, puede acudir, entre otras, a las siguientes fuentes de informacin: NORMA ISO 31000:2009 Principios y Directrices para la Gestin de Riesgos. www.erm.coso.org. www.coso.org. Estndar Australiano/Neozelands AS/NZS 4360:1999.

______________________________________________________________________________________________ 12


VI.- ESTADO DEL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES GUBERNAMENTALES En consideracin al desarrollo del Objetivo Gubernamental N 2 2007, del Objetivo Gubernamental N 3 2008, del Objetivo Gubernamental N 3 2009, del Objetivo Gubernamental N 2 2010, y a la naturaleza y caractersticas del Sector Gubernamental, se puede concluir que las entidades gubernamentales desde el ao 2007, han implementado, mantenido y mejorado procesos de gestin de riesgos que han permitido identificar los procesos crticos que afectan en distintos niveles a los objetivos estratgicos y, mediante la desagregacin de dichos procesos, su ponderacin en base a su relevancia para la entidad y el anlisis de los riesgos y controles claves asociados a estos procesos, han construido la Matriz de Riesgo, con el fin de determinar los eventos a ser tratados para mantener el riesgo del Servicio en un nivel aceptable, enunciando planes de tratamientos con acciones concretas para mitigar los riesgos. Durante el ao 2010, en consideracin a la disminucin de los plazos de cumplimiento y reporte para el Objetivo Gubernamental asociado a la gestin de riesgos, se solicit a los Servicios que identificaran, al menos, los 20 riesgos de mayor criticidad para el logro de los objetivos de la entidad, informando de ello al Consejo de Auditora. Esta identificacin comprenda el desarrollo de una Matriz de Riesgos Simplificada (qu contena los riesgos crticos identificados) y la definicin de un Plan de Tratamiento que incluyera el manejo y administracin de todos los riesgos crticos identificados. Muchas entidades del Estado mantuvieron en forma paralela el Proceso de Gestin de Riesgos completo que se vena aplicando desde el ao 2007 y la Matriz de Riesgos Simplificada, ya que consideraron que la herramienta que les provea el Proceso de Gestin de Riesgo era til para mejorar la gestin de la direccin y orientarse al uso eficiente y eficaz de los recursos por parte de la entidad. VII.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL PROCESO DE GESTIN DE RIESGOS EN LAS ENTIDADES DEL SECTOR GUBERNAMENTAL BAJO EL OBJETIVO GUBERNAMENTAL N 3 2011. En los prrafos siguientes, se revisar cada una de las fases del Proceso de Gestin de Riesgos, destacndose aquellos requerimientos que deben ser cumplidos por los Servicios o entidades gubernamentales para efectos del Objetivo Gubernamental N 3 - 2011. 1.- FASE ESTABLECIMIENTO DEL CONTEXTO En esta fase genrica, se contempla el establecimiento de los contextos estratgico, organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos. Comprende el contexto interno, el externo y el contexto de gestin de riesgos.

______________________________________________________________________________________________ 13


1.1.- Contexto Interno y Externo Para establecer el contexto organizacional o interno, es necesario comprender, entre otros, la organizacin, su estructura interna, recursos humanos, filosofa y valores, polticas, misin, metas, objetivos y estrategias para lograrlos. Para establecer el contexto estratgico o externo, es necesario analizar el entorno en que opera la organizacin, considerando aspectos tales como los financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales, legales, proveedores, comunidad local y sociedad. Para el establecimiento del contexto interno y externo, se sugiere utilizar como insumo los anlisis que se han realizado en el marco del control de gestin en las Definiciones Estratgicas (ver Instrucciones para la Formulacin - Formulario A1 Definiciones Estratgicas Ao 2011- DIPRES), ya que en ese mbito se han examinado y definido la misin ministerial e institucional, visin, ley orgnica, programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos que pueden utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de Programas, la Evaluacin de Impacto, entre otros antecedentes. En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos. i) Establecer la Poltica de Riesgos. La poltica de riesgos se debe definir y documentar, aprobndose por la direccin y debe contener al menos los siguientes elementos: Objetivos y compromisos con la gestin de riesgo. El alineamiento entre la poltica y los objetivos estratgicos. El alcance o amplitud de la poltica. Los procesos a ser utilizados para gestionar los riesgos. Los responsables de gestionar los riesgos y las competencias que estos requieren. El compromiso de la direccin para la revisin peridica.

La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica de Calidad del Servicio, y, que sea publicada y comunicada a travs de todos los niveles del Servicio, estableciendo responsables de las comunicaciones. En anexo N 1 se entrega un ejemplo de poltica de riesgos. Acciones Ao 2011 Durante el ao 2011 debe definirse la poltica o revisarse en caso de estar dictada para determinar su consistencia con las polticas y objetivos estratgicos del Servicio o entidad, poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que ejecuta el Servicio y que sea consistente con la poltica de calidad del la entidad. ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los roles de las personas relacionadas con las siguientes materias: Iniciar acciones para prevenir o reducir los efectos de los riesgos.

______________________________________________________________________________________________ 14


Controlar el tratamiento de los riesgos. Identificar y registrar cualquier problema relacionado con la gestin de los riesgos. Iniciar, recomendar o proveer soluciones a travs de estrategias. Verificar a travs del monitoreo la implementacin de las soluciones contenidas en las estrategias.

En anexo N 2, se presenta un ejemplo de asignacin de roles y responsabilidades. Es importante sealar que el Auditor Interno del Servicio no puede ser nombrado como responsable en estos temas, ya que se estara afectando su objetividad e independencia al momento de auditar el funcionamiento y efectividad del Proceso de Gestin de Riesgos. En anexo N 3 se entrega un resumen del rol de la auditora interna en un Proceso de Gestin de Riesgos, destacndose aquellas funciones que puede realizar y aquellas que no le estn permitidas. Acciones Ao 2011 El Servicio o entidad deber definir los roles y las responsabilidades relacionados con el Proceso de Gestin de Riesgos, para ello deben tener en cuenta el tamao de la entidad, su estructura y cultura organizacional, la jerarqua y la disponibilidad del personal para asumir posiciones de coordinacin y/o responsabilidad. En caso de existir una asignacin de roles y responsabilidades, estos deben analizarse para determinar si responden en forma adecuada a los requerimientos del Proceso, examinando la necesidad de modificar roles, crear o eliminar instancias, mejorar la definicin de responsabilidades, entre otros elementos. Es necesario considerar en este anlisis el cambio de lineamientos y directrices que haya experimentado el Servicio con ocasin del cambio de Gobierno. iii) Establecer un Diccionario de Riesgos: A nivel terico y prctico se considera la necesidad de formular un diccionario de riesgos para la entidad. En este caso, como se trata de una entidad global (Sector Gubernamental), el Diccionario de Riesgos ha sido confeccionado y remitido por el Consejo de Auditora Interna a todos los Servicios y entidades gubernamentales para que lo utilicen. Acciones Ao 2011 Durante el ao 2011 y en general, siempre que sea necesario, el Servicio puede incorporar conceptos complementarios propios, a fin de hacer ms completo el Diccionario de Riesgos, sin perjuicio de las medidas que al respecto pudiera tomar el Consejo de Auditora. 1.2.- Contexto de Gestin de Riesgo Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del anlisis de riesgos. De acuerdo al modelo metodolgico adoptado por el Consejo de Auditora, el Proceso de Gestin de Riesgos debe aplicarse a nivel de procesos, desagregados en subprocesos, etapas, actividades y riesgos especficos.______________________________________________________________________________________________ 15


Dentro de la sealada desagregacin en procesos, subprocesos y etapas, se agregan conceptos como la clasificacin en procesos transversales en la Administracin del Estado, la tipificacin de riesgos y la ponderacin porcentual de la importancia estratgica de los procesos y subprocesos en la organizacin, que tambin deben ser incorporados dentro del contexto de la gestin de riesgos. 1.2.1.- Desagregacin de Procesos Crticos y Modelamiento de Riesgos Para levantar informacin de los procesos, la tcnica a utilizar para documentar y estructurar el trabajo corresponde a la desagregacin de la informacin en una matriz de riesgos. Esta tcnica permite correlacionar la estructura desagregada de un proceso (proceso, subproceso y etapas) con los objetivos operativos, el nivel de riesgo, el nivel de eficiencia de los controles mitigantes y, finalmente, con el nivel de exposicin al riesgo. Esta tcnica tiene las siguientes ventajas: Obliga a los funcionarios encargados a conocer e interactuar en forma integral con su organizacin. Permite construir la Matriz de Riesgos del Servicio o entidad de tipo global y las matrices especficas para cada proceso relevante o materia especfica que se requiera analizar. Se genera una slida base para aplicar el Proceso de Gestin de Riesgos. Una vez identificados los procesos que desarrolla el Servicio se debe realizar la desagregacin de procesos y el modelamiento de los riesgos y los controles.

Los procesos deben ser desagregados en todos los subprocesos que los componen, y stos a su vez deben ser desagregados en todas las etapas que componen cada subproceso. Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el anexo N 4 de este documento. Deben ponderarse los procesos, de acuerdo a la relevancia que tengan para el Servicio o entidad. Deben tambin ponderarse los subproceso, de acuerdo a la relevancia o peso especfico que tengan en el proceso del cual forman parte. Desagregados los procesos, es necesario identificar los objetivos operativos de cada subproceso o etapa que los componen, (identificar cul es la finalidad especfica que se persigue en la generacin de un producto o servicio), basndose para ello en las declaraciones formales del Servicio, en el anlisis documental y en las entrevistas con los encargados de los procesos. Identificados los objetivos operativos de la etapa o subproceso, deben identificarse los riesgos operativos que pueden afectarlos, entendiendo como tales, aquellas situaciones cuya ocurrencia u omisin pudieran afectar total o parcialmente el logro de los objetivos operativos. Identificados los riesgos, debe calificarse su fuente y tipologa de acuerdo a lo sealado al punto 1.2.4 de este documento.______________________________________________________________________________________________ 16


Una vez identificados la fuente y tipologa de los riesgos operativos, debe calificarse su severidad en trminos de probabilidad e impacto, utilizando al efecto la metodologa entregada por el Consejo de Auditora u otra propia del Servicio previamente validada por ese organismo (tablas para valuacin se presentan en el anexo N 5). El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene el Servicio y que se orientan a mitigar los riesgos operativos identificados. En este punto, debe hacerse un anlisis de los controles relevando slo aquellos claves, cuyo objetivo es la mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de acuerdo a su nivel de cumplimiento con las normas de control interno y segn su oportunidad, periodicidad y automatizacin, utilizando para ello la metodologa del Consejo de Auditora u otra propia del Servicio, validada previamente por este Consejo (tablas para valuacin se presentan en el anexo N 5). Debe calcularse el nivel de exposicin al riesgo, por riesgo, por etapa, por subproceso y finalmente por proceso (tablas para valuacin se presentan en el anexo N 5). Debe calcularse el riesgo ponderado por proceso y subproceso. De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos del Servicio o Entidad al momento del anlisis de los procesos crticos, la que contendr los siguientes elementos: Desagregacin de los procesos de la institucin. Identificacin de subprocesos en esos procesos. Identificacin de etapas en cada subproceso. Identificacin de los objetivos operativos por etapa o subproceso. Identificacin de todos los riesgos operativos relevantes. Identificacin de la fuente del riesgo y su tipologa. Valor y clasificacin de la severidad de los riesgos operativos. Identificacin, valor y clasificacin de la efectividad de los controles asociados al riesgo operativo. Valor de la exposicin al riesgo individual, por etapa, subproceso y proceso crtico. Valor de la exposicin ponderada por subproceso y proceso crtico.

Es importante destacar que la informacin recabada en la Matriz de Riesgos del Servicio o entidad, corresponde al momento en el cual se realiza este levantamiento de informacin, y debe ser actualizada en forma peridica. Un ejemplo de levantamiento de proceso, se establece en el anexo N 6. Acciones Ao 2011 Para el desarrollo del Objetivo Gubernamental N3 - 2011, el Servicio debe: a) Identificar los procesos que desempea el Servicio. b) Clasificar los procesos entre los procesos transversales definidos en esta Gua Tcnica. c) Ponderar la importancia del proceso para el Servicio o entidad.______________________________________________________________________________________________ 17


d) e) f) g)

Identificar los subprocesos que componen los citados procesos. Ponderar los subprocesos en relacin a su importancia para el proceso que componen. Identificar las etapas que componen los subprocesos partes del proceso. Identificar los objetivos o finalidades que tiene cada una de esas etapas. Esta informacin debe derivarse de documentacin formal del Servicio, como reglamentos e instructivos o de informacin emanada de los encargados de los procesos. h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa. Para esta identificacin se pueden utilizar diversas herramientas como los talleres o la lluvia de ideas (anexo N 7). i) Clasificar los riesgos por tipo y origen definidos en esta Gua Tcnica. j) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad (tablas consideradas en Anexo N 7). k) Identificar los controles claves asociados a los riesgos identificados. l) Valuar los controles claves en relacin a la efectividad de su diseo. m) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso. En el caso de haberse trabajado procesos de gestin de riesgos con anterioridad, es necesario revisar nuevamente la desagregacin de procesos, subprocesos y etapas, as como los objetivos, riesgos y controles, determinando si esta desagregacin y la identificacin de riesgos y controles son adecuadas y corresponde a la realidad del Servicio. Otro punto en los que debe tenerse especial consideracin, son en los cambios que hayan enfrentado los lineamientos del Servicio, considerando que las nuevas autoridades, en los casos que as sea, aportarn nuevos enfoques y nfasis que hay tener en cuenta. Por ltimo, deber revisarse la identificacin de los riesgos con un especial nfasis en el origen financiero de los mismos, esto implica considerar preferentemente los montos y recursos involucrados en el proceso especfico que se est analizando. 1.2.2.- Procesos Transversales en la Administracin del Estado Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y productos finales. Dentro de ellos se agrupan los procesos especficos informados por los Servicios con distintas denominaciones, pero que responden a una misma raz. Acciones Ao 2011 Para el desarrollo de este Objetivo Gubernamental N3 - 2011, los Servicios, debern clasificar sus procesos en los procesos transversales definidos en la presente Gua Tcnica. Las categoras vigentes para el ao 2011, se sealan en el siguiente cuadro N 3. Cuadro N 3: Clasificacin Administracin del EstadoProcesos Transversales en la Administracin del Estado Subsidios a privados de fomento Subsidios a privados social Subsidios a privados asistencial:

y Descripcin

de

ProcesosDescripcin

Transversales

en

la

Procesos de Negocio Se entienden aquellos cuyo objetivo es la promover, mediante incentivos econmicos, que los particulares realicen por s mismos actividades productivas. Se entienden como tales los procesos cuyo objetivo es la promocin de ciertos objetivos sociales como la integracin, etc. Consisten en procesos cuya finalidad es entregar ayuda de subsistencia a

______________________________________________________________________________________________ 18

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________Procesos Transversales en la Administracin del Estado Descripcin Procesos de Negocio particulares. Son procesos en que, por ley o convenios, se entregan o reciben recursos de otro organismo del Estado. Procesos que se orienten a servir a todos los ciudadanos a travs de la entrega de atencin, servicios o productos. Procesos que se orienten a prestar una atencin de salud, previsional o social a personas que tengan ciertas calidades (Ej.: pensionados pblicos, ancianos, personas de las fuerzas armadas, etc.) Se refiere a procesos de entrega de prstamos, incluyndose los procesos de planificacin, ejecucin y cobranzas. Procesos que consistan en bodegaje, mantenimiento de stock y distribucin de materiales o bienes. Procesos que se refieran a los bienes muebles e inmuebles del servicio que se utilizan para cumplimiento del rol del Servicio. Procesos que impliquen estudios y acciones que apoyen decisiones sobre la infraestructura. Procesos de estudios culturales que releven las artes, literatura, pintura y todo lo relacionado a temas culturales. Procesos de estudios que sirvan o puedan servir de base para la emisin de normativa, regulaciones, tarifas, etc. Proceso a travs del cual el servicio gestiona aquellos bienes que son indispensables para el cumplimiento de su funcin; que son de la esencia de su negocio. En el caso de aquellos servicios que entregan derechos o beneficios a personas naturales como ser parte de un registro, derechos de aguas, etc. Entendiendo todos aquellos proceso relacionados al PMG, convenios de desempeo y otros estmulos por metas. Aquellos estudios cuyo sentido es investigar un tema econmico, financiero, de mercado u otra situacin determinada importante para el Servicio. Desarrollo de acciones legales y/o judiciales como negocio del Servicio. Equivalen a la gestin y monitoreo de los contratos que externalizan funciones propias del Servicio. Proceso relacionado con seguridad que realizan determinados entes del estado en relacin a las personas en distintas calidades: victimas, imputados, reos, reclutas y la ciudadana en general. Esto podra incluir operaciones de distinta naturaleza como vigilancia, traslados, control u otros de ndole distinta, relacionados con la seguridad. Procesos relacionados con seguridad operacional y respuestas ante situaciones de emergencias de los servicios de transporte terrestre, martimo y areo, as como de las instalaciones portuarias y aeroportuarias o de cualquier otra ndole, en donde exista trfico de pasajeros o carga. Procesos relacionados a anlisis, autorizaciones y permisos medio ambientales. Corresponde a aquellos procesos productivos que generan bienes materiales como resultado Procesos que desarrollan aquellos Servicios que venden productos y/o servicios a terceros. Procesos asociados a la ejecucin y coordinacin de operaciones de emergencia, gestin de recursos para emergencias, monitoreo y anlisis de los diversos factores y elementos relacionados con situaciones de emergencia o catstrofes. Procesos gerenciales Proceso anual que se realiza en el Servicio para programar la presupuestacin de las diversas acciones que ejecuta.

Transferencias a/de otras entidades pblicas Servicios de atencin al ciudadano contraprestacin Servicios de atencin social/ previsional /salud Crditos - recuperacin prestamos Almacenamiento y distribucin Infraestructura Asesora a infraestructura Estudios para marco cultural Estudios para regulaciones, normativa y fijacin tarifaria Administracin de bienes estratgicos Otorgamiento y/o reconocimiento de derechos Mejoramiento de la gestin Estudios e investigaciones Legal estratgico Control de outsourcing

Seguridad y Control de Personas y/o Recintos

Seguridad del transporte

Calificacin ambiental Produccin de bienes materiales Comercializacin Coordinacin Emergencia de Acciones de

Planificacin presupuestaria

______________________________________________________________________________________________ 19

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________Procesos Transversales en la Administracin del Estado Planificacin estratgica Coordinacin entre instancias Gobierno Electrnico Descripcin Procesos de Negocio Proceso que realiza el servicio en el que fija sus objetivos, sus metas y la forma como las cumplir. Procesos que implican relaciones entre diversos niveles, personas o entidades cuya organizacin y canalizacin son de responsabilidad del servicio. Procesos integrales para mejorar los servicios e informacin ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de la gestin pblica e incrementar la transparencia del sector pblico y la participacin de los ciudadanos a travs del uso de las tecnologas de informacin y comunicaciones (TIC) Inversin Todos los procesos de inversin considerados en el subttulo 31, desde los estudios a la ejecucin. Inversin en instrumentos financieros y de mercado accionario que realizan algunos Servicios autorizados. Informacin Aquellos sistemas de informacin que entregan reportes y datos a los que puedan tener acceso terceros

Iniciativas de inversin Mercado financiero

Sistemas de administrativos Sistemas informticos

informacin

Soporte informtico interno del servicio, que comprende sistemas de informacin contable, financieros y operativos que contienen datos internos del Servicio. Control operativo de los recursos pblicos Fiscalizacin Procesos a travs de los cuales los Servicios controlan a entes externos en el cumplimiento de normas y estndares. Evaluacin y control de substancias Proceso de control de substancias peligrosas. Control de gestin Proceso a travs del cual el servicio controla el cumplimiento de las metas, logros e indicadores que se ha definido en su planificacin. Soporte Financiero Procesos contables, de tesorera, registro presupuestario, etc. Legal Asesora y apoyo jurdico dirigido al quehacer interno del Servicio. Comunicaciones Acciones de difusin y publicidad de los programas y acciones desarrolladas por el Servicio. Adquisiciones y abastecimiento Incluye la programacin de compra, licitacin, compra, recepcin y distribucin de los bienes y servicios adquiridos. Recursos humanos Incluye todos los procesos relacionados al personal, su capacitacin, remuneraciones, feriados y bienestar. Administracin/mantenimiento Procesos de gestin de los recursos materiales del servicio, inventario, baja y recursos traslado. Gestin documental Procesos de administracin, direccin, manejo, registro, archivo y almacenamiento de documentacin del Servicio, con o sin apoyo de sistemas informticos, referido tanto a documentacin interna como externa del Servicio. Auditora Interna Proceso independiente y objetivo de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Se orienta a la prevencin y contempla actividades de planificacin, programacin, ejecucin, informe y seguimiento.

Es necesario relevar que los Servicios deben clasificar sus procesos slo en una de las categoras antes definidas, basados en las caractersticas organizacionales y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un nuevo proceso transversal, si fuese necesario.

______________________________________________________________________________________________ 20


Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales, de negocio, entre otros, es slo genrica, ya que pueden existir Servicios cuyos procesos de negocio correspondan a los que generalmente para las dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de recursos humanos, entre otros. En el cuadro siguiente se entrega un ejemplo de dicha clasificacin. Cuadro N 4: Ejemplo de Clasificacin de ProcesosProceso Transversal Crditos recuperacin de prstamos Subsidios a privados de fomento Proceso Entrega de crditos de fomento Programa de beneficios econmicos para mujeres emprendedoras Subsidios para capacitacin Entrega de bonos para produccin de leche Personal Proceso de alerta temprana Compras y contrataciones Subproceso Subproceso 1 Subproceso 2 . . . . . . Etapas Etapa 1 . . . . . . . Objetivos . . . . . . . . ---. . . . . . . .

Subsidios a privados social Subsidios a privados de fomento Recursos Humanos Coordinacin de Acciones de Emergencia Adquisiciones y abastecimiento

1.2.3.- Ponderacin Estratgica por Proceso y Subproceso Debido a que el levantamiento a nivel de procesos corresponde al 100% de los que desarrolla el Servicio (negocio, estratgicos y soporte) y considerando que no todos los procesos tienen la misma importancia estratgica dentro de una Institucin, debe realizarse una ponderacin porcentual de cada proceso, que permita determinar el peso relativo que tiene cada uno en el logro de los objetivos estratgicos y la misin del Servicio. Esta ponderacin por procesos, debe realizarse por la direccin del Servicio, en forma justificada, tomando en consideracin variables como las siguientes: Nivel de contribucin del proceso a la misin y objetivos estratgicos del Servicio. Impacto del proceso en la imagen del Servicio. Nivel de recursos que involucra cada proceso. Cobertura del proceso. Caractersticas de los usuarios, clientes y proveedores. Eficiencia de los sistemas de informacin del proceso. Complejidad y volatilidad de las actividades desarrolladas en el proceso. Dispersin geogrfica de las operaciones desarrolladas en el proceso. Cambios organizacionales, operacionales, tecnolgicos y econmicos producidos en el proceso.

De la misma manera, ponderados estratgicamente los procesos, debe definirse por la direccin el peso relativo que cada subproceso tiene dentro de un proceso, esto, atendiendo a la relevancia o importancia estratgica que tiene cada subproceso en la consecucin exitosa de______________________________________________________________________________________________ 21


los objetivos de cada proceso. Esta ponderacin de los subprocesos al igual que la de los procesos debe ser justificada adecuadamente, considerndose para esta labor algunas variables como las siguientes: El impacto de la concrecin de los riesgos en el subproceso. El grado de complejidad de las etapas que se identifican al interior del subproceso. Especializacin del personal que se requiere para desarrollar las diversas etapas y actividades del subproceso. Los recursos involucrados y su cobertura regional. El uso de sistemas de medios de informacin, entre otros. Competencia, aptitud e integridad del personal. Nivel de sistemas computarizados de informacin. Oportunidad y efectividad de los sistemas de control interno. Cambios organizacionales, operacionales, tecnolgicos y econmicos.

La ponderacin porcentual distribuida en todos los procesos en la institucin debe sumar 100%, asimismo, la ponderacin porcentual distribuidas en todos los subprocesos dentro de un proceso, debe sumar 100%. Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los procesos o subprocesos, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3-2011, los Servicios deben ponderar y/o revisar las ponderaciones anteriores, considerando los siguientes puntos: Todos los procesos identificados deben ponderarse. La ponderacin de todos los procesos debe sumar cien por ciento (100%). La ponderacin es reflejo de la importancia del proceso en el quehacer del Servicio, de ello que los procesos que generan productos estratgicos del Servicio, deberan tener mayor ponderacin. La justificacin debe fundamentarse en algn criterio de los antes mencionados. No basta sealar en qu consiste el proceso o subproceso, ni tampoco es suficiente indicar que se trata de un proceso clave al interior del Servicio, si no que es necesario sealar el por qu de su relevancia. Las ponderaciones de los subprocesos dentro de un proceso, deben sumar cien por ciento (100%). La ponderacin de los procesos de negocios del Servicio debe ser mayor a la ponderacin de los procesos de soporte. La ponderacin y su justificacin deben considerar la relevancia financiera y los recursos que involucran los procesos identificados.

A continuacin en el cuadro N 5 se entrega a modo de ejemplo la ponderacin de los procesos y subprocesos de una organizacin ficticia, con la justificacin correspondiente:

______________________________________________________________________________________________ 22


Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Procesos y SubprocesosProceso Pond.5 Justificacin de la ponderacin Subprocesos Postulacin crdito Pond.6 10% Justificacin de la ponderacin La ponderacin baja considera que la postulacin es un accin externa, propia de las usuarias Este subproceso es importante para el xito del proceso por cuanto las deficiencias en la evaluacin del crdito afectan la recuperacin del mismo y la imagen del Servicio, por otra parte se trata de una labor altamente especializada, para la cual no siempre se cuenta con personal idneo. Una mala evaluacin puede dejar sin crdito a una mujer que perdi su negocio en el sismo. Su nivel de complejidad es medio, pero se le pondera con este porcentaje puesto que una mala entrega podra afectar a otros usuarios beneficiarios de los incentivos La baja recuperacin repercute en el presupuesto del Servicio, afectando directamente a las otras usuarias y la imagen del Servicio, adems en la actualidad se hace manualmente y los errores en su registro son frecuentes

Crdito de fomento para mujeres microempresar ias

35%

Se trata del proceso principal del Servicio, que cumple el objetivo estratgico de entregar apoyo a las iniciativas de la mujer microempresaria, involucra sobre M$ 20.000, y se orienta a usuarias en situacin vulnerable, con ingresos anuales inferiores a las 200 UF. Adems es un instrumento para colaborar con la recuperacin de las mujeres microempresarias afectadas por el terremoto

Evaluacin crdito

30%

Entrega crdito

25%

Recuperacin crdito

35%

Postulacin

20%

Se trata de un beneficio conocido por la poblacin objetivo, del cual se realiza difusin desde hace seis aos con buena respuesta de las usuarias. El personal tiene experiencia y se cuenta con un sistema de informacin para el ingreso y validacin de datos de los postulantes

Capacitacin para los negocios

25%

Proceso importante, ya que colabora al cumplimiento del el objetivo estratgico de entregar apoyo a las iniciativas de la mujer microempresaria, involucra un presupuesto superior a M$ 3.000 y se dirige a mujeres en situacin vulnerable con baja escolaridad

Capacitacin

50%

Se trata de cursos contratados en el mercado, entregados por personal externo al Servicio, que debe ser monitoreado a fin que entregue materias requeridas por las usuarias, con un nivel comprensible para el pblico objetivo, con la flexibilidad necesaria para mujeres y no siempre se cuenta con personal adecuado y recursos para la supervisin Es importante ya que es la forma de medir como se ha recibido por las usuarias los contenidos de los cursos y evaluar los resultados de los cursos. No se cuenta con personal idneo en todas las materias para hacer la evaluacin del curso y una mala capacitacin afecta la imagen del Servicio

Evaluacin

30%

5

Porcentaje de Ponderacin Estratgica de los procesos en relacin con los objetivos estratgicos y la misin de la institucin. 6 Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.

______________________________________________________________________________________________ 23

Objetivo Gubernamental de Auditora N 3 - 2011, Proceso de Gestin de Riesgos _________________________________________________________________________________________________Proceso Presupuesto y Contabilidad Pond.5 10% Justificacin de la ponderacin Se trata de un proceso de soporte, que colabora a la ejecucin de los procesos que genera los productos estratgicos del Servicio Subprocesos Planificacin Pond.6 40% Justificacin de la ponderacin Su importancia se debe a la complejidad de realizar una planificacin adecuada con antecedentes efectivos de los recursos que se utilizarn en el ao. Un pago mal realizado afecta la planificacin y el registro, sin embargo la adecuada planificacin facilita el control del pagos ..

Pagos

30%

Registro

30%

1.2.4.- Tipologa de Riesgos En el marco del levantamiento de procesos, debe utilizarse una tipologa o categorizacin de riesgos. En estas categoras deben clasificarse los riesgos especficos que se identifiquen en la prxima fase. La tipologa de riesgos, sirve para agrupar aquellos riesgos que tienen caractersticas y elementos comunes. En relacin a la fuente u origen de los riesgos, se pueden sealar que existen riesgos de fuente externa y riesgos de fuente interna7. Los riesgos de fuente externa, son aquellos que tienen su origen en situaciones que estn fuera de la administracin y control del Servicio, como los cambios polticos y sociales. Al contrario, son de fuente interna, los que se originan al interior del Servicio, como los relacionados a las capacidades del personal y a la efectividad de los sistemas de informacin. En el cuadro N 6, se sealan ejemplos de los tipos de riesgos, considerando los elementos que caracterizan a cada uno. Es necesario sealar, que la clasificacin propuesta, es una adaptacin de la establecida en el Modelo COSO II, que se ha modificado para ser aplicada en el Objetivo Gubernamental de Auditora N 3 - 2011. Cuadro N 6: Ejemplos de Tipificacin de Riesgos Tipos de Riesgos Elementos que los caracterizaSe relacionan con el uso no adecuado de los recursos entregados por el Estado a sus entidades -

Ejemplos de riesgos especficosMal uso de los recursos Desviacin de recursos Entrega de recursos a no beneficiarios Malversacin de fondos Uso de recursos con fines distintos a los aprobados Falta de disponibilidad presupuestaria Modificaciones presupuestarias por deficiente ejecucin Errores en el servicio de la deuda Servicio de la deuda muy alto Exceso de compromisos del Servicio que afecten su presupuesto Malas inversiones en mercado de capitales Deficiencias en la ejecucin presupuestaria del Servicio Falta de Suplementos del Ministerio de Hacienda o falta de oportunidad en los mismos.

Financieros

Econmicos

Se relacionan con elementos financieros, comerciales y presupuestarios

7

Cfr. COSO II. Gestin de Riesgos Corporativos.

______________________________________________________________________________________________ 24


Tipos de Riesgos

Elementos que los caracterizaSe relacionan con elementos de comunidad social, cultural, demogrfica, comportamientos sociales. Acerca de las tecnologas de la informacin como concepto y los cambios que producen a nivel global en el sector o el Servicio Aspectos claves para el desarrollo del Servicio, que se relaciona con decisiones superiores y poltica de Gobierno Aspectos que afectan la calidad del medioambiente, sean ocasionados por el hombre o la naturaleza -

Ejemplos de riesgos especficosDeficiente comportamiento de usuarios (bajo compromiso, bajo cumplimiento, etc.) Problemas con los datos personales y privados de los clientes o proveedores Falta de responsabilidad social del Servicio o excesivamente gravosa Cambios culturales en los usuarios del Servicio (bajo inters, dificultades para aplicar polticas, etc.) Interrupcin de servicios Complejidades del Comercio Electrnico gravosas para el Servicio Complejidades y requisitos del Gobierno Electrnico Falta de cumplimiento de las obligaciones emanadas del Gobierno Electrnico Falta de confiabilidad de los datos externos Desactualizacin del Servicio debido a las tecnologas emergentes Falta de poder adquisitivo del Servicio frente a las nuevas tecnologas. Falta de planificacin en los cambios de gobierno Deficiencias en el conocimiento, comprensin y aplicacin de las polticas pblicas por parte del Servicio Nuevas regulaciones y tarifas dificultan el quehacer institucional o lo hacen ms gravoso Falta de cumplimiento normativo en las emisiones y residuos Dificultades con el uso de la energa Situaciones producidas por catstrofes naturales Falta de garantas de desarrollo sustentable Malas decisiones de impacto medioambiental Deficiencias en el diseo del proceso Ejecucin errnea de los procesos Ejecucin inoportuna de los procesos Falta de supervisin Falta de responsables de ejecutar la supervisin y monitoreo Falta de medidas adoptadas ante la supervisin, o se adoptan medidas que no son adecuadas Falta de cumplimiento o deficiencias en el mismo por parte de los clientes Falta de actualizacin por cambios en la legislacin Aumento de los requerimientos por cambio de legislacin Falta de cumplimiento de normas por deficiencias en las mismas (normas oscuras o contradictorias, vacos legales) Falta de capacidad del personal Personal sin capacitacin Actividad fraudulenta del personal Deficiencias en la seguridad e higiene y en el ambiente de trabajo del Servicio. Deficiencias en el cumplimiento de normas de personal (dotacin, escalafn, etc.) Escndalos Corrupcin

Sociales

Tecnolgicos

Estratgicos

-

Medioambientales

Procesos

Elementos que se relacionan con los distintos aspectos de los procesos que desarrolla el Servicio; como el diseo, la ejecucin, la supervisin y los clientes

-

Legal

Aspectos de cumplimiento y de conformidad del actuar del Servicio con la normativa pblica general y especfica aplicable al Servicio Aspectos relacionados al personal del Servicio, desde su ingreso hasta su egreso del mismo. Aspectos relacionados con el perfil del Servicio y la

-

Personas

-

Imagen

______________________________________________________________________________________________ 25


Tipos de Riesgos

Elementos que los caracterizareputacin social del mismo. Percepcin de la comunidad del actuar del Servicio Relacionado con los sistemas de informacin del Servicio, las tecnologas que posee y los datos que maneja. -

Ejemplos de riesgos especficosIncumplimiento de las funciones del Servicio Disconformidad de los usuarios Mal uso de recursos Falta de integridad y confiabilidad de datos Falta de disponibilidad de datos y sistemas Deficiencias en la seleccin de sistemas Deficiencias en el desarrollo y despliegue de los sistemas Deficiencias en el mantenimiento Falta de interoperabilidad de los sistemas

Sistemas

Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, el Servicio debe calificar los riesgos identificados de acuerdo a esta tipologa de riesgos. La clasificacin y/o la revisin de las tipologas de riesgo deben tener en consideracin los siguientes puntos: Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo con el origen que sea ms relevante para el riesgo. Todos los riesgos deben clasificarse slo en una tipologa. Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn sus consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y ello afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la imagen de la entidad, pero se trata de un riesgo de tipo tecnolgico.

Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos, stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. 2.- FASE IDENTIFICACIN DE RIESGOS Y OPORTUNIDADES La metodologa del Consejo de Auditora, considera la identificacin de riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos del Servicio. Las oportunidades y riesgos, son eventos, que se definen como un incidente que emana de fuentes internas o externas que afecta positiva o negativamente la implementacin de la estrategia o logro de los objetivos. Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos, se denominan oportunidades, y los negativos son conocidos como riesgos.8 El riesgo es el efecto de la incertidumbre sobre el objetivo.9 Como puede apreciarse, la identificacin de eventos consta de dos aspectos. Por una parte, la identificacin de oportunidades y por otra la identificacin de riesgos.8

De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las que afectan en forma negativa, se denominan riesgos. 9 ISO 31.000:2009. ______________________________________________________________________________________________ 26


2.1.- Identificacin de Oportunidades Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin de los mismos a la opinin pblica. La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que stas deben ser conocidas y evaluadas oportunamente por la direccin. A continuacin, en el cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a travs de eventos. Cuadro N 7: Ejemplo de Identificacin de Oportunidades por ProcesoEntidad Misin Procesos Eventos/oportunidades Est dentro de los lineamientos del nuevo Gobierno. Cambios sociales que apuntan a un papel protagnico de la mujer. La mujer estadsticamente es ms cumplidora y responsable con sus deudas y compromisos. Se han aumentado los fondos para apoyar a microempresarias afectadas por el terremoto La mujer en general, es responsable en asistencia a los cursos. Los jvenes reclaman alternativas de mejoramiento. En los ltimos aos ha existido una gran demanda por capacitacin. Existen muchos organismos tcnicos en el mercado que ofrecen diversas alternativas. El presupuesto de este ao contempla ms recursos que el ao anterior para este proceso. .. .. ..

Sistema Crediticio de Fomento

Servicio Apoyo al Microcrdito (ficticio).

Entregar apoyo crediticio de fomento a grupos vulnerables, de mujeres y jvenes.

Apoyo a la Capacitacin

Recursos Humanos Sistemas de Informacin Contabilidad y Presupuesto

Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 2011, se debe identificar oportunidades a nivel global de procesos de negocio. Es importante la realizacin de esta actividad, puesto que las oportunidades sirven a la institucin para retroalimentar las estrategias, en especial para incorporar los nuevos nfasis del Gobierno y la urgencia que imponen las acciones asociadas a la reconstruccin. 2.2.- Identificacin de Riesgos La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los objetivos es fundamental en un Proceso de Gestin de Riesgos. En el anexo N 7 se acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y oportunidades.______________________________________________________________________________________________ 27


Acciones Ao 2011 Para cumplir el Objetivo Gubernamental N 3 - 2011, el Servicio debe identificar los riesgos o revisar y mejorar su identificacin de riesgos, poniendo especial nfasis en los siguientes puntos: Identificar o actualizar los riesgos, considerando los cambios normativos, presupuestarios o de los lineamientos del Gobierno o direccin, en especial los nuevos enfoques y nfasis de Gobierno y de los jefes de Servicio u otras autoridades. Identificar en la forma ms completa y desagregada posible los riesgos que se relacionan a una etapa dentro de un proceso. Para ello se sugiere examinar las actividades al interior de las etapas, identificando los riesgos que se asocian a dichas actividades. Identificar en forma prioritaria los riesgos asociados con aspectos econmicos y financieros, considerando los recursos involucrados en los procesos y subprocesos. Considerar que una etapa puede tener, y en general es as, ms de un riesgo. Considerar que una buena y completa descripcin del objetivo operativo de la etapa facilita la identificacin de riesgos.

Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se sugiere: Identificar controles claves (ver definicin en el anexo N 9). Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su cumplimiento (registros documentales o electrnicos en el sistema). En base a la descripcin del control realizado, clasificar en forma consistente la efectividad del diseo, es decir, su periodicidad, oportunidad y automatizacin. Considerar que los controles que se identifican deben estar directamente relacionados con el riesgo que tericamente mitigan.

2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las entidades. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental de Auditora se debe sealar, de acuerdo a la tipologa entregada, a qu tipo genrico de riesgo corresponde el riesgo especfico determinado y cul es su fuente (externa o interna), como se seala a continuacin en el ejemplo del cuadro N 8. Lo anterior implica poner un especial cuidado en dilucidar si el riesgo identificado, tiene su origen al interior de la entidad, por lo tanto es manejable por esta, o si, en caso contrario se origina externamente y slo pueden tomarse acciones paliativas que afecten indirectamente el riesgo. Por ejemplo, cuando se trata de de decisiones que son de responsabilidad de otras reparticiones del Estado, tales como la Direccin de Presupuestos (modificaciones presupuestarias), Ministerio de Planificacin (RS de inversiones), entre otros casos.______________________________________________________________________________________________ 28


Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su TipologaProceso Transversal Proceso Pond. Subproceso Pond. Etapas Objetivos Recuperar oportunamente crditos Cobranza Contar garantas crditos Crditos de fomento a mujeres microempr esarias 30% Recuperaci n del crdito 25% de con los los Riesgos especficos Falta de acciones oportunas de cobranza Insolvencia de los deudores Falta de garantas Fuente de Riesgos Interna Externa Interna Procesos 1 4 Tipo de riesgo Procesos Econmico Prob. 3 2 Cons. 3 4

Crditos Recuperacin de prstamos

Ingreso inoportuno incompleto de pagos Ingreso fondos recuperados Ingresar los fondos recuperados en forma oportuna y completa

o

Interna

Personas

4

3

Errores en la digitacin de los montos Problemas en la transformacin de la informacin del sistema del Servicio al SIGFE

Interna

Personas

3

4

Interna

Tecnolgico

2

4

Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, deber revisarse la clasificacin de los riesgos realizada de acuerdo a la tipologa desplegada en el cuadro N 6 anterior, prestando especial atencin a dos puntos especficos: a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo: Un riesgo relacionado con la mala calidad de los datos e informacin del Servicio, es un riesgo de origen interno, independientemente que la administracin del sistema de informacin se haya externalizado, ya que el riesgo parte de una debilidad interna. En cualquier caso, debe clasificarse slo en una fuente, no siendo vlido un riesgo interno /externo, debiendo optarse por aquella fuente que tenga mayor importancia en el origen del riesgo. b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua tcnica. Para ello, debe considerase principalmente la causa del mismo. Por ejemplo, si se identifica un riesgo de corrupcin o de falta de probidad en el personal, nos encontramos con un riesgo que se clasifica en la tipologa personas an cuando sus consecuencias afectan tambin a la imagen del Servicio. Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos, deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora. 2.3.- Identificacin de Riesgos Relacionados con el Gobierno Electrnico: En la actualidad el Gobierno Electrnico constituye una gran herramienta para la modernizacin del Estado, las tecnologas de la informacin son el instrumento adecuado para proveer la participacin del ciudadano en las instancias de Gobierno y la transparencia en el quehacer del Estado. De acuerdo a lo sealado, los Servicios deben incorporar aquellos procesos y riesgos relacionados con el Sistema de Gobierno Electrnico. Para identificar los procesos relacionados con el Gobierno Electrnico y realizar el anlisis de los riesgos que los pueden afectar, es necesario considerar que ste consiste en el uso de las tecnologas de informacin y comunicaciones (TIC) que realizan los rganos de la______________________________________________________________________________________________ 29


administracin para mejorar los servicios e informacin ofrecidos a los ciudadanos, aumentar la eficiencia y la eficacia de la gestin pblica e incrementar sustantivamente la transparencia del sector pblico, as como la participacin de los ciudadanos. Dentro del Programa de Mejoramiento de la Gestin, existe el Sistema de Gobierno Electrnico. Este sistema, consta de cuatro etapas en el marco bsico, que consideran, diagnstico, planificacin implementacin y evaluacin, respectivamente, y que podra ser un insumo importante en esta identificacin. En el anexo N 8, a modo ilustrativo, se presentan algunos ejemplos de riesgos genricos que pueden afectar los procesos que incorporan Tecnologa de la Informacin. Acciones Ao 2011 Para el cumplimiento del Objetivo Gubernamental N 3 - 2011, el Servicio debe identificar riesgos relacionados con el Gobierno Electrnico o actualizarlos. Para ello se sugiere analizar y actualizar cules procesos dentro del Servicio, han sido mejorados con TIC10 y dentro de stos examinar cules son los riesgos nuevos que surgen producto de este mejoramiento. Otra posibilidad es analizar Gobierno Electrnico como un proceso separado en forma integral. Es necesario relevar que Gobierno Electrnico no es sinnimo de sistema de informacin, sino que se refiere al uso de tecnologas de informacin por parte del Estado para mejorar la calidad y oportunidad de la informacin que se le entrega al ciudadano, su participacin y la transparencia en el quehacer. 3.- FASE ANLISIS DE RIESGOS 3.1.- Anlisis General de Riesgos Los Servicios despus de desarrollar la identificacin de riesgos especficos, deben analizarlos, examinando los riesgos en relacin a su probabilidad y consecuencias. A su vez, los controles deben ser analizados en trminos de efectividad, para finalmente identificar el nivel de exposicin al riesgo por proceso, subproceso, etapa y riesgo especfico. Existen dos elementos que deben considerarse en esta fase: 3.1.1.- Anlisis de los Riesgos: Los Servicios debern poner al da su anlisis de riesgos, actualizando la Matriz de Riesgos del Servicio o entidad e incorporando los procesos relacionados con el Gobierno Electrnico y todos aquellos procesos nuevos que desarrolle el Servicio, con sus respectivos riesgos y controles, analizando especialmente los riesgos nuevos y los nuevos nfasis de Gobierno que han definido los Jefes de Servicio y otras autoridades.

10

TIC= Tecnologas de Informacin.

______________________________________________________________________________________________ 30


Acciones Ao 2011 Para cumplir el Objetivo Gubernamental N 3 - 2011, y en general para un buen desempeo del Proceso de Gestin de Riesgos, el Servicio debe analizar los riesgos y oportunidades, poniendo especial nfasis en los siguientes puntos: Analizar y/o actualizar los riesgos y su calificacin de probabilidad e impacto, de acuerdo a las ltimas auditoras, los antecedentes histricos que se tengan y a los cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos, eliminacin de programas, cambios en las polticas gubernamentales, modificaciones en la orientacin y lineamientos de la direccin, entre otras situaciones). Analizar y/o actualizar los riesgos del Servicio, con especial nfasis en los riesgos asociados con aspectos financieros, considerando los recursos involucrados en los procesos y subprocesos y el uso de los mismos. Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias de aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las auditoras a los diversos procesos del Servicio. Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos han sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en consideracin que muchas veces el mejoramiento de las TIC se realiza en etapas o actividades del proceso, pero su influencia e impacto irradia la totalidad del mismo. Analizar y/o actualizar los riesgos del Servicio, considerando los nuevos enfoques y lineamientos del Gobierno, as como los cambios que experimentan los riesgos identificados en aos anteriores (mayor o menor valuacin de los riesgos de acuerdo a la importancia que adquieran los procesos en el marco del plan de reconstruccin) Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma directa, de tal manera que los riesgos identificados impidan o dificulten el resultado esperado por el Servicio al desarrollar esa etapa. Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos, eliminacin de programas, entre otras situaciones). Ver anexo N 9. Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los riesgos y controles. 3.1.2.- Incorporacin del Concepto de Ponderacin Estratgica: Como ya se seal en el punto N 1 de este documento, Fase de Establecimiento del Contexto; debe aplicarse el concepto de ponderacin estratgica a nivel de proceso y subproceso. En efecto, para determinar el nivel de exposicin al riesgo de los subprocesos y procesos, deber multiplicarse el nivel de exposicin final por proceso y subproceso11 por el porcentaje de ponderacin estratgica que a cada uno de ellos les fue asignado, de la forma que se explica en el cuadro a continuacin:

11

Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.

______________________________________________________________________________________________ 31


Cuadro N 9: Ejemplo de Ponderacin Estratgica por Proceso y SubprocesosProceso Transversal Proceso Pond 12 Subproceso Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4 Subproceso 5 Subproceso 6 Pond. 13 70% 30% 60% 40% 50% 50% Nivel de Exposicin al Riesgo Etapas Etapa 1 Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Etapa 7 Etapa 8 Etapa 9 Etapa 10 Etapa 11 Etapa 12 Etapa 13 Riesgo Especfico 3 3 3 2 5 2 2 6 2 2 2 4 4 Etapa 3 3 3 2 5 2 2 6 2 2 2 4 4 Subproceso 3 2,5 3,5 4 2 2,7 3,3 3,3 x 50% = 1,65 3,8 Proceso 2,8 2,5 x 30% = 0,75 3,5 x 60% = 2,1 4 x 40% = 1,6 2 x 50% = 1 2,7 x 30% = 0,81 Nivel de Exposicin al Riesgo Ponderada Subproceso 3 x 70% = 2,1 2,8 x 50% = 1,4 3,7 x 20% = 0,74 Proceso

Proceso Transversal 1 Proceso Transversal 2 Proceso Transversal 3

Proceso 1

50%

Proceso 2

20%

Proceso 3

30%

Del cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando el resultado a la posicin y relevancia de stos. En efecto, en el ejemplo se observa que sin aplicar el porcentaje de ponderacin estratgica, aparece como de mayor nivel de exposicin al riesgo el proceso 2 (y por tanto, aparentemente como ms prioritario para actuar sobre l), sin embargo, aplicando la ponderacin estratgica definida por la direccin aparece como de mayor prioridad el proceso 1, el cual, de acuerdo a la determinacin realizada por la direccin es el ms importante al interior del Servicio. Acciones Ao 2011 Para el Objetivo Gubernamental N3 - 2011, el Servicio debe definir las ponderaciones o revisarlas y mejorarlas, de acuerdo a lo sealado en el punto 1.2.3 de este documento (Ponderacin estratgica por proceso y subproceso), teniendo presente que los cambios de polticas de Gobierno, las modificaciones presupuestarias y la orientacin en los lineamientos de la Direccin, las afectan directamente. En especial, debe considerarse el enfoque de los directivos y la relacin de los procesos con el cumplimiento de la misin institucional del Servicio y los recursos financieros involucrados. 4- FASE EVALUACIN DE LOS RIESGOS La Fase de Evaluacin de los Riesgos considera dos pasos. Primero la definicin del criterio que se escoger y segundo la confeccin de un ranking de riesgos en la organizacin. 4.1.- Definicin de Criterios En este caso se utilizar el criterio asociado al nivel de exposicin al riesgo ponderada, esto es el riesgo residual que subsiste despus de aplicados todos los controles claves existentes. Para el desarrollo del Objetivo Gubernamental, el nivel de exposicin al riesgo debe considerar la ponderacin estratgica de procesos y subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica que el criterio considerado para la evaluacin del riesgo es el de exposicin al ries

guía técnica nº 53

Documents