Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1
PONENTE:
CPCC. CARLOS ALBERTO YAIPÉN GUEVARA
Consultor y Asesor con amplia experiencia en Control
Gubernamental y Gestión Pública en entidades del Estado como
Ministerio del Interior, Asamblea Nacional de Rectores, Superintendencia de
Bienes Estatales, entre otras. Docente Universitario en Cursos,
Diplomados y Especializaciones en Control Interno, Gestión de
Riesgos, Auditoria Gubernamental, Etica Pública y Presupuesto
por Resultados, con experiencia docente de 30 años en la Escuela
Nacional de Control, Universidades del país y en los Colegios de
Contadores Públicos de Lima, Ayacucho e Iquitos.
Contador Público de profesión por la Universidad Nacional Mayor de San
Marcos, con estudios de Maestría en Gerencia de Administración Pública
en Universidad ESAN y Post Grados de Enseñanza para Adultos
por Universidades Católica y de Lima. Funcionario de la Contraloría
General de la República por 25 años. Contralor Regional en San Martín,
Amazonas y Cajamarca. Funcionario Internacional en Chile, Argentina,
Brasil y México. Actualmente se desempeña como Expositor y
profesor de los Diplomados y Especializaciones en el Colegio de
Contadores Públicos de Lima.
2
A LOS PARTICIPANTES
Sras. y Srs.
Agradeceré
se sirvan
mantener
sus
Celulares
apagados o en
modo vibrador
durante
la reunión
3
Todas las intervenciones son
válidas e importantes: 30% de
La Administración de riesgos es una herramienta
lagestión
de nota.que nos permiten mejorar la gestión
de la Universidad a través de la implementación
Daremos
de buen manejo
acciones preventivas que nos al uso de
conlleven
la palabra solicitada.
evitar o minimizar los efectos negativos que
puedan afectar los objetivos institucionales.
Respetaremos las opiniones de
La metodología establecida cuenta
nuestros
con 4 fases: compañeros así
no las
compartamos.
Nuestra actitud será siempre
propositiva y proactiva.
4
ANTECEDENTES
Y
GENERALIDADES
5
MARCO CONCEPTUAL
DE LA IMPLEMENTACION
Y FORTALECIMIENTO
DEL CONTROL INTERNO
6
LEY N° 30372 LEY DE PRESUPUESTO DEL SECTOR
PÚBLICO PARA EL AÑO FISCAL 2016
QUINCUAGÉSIMA TERCERA-
Establézcase en todas las entidades del Estado, de los tres niveles
de Gobierno, en el marco de la Ley 28716, Ley de Control Interno
de las entidades del Estado, la obligación de implementar su
Sistema de Control Interno (SCI).
7
LEY N° 30372 LEY DE PRESUPUESTO DEL SECTOR
PÚBLICO PARA EL AÑO FISCAL 2016
Quincuagésima Tercera.
(……)
Para la implementación de la presente norma, la Contraloría
General de la República emitirá las disposiciones conteniendo los
plazos por cada fase y nivel de gobierno y los demás
lineamientos que sean necesarios.
R.C. N° O4-2017-CG
“GUIA PARA LA IMPLEMENTACION Y FORTALECIMIENTO
DEL SISTEMA DE CONTROL INTERNO EN LAS ENTIDADES
DEL ESTADO"
(Enero .2017)
9
ALCANCE
Las disposiciones contenidas en la presente Directiva
son de obligatorio cumplimiento para:
11
CONTROL INTERNO
ENTIDAD
12
Modalidades de la función de Control
1) Quién lo ejerce
Interno / Externo
2) Oportunidad de su ejercicio:
•Previo
•Simultáneo
•Posterior
13
CONTROL QUE EJERCE EL SISTEMA (art 7 ° y 8°)
14
15
LEY Nº 28716 LEY DE CONTROL INTERNO DE
LAS ENTIDADES DEL ESTADO
16
EL CONTROL INTERNO
17
MARCO COSO
OBJETIVOS
UNIDADES DE NEGOCIO
COMPONENTES
20
ANEXO 6 - MODELO DEL PLAN DE SENSIBLIZACIÓN Y CAPACITACIÓN EN CONTROL INTERNO
Ta l l er Má s de 50% obtuvo
2 "Impl ementaci ón del Obtener conoci mi entos y des a rrol l a r una nota míni ma de * Equi po de Tra ba jo
Si s tema de Control ha bi l i da des pa ra l a i mpl ementaci ón 18 (donde l a nota opera tivo y eva l ua dor,
Interno" del Si s tema de Control Interno míni ma es 20) de s er el ca s o.
Ta l l er Obtener conoci mi entos y des a rrol l a r Má s de 50% obtuvo
"Impl ementaci ón de ha bi l i da des pa ra l a i mpl ementaci ón de una nota míni ma de * Equi po de Tra ba jo
3 l a Ges tión por Proces os "
l a Ges tión por 16 (donde l a nota opera tivo y eva l ua dor,
Proces os " míni ma es 20) de s er el ca s o.
Ta l l er Obtener conoci mi entos y des a rrol l a r Má s de 50% obtuvo
"Impl ementaci ón de ha bi l i da des pa ra l a i mpl ementaci ón de una nota míni ma de * Equi po de Tra ba jo
4 l a Ges tión de l a Ges tión de Ri es gos " 16 (donde l a nota opera tivo y eva l ua dor,
Ri es gos " míni ma es 20) de s er el ca s o.
Obtener conoci mi ento es pecífi co
res pecto a l conceoto, benefi ci os e Má s del 50% obtuvo * (Uni da d Orgá ni ca ) 1
i mportanci a del Control Interno; a s í una nota míni ma de * (Uni da d Orgá ni ca ) 2
5 Cha rl a de como s u vi ncul a ci ón con el model o de 18 (donde l a nota
* (Uni da d Orgá ni ca ) 3
"Cons ol i da ci ón del l a ges tión pa ra res ul tados a l a que s e má xi ma es 20)
Control Interno" refi ere l a Pol ítica de Moderni za ci ón de * (Uni da d Orgá ni ca ) 4
Fuente: R.C. N° 004-2017-CG
21
NUEVOS ENFOQUES DE
LA GESTION DE RIESGOS
22
23
Riesgos
¿Alguien que trabaje con riesgos?
24
Riesgo
25
PELIGRO:
RIESGO:
ES UNA MEDIDA DE LA PROBABILIDAD Y DE LA SEVERIDAD DEL DAÑO QUE SE PODRÍA CAUSAR POR
UN PELIGRO A LA GENTE.
= UN PELIGRO
= SITUACIÓN PELIGROSA -
PERSONA NTERACTUANDO
CON EL PELIGRO)
= EVENTO PELIGROSO -
EXPONE A UNA
PERSONA A DAÑO.
26
¿ QUE ES RIESGO?
27
28
¿ QUÉ ES
PROBABILIDAD?
29
PROBABILIDAD
Es la posibilidad de ocurrencia del riesgo;
30
PROBABILIDAD
La probabilidad está ligada a la vulnerabilidad y esta íntimamente
ligada a los procesos sociales que se desarrollan en las áreas
propensas y usualmente tiene que ver con la fragilidad, la
susceptibilidad o la falta de resistencia de la población ante
amenazas de diferente índole.
31
32
EVENTO
33
¿ QUÉ ES IMPACTO?
34
IMPACTO
Es el daño o efecto que puede ocasionar la
materialización del riesgo.
35
CONCEPTOS CLAVES
Riesgo inherente: Es la posibilidad de
pérdida causada por un evento (o serie de
eventos) que pueden afectar negativamente
a la consecución de los objetivos de la
empresa en ausencia de acciones por parte
de la gerencia, que alteren la probabilidad o
el impacto.
SECRETARIA DE ENERGIA
37
Clases de Riesgo
• Riesgo de naturaleza • Riesgo operativo
• Riesgo socio natural • Riesgo informático
• Riesgo antrópico • Riesgo estratégico
• Riesgo crediticio • Riesgo de cumplimiento
• Riesgo de solvencia • Riesgo de contraer alguna
• Riesgo financiero (fraude) enfermedad
• Riesgo vehicular • Riesgo de falta de suministros
• Riesgo eléctrico • Riesgo de morir
38
ENFOQUE
DEL RIESGO
39
COMPONENTES INTERRELACIONADOS DEL
CONTROL INTERNO
AMBIENTE
DE
CONTROL
SUPERVISIÓN EVALUACIÓN
MONITOREO DE RIESGO
INFORMACIÓN Y
COMUNICACIÓN
ACTIVIDADES
DE SISTEMA
CONTROL INTEGRADO
GERENCIAL 40
APARICIÓN DEL DOCUMENTO DE GESTIÓN DE RIESGOS
COORPORATIVOS - ERM
No obstante, la estructura planteada por COSO:
41
Gestión del Riesgo empresarial (ERM)
“El control interno es una parte integral de la Administración del
riesgo empresarial y está abarcado dentro de éste.”
42
COMPONENTES DEL SISTEMA DE CONTROL INTERNO Y GESTION
INTEGRAL DE RIESGOS – ENFOQUE COSO
1. Entorno Interno
1. Ambiente de Control 2. Definición de Objetivos
2. Evaluación de Riesgos 3. Identificación de Eventos
3. Actividades de Control 4. Evaluación de Riesgos
4. Información y comunicación 5. Respuesta al Riesgo
5. Monitoreo 6. Actividades de Control
7. Información y Comunicación 43
8. Monitoreo
PLANEAMIENTO DE LA
ADMINISTRACION DE
RIESGOS
44
PROYECTOS
PLANES PROGRAMAS
ADMINISTRACION DE
RIESGOS
PALIAR
ELIMINAR
TRASLADAR
ASUMIR
OBJETIVOS INSTITUCIONALES
45
CPCC. CARLOS YAIPEN GUEVARA
PLANEAMIENTO DE LA GESTION DE RIESGOS
Un evento es un acontecimiento derivado de fuentes
internas o externas que afecta la implementación de la
estrategia o la consecución de los objetivos.
Un evento puede tener un impacto positivo o negativo, o
ambos a la vez.
Cuando el impacto es positivo se le conoce como
oportunidad, si es negativo se le conoce como riesgo.
46
PLANEAMIENTO DE LA ADMINISTRACION DE RIESGOS
Es el proceso de desarrollar y documentar una estrategia clara,
organizada e interactiva para identificar y valorar los riesgos que
pudieran impedir el logro de los objetivos.
El Planeamiento de la Administración de Riesgos es un proceso
continuo. Incluye actividades de identificación, análisis, valoración,
manejo, respuesta, monitoreo y documentación.
47
PASOS PARA ADMINISTRAR EL RIESGO
11 Definir el
contexto
Identificar condiciones
externas
22
PLANIFICAR EL RIESGO
Identificar que eventos
Identificar el dificultan el logro de
riesgo objetivos
33 Analizar los
riesgos
Calificar y evaluar cada
riesgo
44 Valorar los
riesgos
Confrontar con los controles
existentes
55 Definir el
tratamiento
Tomar acciones para
minimizar, evitar, compartir
o asumir el riesgo
48
Definir el contexto
49
SITUACIONES QUE GENERAN RIESGO
SOCIALES
PROCESOS RECURSOS
50
ANALISIS DE LOS RIESGOS
51 51
Planeamiento para la administración de riesgos
Para elaborar un plan se debe utilizar una herramienta denominada Matriz de
Riesgos. Esta herramienta, brinda un entendimiento claro de las situaciones,
los problemas que se podría tener y las soluciones para esas circunstancias.
52
Ejemplo de Matriz de Riesgo
Tu plan de administracion de riesgos está detallado en esta herramienta. Las soluciones que se
plantea deben estar bien alineadas con los riesgos de manera tal que si un evento está
contemplado, el plan funcione.
La Matriz de Riesgos es una herramienta simple pero funciona eficientemente.
53
PLAN DE ADMINISTRACION DE RIESGOS
54
Que puedes hacer con tus riesgos?
En general, tienes cuatro opciones para considerar en tu plan de riesgos:
Evitar riesgos.- muchos riesgos pueden ser evitados hoy en día si se realiza una adecuada
planificación. Haciendo una evaluación de riesgos antes de invertir tu dinero puedes saber
si la operación en general representa un riesgo alto, moderado o bajo.
Retener riesgos.- Existen riesgos muy pequeños como para ser considerados en el plan de
administración de riesgos y que no necesitarían seguro. Existen riesgos cuya posibilidad de
ocurrencia es baja, nula o incluso si suceden pueden ser afrontados fácilmente.
Transferir riesgos.- existen riesgos que pueden costarte demasiado, como por ejemplo si
alguien de tu familia resulta herido, esto puede costarte muchísimo en términos de gastos
médicos. En este caso, transferir estos riesgos a una compañía de seguros es la mejor
opción a considerar en tu plan de administracion de riesgos. 55
CLASIFICACION DE LOS RIESGOS
La clasificación de los riesgos puede realizarse a través del
mapa de riesgos que nos permite traducir estos problemas
en acciones concretas y se realiza a través de cuadrantes
asignados: en un eje vertical la probabilidad de ocurrencia y
en el eje horizontal el grado de impacto.
La infraestructura de administración de riesgos tiene como
característica que es un proceso coherente y alineado con
sus componentes.
56
MAPA DE RIESGOS
57
IDENTIFICACION DE RIESGOS
58
59
Lista de Verificación: PLANEAMIENTO DE RIESGOS
La Guía para la Implementación del Sistema de Control Interno en las entidades del Estado, ha
previsto un formato para evaluar la existencia o no de esta fase de la administración de
riesgos, de acuerdo con la Noma 2.1 de la Estructura del Control Interno.
Documento de
Elementos Si No N/A soporte/comentarios
2.1 Planeamiento de la Administración de
Riesgos
Se ha desarrollado un Plan de actividades
de identificación, análisis o valoración,
1
manejo o respuesta y monitoreo y
documentación de los riesgos
La Dirección (Directorio, Gerencias y
Jefaturas) ha establecido y difundido
2
lineamientos y políticas para la
administración de riesgos
El planeamiento de la administración de
riesgos es especifico en algunas áreas,
3 como en la asignación de
responsabilidades y monitoreo de los
mismos.
La entidad cuenta y ha puesto en práctica
4
el Plan de Administración de Riesgos 60
CLASIFICACION DE
RIESGOS
61
CLASES DE RIESGOS
CUMPLIMIENTO INTEGRIDAD
RR.HH
INFORMACION
GOBERNABILIDAD
62
CLASIFICACION DEL RIESGO
Durante el proceso de identificación del riesgo se recomienda
hacer una clasificación de los mismos teniendo en cuenta los
siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la
Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales
relacionados con la misión y el cumplimiento de los objetivos
estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.
63
Clasificación del riesgo
Riesgos de Control: Están directamente relacionados
con inadecuados o inexistentes puntos de control y en
otros casos, con puntos de control obsoletos,
inoperantes o poco efectivos.
64
Clasificación del riesgo
Riesgos de Cumplimiento: Se asocian con la
capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en
general con su compromiso ante la comunidad.
65
VALORACION DE RIESGOS
66
VALORACION DE RIESGOS
La Valoración del Riesgo es un elemento de Control Interno,
que determina el nivel o grado de exposición de la Entidad
Pública a los impactos del riesgo, permitiendo estimar las
prioridades para su tratamiento.
67
EJEMPLO BASICO DE VALORACIÓN DE RIESGOS
Valores para estimar el Impacto
Evaluación Descripción
Impacto financiero en la corporación extremadamente
ALTO perjudicial; implica pérdidas financieras o gastos adicionales
mayores a US$ 500,000
68
EJEMPLO BASICO DE VALORACIÓN DE RIESGOS
Valores para estimar la Probabilidad
Evaluación Descripción
Se espera que ocurra una vez cada trimestre por lo
ALTA menos
69
MATRIZ DE VALORACION DE RIESGOS
70
71
PROCESO DE VALORACION
Y RESPUESTA AL RIESGO
72
MANIFESTACIONES O CARACTERISTICAS MEDIBLES U OBSERVABLES
DE UN PROCESO, CON POTENCIAL PARA PROVOCAR
CONSECUENCIAS NO DESEABLES EN LA GESTIÓN DE LA
ENTIDAD.
73
VALORACION DE LOS RIESGOS
76 76
Valoración de los Riesgos
77 77
Valoración de los Riesgos
78 78
MATRIZ DE PROBABILIDAD E IMPACTO
•Los riesgos pueden ser priorizados para un análisis cuantitativo
posterior y para las respuestas posteriores, basándose en su
calificación
•La calificaciones son asignadas a los riesgos basándose en la
probabilidad y el impacto evaluados
•La evaluación de la importancia de cada riesgo y de su prioridad
generalmente se realiza usando una matriz de probabilidad e impacto
•La Matriz de probabilidad e impacto: la matriz especifica
combinaciones de probabilidad e impacto que llevan a la calificación
de los riesgos como aceptable, tolerable, moderado, importante e
inaceptable. Pueden usarse términos descriptivos o valores
numéricos, dependiendo de la preferencia de la entidad
79 79
MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS
80
MATRIZ PARA EL ANÁLISIS DEL RIESGO
PROCESO:
OBJETIVO:
EFECTIVIDAD EN
EXPOSICION AL NIVEL DE RIESGO
PROBABILIDAD IMPACTO LOS CONTROLES
RIESGO (1) (3)
FACTOR DEL RIESGO RIESGO EXISTENTES (2)
P1 P2 P3 P4 I1 I2 I3 I4 A M B I E1 E2 E3 E4 N1 N2 N3 N4
I1 I2 I3 I4
Impacto
Improbable I I M M
P1
Poco probable
I B M A
P2
Posible
P3
B B M A
Muy probable
P4
B M A A
Exposición:
Alta: rojo
Moderada: naranja,
Baja: amarrilla,
82
Irrelevante: verde
Auxiliar 2
EFECTIVIDAD DE CONTROLES EXISTENTES
PROCESO:
OBJETIVO:
Efectividad del
Factor de Controles control
Riesgo
riesgo Asociados
E1 E2 E3 E4
No efectivo Poco efectivo Efectivos Muy efectivos
83
ANALISIS DE LOS RIESGOS
Los procesos, actividades y tareas que la entidad
desarrolla, deben ser claramente entendidos y
correctamente definidos de acuerdo con los estándares
establecidos por el titular o funcionario designado.
84
ANALISIS DE RIESGOS
El análisis de riesgos puede ser cualitativo o cuantitativo.
El análisis de riesgos cualitativo precede en ocasiones al cuantitativo, cuando se
quiere profundizar en algún riesgo concreto. En otras ocasiones precede
directamente a la planificación de respuesta al riesgo, obviándose el análisis
cuantitativo.
86
ANALISIS DE RIESGOS
87
88
89
ANALISIS CUALITATIVO DE LOS RIESGOS
Este proceso evalúa el impacto y la probabilidad de ocurrencia de los riesgos
identificados en el proceso anterior usando métodos y herramientas de análisis
cualitativo. El riesgo se mide a partir de dos parámetros: probabilidad e impacto.
Todo riesgo viene definido por sus valores de probabilidad e impacto. Si el riesgo
puede materializarse en más de una ocasión, aparece un tercer parámetro de
medida: la frecuencia, que mide el número de veces que un determinado riesgo
puede materializarse a lo largo del proyecto.
Para que este método sea útil y no lleve a conclusiones erróneas es preciso contar
con información precisa y no tendenciosa acerca de los riesgos. Los riesgos deben
ser adecuadamente entendidos antes de proceder a la determinación de su
probabilidad e impacto.
Ello implica examinar: el grado de conocimiento del riesgo, la información
disponible, y la calidad e integridad de la información. Para medir probabilidad e
impacto pueden utilizarse escalas numéricas y no numéricas. 90
CARACTERISTICAS DEL ENFOQUE CUALITATIVO
El enfoque cualitativo, a veces referido como investigación naturalista,
fenomenológica, interpretativa o etnográfica incluye una variedad de concepciones,
visiones, técnicas y estudios no cuantitativos y sus características más relevantes
son:
1. El investigador plantea un problema, pero no sigue un proceso claramente
definido. Sus planteamientos no son tan específicos como en el enfoque
cuantitativo.
2. Se utiliza primero para descubrir y refinar preguntas de investigación.
3. En lugar de iniciar con una teoría particular y luego confirmarla empíricamente,
inicia observando el mundo social y desarrolla una teoría coherente con lo que
observa, se fundamenta con un proceso inductivo que va de lo particular a lo
general.
4. En la mayoría de estos estudios no se prueban hipótesis sino que se van
generando.
5. El enfoque se basa en métodos de recolección de datos no estandarizados.
91
CARACTERISTICAS DEL ENFOQUE CUALITATAIVO
No hay mediciones numéricas, por lo cual no hay análisis estadístico. La recolección
de los datos consiste en obtener las perspectivas y puntos de vista de los
participantes.
6. Se utilizan técnicas de recolección de datos como la observación no estructurada,
entrevistas abiertas, revisión de documentos, discusión en grupo, evaluación de
experiencias personales, interacción con grupos, etc.
7. El proceso de investigación es flexible, su propósito consiste en reconstruir la
realidad, estudia el todo y no se reduce al estudio de sus partes.
8. Evalúa el desarrollo natural de los sucesos, no hay manipulación ni estimulación
con respecto a la realidad.
9. Se fundamenta en una perspectiva interpretativa de lo que capta activamente.
10. La realidad se define a través de las interpretaciones de los participantes.
11. El investigador se introduce en la experiencias individuales de los participantes.
12. No se pretende generalizar a poblaciones más amplias, ni obtener
necesariamente muestras representativas. No busca que sus estudios lleguen a
replicarse.
13. El enfoque cualitativo es naturalista e interpretativo.
92
VALORACION CUALITATIVA
93
ANALISIS CUANTITATIVO PARA VALORACION DE RIESGOS
Los enfoques cuantitativo y cualitativo así como el enfoque mixto, han
tomado fuerza en los últimos años y ambos emplean procesos cuidadosos,
sistemáticos y empíricos en su esfuerzo por generar conocimiento y utilizan
en general cinco fases similares y relacionadas entre sí, que son las
siguientes:
94
ANALISIS CUANTITATIVO DEL RIESGO
Este proceso utiliza técnicas cuantitativas para determinar la probabilidad y el
impacto de los riesgos del proyecto. Generalmente se realiza después del análisis
cualitativo de riesgos.
95
ANALISIS CUANTITATIVO DEL RIESGO
- Análisis de árbol de decisiones. Se trata de un diagrama que describe
una decisión considerando todas las alternativas posibles. Cada rama
incorpora probabilidades de riesgos y los costes o beneficios de las
decisiones futuras. La resolución del árbol permite determinar cual es la
decisión que produce el mayor valor esperado. El valor esperado o
esperanza matemática se define como el sumatorio de probabilidad por
costos y beneficios.
Su nombre proviene de la forma que adopta el modelo parecido a un
árbol. Está conformado por multiples nodos cuadrados que representan
puntos de decisión y de los cuales surgen ramas (que deben leerse de
izquierda a derecha) que representan las distintas alternativas.
Las ramas que salen de nodos circulares o casuales, representan los
eventos.
96
MODELO DE ARBOL DE DECISIONES
97
CARACTERISTICAS DEL ENFOQUE CUANTITATIVO
El enfoque cuantitativo tiene las siguientes características: Que el investigador
realiza los siguientes pasos:
a) Plantea un problema de estudio delimitado y concreto.
b) Revisa lo que se ha investigado anteriormente.
c) Construye un Marco Teórico.
d) Propone Hipótesis, que se probarán si son ciertas o no.
e) Somete a prueba las hipótesis mediante diseños de investigación
apropiados.
f) Para obtener los resultados el investigador recolecta datos, los estudia y
analiza mediante procedimientos estadísticos.
100
Apetito de Riesgo
Es la capacidad o tolerancia al riesgo, que tiene cada entidad o
persona.
101
RESPUESTA AL RIESGO
102
103
Respuesta al Riesgo: Carro del Año
• Evitarlo
• Reducirlo
• Compartirlo
• Aceptarlo
104
RESPUESTA AL RIESGO
•Evaluados los riesgos, la dirección determinará como responder a
ellos
Evitar el riesgo (prevenir el riesgo adverso)
Reducir el riesgo (reducir la probabilidad y el impacto)
Compartir o transferir el riesgo (trasladar a un tercero)
Asumir el riesgo (luego de reducido o transferido puede quedar
un riesgo residual)
•Seleccionados las respuesta a los riesgos, la dirección debe
identificar las actividades de control que permita asegurar que se
cumplan las respuestas a los riesgos
•Al seleccionar las actividades de control, la dirección considerará
como se relacionan entre sí. Si la entidad lo considera, podrá medir
la eficacia de las actividades de control
10 105
RESPUESTA AL RIESGO
La primera opción (EVITAR) incluye el desarrollo de un plan de contingencia
que será ejecutado si el riesgo ocurre.
107
LA MATRIZ DE RIESGOS
En los últimos años, las tendencias internacionales han registrado un
importante cambio de visión en cuando a la administración de riesgos: de un
enfoque de administración tradicional, generalmente orientado a los riesgos
financieros, hacia una gestión (gerenciamiento) basada en la identificación,
monitoreo, control, medición y divulgación de los riesgos de todo tipo en
todas las áreas de la organización.
108
LA MATRIZ DE RIESGOS
El siguiente cuadro muestra la diferencia entre el modelo tradicional y el nuevo
enfoque de evaluación de la gestión de riesgos, según las últimas tendencias:
ESQUEMA ANTERIOR ENFOQUE NUEVO
109
LA MATRIZ DE RIESGOS
Es imprescindible que las entidades, financieras o no, cuenten con herramientas que le
permitan:
i) Definir criterios a partir de los cuales se admitirán riesgos; dichos criterios dependerán
de sus estrategias, objetivos y resultados esperados.
ii) Definir a través de un mapa de riesgo, áreas de exposición a los riesgos inherentes a
sus actividades, en consecuencia establecer el riesgo máximo aceptable así como el área
no aceptable.
iii) Monitoreo y medición de todas las categorías de riesgo que pueden impactar el valor
de la entidad en forma global, por unidad de negocios, por
productos y por procesos.
iv) Definir el nivel de pérdida aceptable y la metodología de medición.
v) Diseñar mecanismos de cobertura a los riesgos financieros, operativos estratégicos
con una visión integral y comprensiva del negocio.
vi) Relacionar el área de máxima de exposición al riesgo (apetito de riesgo) en forma
global y por unidad estratégica de negocio.
vii) Definir y estimar medidas de desempeño ajustada por riesgos.
110
LA MATRIZ DE RIESGOS
Una matriz de riesgo constituye una herramienta de control y de gestión
normalmente utilizada para identificar las actividades (procesos y productos) más
importantes de una entidad, el tipo y nivel de riesgos inherentes a estas actividades y
los factores exógenos y endógenos relacionados con estos riesgos.
La matriz debe ser una herramienta flexible que documente los procesos y evalúe de
manera integral el riesgo de una institución, a partir de los cuales se realiza un
diagnóstico objetivo de la situación global de riesgo de una entidad.
111
LA MATRIZ DE RIESGOS
Desde su concepción metodológica las matrices se componen de dos
vectores, uno de impacto y otro de probabilidad, cuya combinación
define el nivel de riesgo de una operación en particular. La ventaja de
este instrumento es que permite establecer un ranking cuantitativo y/o
cualitativo de los riesgos implícitos en una determinada operación en
base a la información disponible, estableciendo así un orden de
prioridades.
112
113
VALORACION DE LAS
ACTIVIDADES DE
CONTROL INTERNO
114
VALORACION DE LOS CONTROLES INTERNOS
De manera general, se puede afirmar que los controles internos son las
respuestas de la administración de una empresa o negocio para mitigar un
factor identificado de riesgo o alcanzar un objetivo de control.
118 118
119
GESTION POR PROCESOS
120
CONCEPTOS
GENERALES
121
QUÉ ES UN PROCESO
122
QUÉ ES UN PROCESO?
123
QUÉ ES UN PROCESO?
124
QUE ES UN PROCESO?
Un proceso es una secuencia de actividades que uno o
varios sistemas desarrollan para hacer llegar una
determinada salida (output) a un usuario, a partir de la
utilización de determinados recursos (entradas/input)”,
añadiéndole un valor en cada etapa de la cadena (mejores
condiciones de calidad/precio, rapidez, facilidad,
comodidad, entre otros).
125
ACTIVIDADES DE UN PROCESO
Las actividades comprenden actuaciones,
decisiones y tareas que se encadenan en
forma secuencial y ordenada para
conseguir un resultado que satisfaga
plenamente los requerimientos del cliente
objetivo.
127
COMPONENTES DEL PROCESO
128
COMPONENTES DE UN
PROCESO
Directrices
Recursos
129
EJEMPLO DE UN PROCESO
DIRECTRICES:
- Presupuesto
- Receta
PROCESO DE LA TORTILLA DE PATATAS
- Lista de la compra
ENTRADAS
ACTIVIDADES
SALIDAS
RECURSOS: - Cocinero
- Utensilios de cocina
- Energía
130
131
CARACTERISTICAS DE UN PROCESO
Objetivo :es el propósito del proceso
-Alcance :determina el inicio y el fin del proceso, también puede orientar sobre las
inclusiones o explicaciones que afecten el objetivo
-Recursos: es todo aquello que nos permite transformar los insumos en producto
133
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
134
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
A continuación se ofrecen dos posibles tipos de agrupaciones que
pueden considerarse:
Este modelo considera lo siguiente:
Procesos estratégicos como aquellos
procesos que están vinculados al ámbito
de las responsabilidades de la Dirección y,
principalmente, al largo plazo. Se refieren
fundamentalmente a procesos de
planificación y otros que se consideren
ligados a factores clave o estratégicos;
Procesos operativos como aquellos
procesos ligados directamente con la
realización del producto o la prestación
del servicio. Son los procesos de “línea”;
Procesos de apoyo como aquellos
procesos que dan soporte a los procesos
operativos. Se suelen referir a procesos
relacionados con recursos y mediciones.
135
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
Los procesos que permiten definir la estrategia son genéricos y comunes a la
mayor parte de negocios (marketing estratégico y estudios de mercado,
planificación y seguimiento de objetivos, revisión del sistema, vigilancia
tecnológica, evaluación de la satisfacción de los clientes…).
Los procesos clave u operativos son aquellos que añaden valor al cliente o
inciden directamente en su satisfacción o insatisfacción. Componen la cadena
del valor de la organización. También aquellos que, aunque no añadan valor al
cliente, consuman muchos recursos.
Por ejemplo, en una empresa de transporte aéreo de pasajeros, el
mantenimiento de los aviones e instalaciones es clave por sus implicaciones en
la seguridad, el confort para los pasajeros la productividad y la rentabilidad
para la empresa.
El mismo proceso de mantenimiento puede ser considerado como proceso de
apoyo en otros sectores en los que no tiene tanta relevancia, como por
ejemplo una empresa de servicios de formación.
136
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
Proceso de Gestión
Población Población
Necesidad Satisfacción
141
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
SALIDA SALIDA
ENTRADA ENTRADA
CLIENTE EMPRESA CLIENTE
INTERNO EXTERNO
CLIENTE/ CLIENTE/ CLIENTE/ CLIENTE/ CLIENTE/
PROVEEDOR PROVEEDOR PROVEEDOR PROVEEDOR PROVEEDOR
PROVEEDOR
INTERNO PROVEEDOR REQUISITOS Y
EXTERNO FEEDBACK 142
MAPA DE PROCESOS
El Mapa de Procesos es una representación gráfica de la
estructura de procesos que conforman el Sistema de Gestión de
una Entidad.
Describe la actividad de la organización
Se debe tener presente que los mapas de procesos son un
instrumento para la gestión y no un fin en sí mismo.
143
144
MAPA DE PROCESOS
El Mapa de Procesos debe incluir de manera particular los
procesos identificados y seleccionados, planteándose la
incorporación de dichos procesos en las agrupaciones
definidas.
145
146
147
SECUENCIA DE LA IMPLANTACION DE UN SISTEMA DE CALIDAD
148
MARCO NORMATIVO DE LA GESTION POR PROCESOS
Mediante la ley Nº 27658, en enero 2002 se declara al Estado
peruano en proceso de modernización, con la finalidad de
mejorar la gestión pública y construir un Estado democrático,
descentralizado y al servicio del ciudadano.
149
MARCO NORMATIVO DE LA GESTION POR PROCESOS
El proceso de Modernización de la gestión del Estado tiene como
finalidad fundamental la obtención de mayores niveles de eficiencia del
aparato estatal de manera que se logre una mejor atención a la
ciudadanía, priorizando y optimizando el uso de los recursos públicos.
151
TERCER PILAR
“Las entidades públicas deben adoptar, de manera paulatina, la gestión
por procesos, continuar con los esfuerzos relacionados a la
simplificación administrativa y organizarse de manera adecuada para
llevar adelante los procesos y alcanzar los resultados esperados”.
152
METODOLOGIA PARA LA IMPLEMENTACIÓN
153
LA GESTION POR FUNCIONES
La estructura tradicional de una organización está basada en la
agrupación de tareas especializadas similares en conjuntos a los que
se han denominado áreas funcionales o departamentos.
154
LA GESTION POR FUNCIONES
Gestión por funciones
Las compañías se estructuran por áreas organizacionales, que se encuentran
verticales y realizan funciones distintas, como recursos humanos, financiero,
fabricación, ventas y marketing, etc. Estas organizaciones acceden a los servicios
de infraestructura de empresa, como bases de datos, portales, aplicaciones y
servicios de SOA (arquitectura orientada a servicios), IDRS (sistemas de
recuperación de datos integrados), LDAP (protocolo de acceso a directorios
ligero), EAI (integración de aplicaciones de empresa), correo electrónico y otras
operaciones de TI que soportan cada una de las organizaciones.
Pero a menudo, los procesos que son el valor real en la compañía (procesos
principales) son precisamente aquellos que abarcan varias áreas organizacionales,
sistemas de TI y aplicaciones. La mayoría de las veces los procesos se dividen
cuando existen transferencias entre departamentos, pues una vez que un
proceso se transfiere al siguiente departamento, resulta difícil realizar el
seguimiento y la gestión. 155
LA GESTION POR FUNCIONES
156
-
158
159
160
161
ALINEAMIENTO DE
PROCESOS
162
ALINEAMIENTO DE PROCESOS
Cuando la estrategia organizacional se halla lejos de la estrategia de negocio,
y no está satisfaciendo el dinamismo de la industria donde se desarrolla ni la
versatilidad de sus clientes, es una señal de que sus procesos no contribuyen
a la productividad pretendida en el negocio, ya que sus complejidades están
siendo tratadas ad hoc y no mediante una táctica efectiva.
163
ALINEAMIENTO DE PROCESOS
Veamos qué debe tenerse en cuenta al momento de emprender una
alineación entre el rediseño de procesos y la estrategia corporativa:
Los procesos transversales son aquellos que rompen el esquema del flujo de
actividades en silos, logrando abarcar toda la estructura del negocio y
haciendo uso de la tecnología como vehículo de automatización y reducción
de esfuerzo.
164
165
ALINEAMIENTO DE PROCESOS
2. ALINEAR Y GESTIONAR INDICADORES – KPI
La estrategia organizacional debe poder medirse mediante indicadores clave, reflejada
en objetivos de rendimiento que apunten a dicha estrategia, al ser evaluada mediante
procesos de negocio y de mejora dichos indicadores de gestión darán la pauta para
identificar aquellos procesos que deben mejorarse.
167
ALINEAMIENTO DE PROCESOS
168
RIESGOS, CONTROLES Y
MAPA DE RIESGOS
169
MAPA DE RIESGOS
170
171
172
RIESGO RESIDUAL
• El riesgo residual, es aquel que permanece después de que la
dirección tome las acciones de control necesarias para reducir la
probabilidad y consecuencia del riesgo
• Puede ser valorado tomando en consideración, los riesgos
inicialmente evaluados, contra aquellas respuestas y acciones de
control, que minimizaron dicho riesgo
17 173
METODOLOGIA PARA LA
IMPLEMENTACION DEL
PROCESO DE
ADMINISTRACION DEL
RIESGO
174
VARIAS METODOLOGIAS
Las Metodologías pueden aplicarse y combinarse entre ellas, para los diferentes riesgos que
amenazan a la Organización o Municipio. Igualmente se pueden aplicar diferentes
metodologías para un mismo riesgo, al objeto de comparar los resultados obtenidos.
176
BENEFICIOS DE LA ADMINISTRACION DE RIESGOS
Permite identificar los activos empresariales que están en máximo
riesgo, valuar las vulnerabilidades y los impactos potenciales, y
proponer resguardos y tácticas de mitigación, lo que permitirá:
Priorizar y establecer niveles de riesgo para sus procesos y recursos
empresariales críticos.
Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente
las fallas.
Tomar decisiones más informadas sobre como proteger su
empresa.
Evaluar las tácticas y los costos de la administración de riesgos
relacionados con los diferentes niveles de protección.
Prepararse adecuadamente para las auditorías de las agencias de
control.
177
FASES DEL PROCESO DE LA ADMINISTRACION DE RIESGOS
Fase de evaluación de riesgos
•Planear la recopilación de datos: descripción de las claves para el
éxito y orientación de preparación.
178
PROCESO DE ADMINISTRACION DE RIESGOS
179
PROCESO DE ADMINISTRACION DE RIESGOS
Fase de apoyo a la toma de decisiones . . . . .
•Estimar la reducción del riesgo: intento de comprender la
exposición o probabilidad reducida de riesgos.
180
PROCESO DE ADMINISTRACION DE RIESGOS
Fase de implementación de controles
•Buscar un enfoque holístico: incorporación de personas, procesos y
tecnología en la solución de mitigación.
182
IMPLEMENTACION
DE PLANES DE ACCION
183
FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
Comprende las actividades para la elaboración del diagnóstico de control
interno, con la finalidad de conocer el estado situacional de su
implementación, las cuales se describen a continuación:
ENTIDAD
OBJETIVO
ALCANCE
2 Recopilación de información
3 Analizar infomación
188
Actividad 5. Realizar el Diagnóstico (Ejemplo)
189
Actividad 5. Realizar el Diagnóstico (Ejemplo)
11. Lineamientos para identificar y evaluar Solo para Tesoreria. Está establecido los arqueos de caja
posibles fraudes sorpresivos y las conciliaciones bancarias.
8. La entidad considera la
12. Registros de controles definidos que
probabilidad de fraude al Solo en el área de Tesoreria: los arqueos de caja y las
contribuyen a reducir los riesgos de errores
evaluar los riesgos para la conciliaciones bancarias
y/o fraude.
consecusión de los
13.Normativa interna que considera la
objetivos
posibilidad de fraude en procesos de áreas No existe.
expuestas a actos irregulares de corrupción
14. Reportes de Monitoreo de los cambios
externos (no controlables por la entidad) que No existe.
9. La entidad identifica y
puedan impactar en el SCI.
evalúa los cambios que
15. Reportes del monitoreo de los cambio
podrían afectar
internos (modelos de gestión, políticos,
significativamente al SCI. No existe.
institucionales o tecnológicos) que pueden
impactar en elSCI.
190
FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
continúa……….
Actividad 5: Realizar el diagnóstico de! SCI
191
192
193
194
4. ANALISIS DE FORTALEZAS Y DEBILIDADES
Para realizar este análisis, se tiene como base los resultados que arrojó el ANALISIS GENERAL
(explicado en el punto 2) y el ANALISIS FOCALIZADO (explicado en los puntos 3 y 4).
Para identificar las debilidades (con sus causas) y las fortalezas por cada componente y norma de
control, se propone la tabla siguiente:
Este es solo un ejemplo; se debe abrir la tabla, a nivel de las normas de control de cada
componente.
195
5. PROPUESTA DE MEJORAS Y DETERMINACION DE RIESGOS
6. CALIFICACION DE RIESGOS
Para calificar los riesgos se realizarán dos análisis: uno sobre la probabilidad (P) de ocurrencia del
riesgo (o frecuencia) y otro sobre el impacto (I) o potencial pérdida que puede causar en caso se
materialice el riesgo. Se utiliza una combinación de escalas cualitativas y cuantitativas para cada
riesgo identificado, que se construyen en función a las características de los procesos. En tal sentido,
la calificación del riesgo se obtiene al multiplicar el valor asignado a cada una de estas dos variables.
196
A continuación se presenta un ejemplo a escala del 1 al 9:
197
5. PROPUESTA DE MEJORAS Y DETERMINACION DE RIESGOS
6. CALIFICACION DE RIESGOS
Para calificar los riesgos se realizarán dos análisis: uno sobre la probabilidad (P) de ocurrencia del
riesgo (o frecuencia) y otro sobre el impacto (I) o potencial pérdida que puede causar en caso se
materialice el riesgo. Se utiliza una combinación de escalas cualitativas y cuantitativas para cada
riesgo identificado, que se construyen en función a las características de los procesos. En tal sentido,
la calificación del riesgo se obtiene al multiplicar el valor asignado a cada una de estas dos variables.
198
A continuación se presenta un ejemplo a escala del 1 al 9:
199
La herramienta a utilizar es la matriz siguiente:
N° Identificación de riesgos de las Probabilidad Impacto Calificación
Mejoras
2 4 6
2
Posible Riesgo Riesgo Riesgo
tolerable moderado importante
1 2 3
1
Improbable Riesgo aceptable Riesgo Riesgo
tolerable moderado
200
Para cada nivel de riesgo trazado en la matriz, se debe proponer una acción para
controlarlo, se puede tomar como referencia el cuadro siguiente:
Por último, se construye la Matriz de Riesgos, que agrupa toda la información trabajada:
Medida de Riesgo
N° Riesgo Probabilidad Impacto Calificación Nivel Acciones Responsable
control Residual
201
7. ELABORACION DE MAPA DE PROCESOS
De acuerdo a la metodología de la PCM, para elaborar el Mapa de Procesos a nivel 0 o de
Macroprocesos se deben seguir los pasos siguientes:
Se empieza por el inventario de los procesos Nivel 0; luego, el inventario de procesos de Nivel 1, o
la desagregación del Proceso de Nivel 0. De igual forma, cada proceso de Nivel 1, se desagrega al
Nivel 2 y de esta manera hasta el nivel que la entidad considere, dependiendo de la complejidad
de cada proceso identificado. 202
C. Clasificar los Proceso nivel 0
Los procesos deben ser clasificados en: Procesos Estratégicos, Misionales u operativos y, de Apoyo
o Soporte. Para la clasificación de los procesos se debe realizar lo siguiente: *
En primer lugar, deben identificarse los procesos operativos o misionales que están orientados al
cumplimiento de la misión y lograr la satisfacción del ciudadano o destinatario de los bienes y
servicios. Para ser un proceso operativo o misional, debe considerar los siguientes factores:
* Lineamientos para la implementación de la Gestión por Procesos y Documento orientador: Metodología para la
implementación de la Gestión por Procesos en las entidades de la administración pública en el marco del D.S. N° 004-2013-
PCM – Política Nacional de Modernización de la Gestión Pública al 2021
203
ETAPA II. 3. DESCRIBIR LOS PROCESOS ACTUALES
a. Diagrama de bloques
El diagrama de bloques
se utiliza para mostrar la
desagregación del
Proceso de nivel 0 hasta
el último nivel de
desagregación (Nivel N).
Debe elaborarse tantos
diagramas de bloques
como procesos de nivel 0
se hayan definido.
204
Priorización de Procesos
Una vez establecida la lista de los procesos por el
equipo de trabajo, se deberá identificar los procesos
críticos; para ello, el equipo debe calcular el impacto
del proceso, determinar una valoración de la
importancia del proceso, tomando en cuenta su
relación con los objetivos estratégicos y las metas
institucionales.
205
Estos factores deben utilizarse en función de la naturaleza y particularidades de cada entidad. Una vez
identificados los procesos misionales, se determinará la secuencia de los mismos, para ello se debe
tener en cuenta las siguientes consideraciones: 1) El ciudadano o destinatario de los bienes y servicios;
2) Los elementos de entrada del proceso y ¿de dónde vienen?; 3)Las salidas o resultados del proceso y
¿a dónde van?; 4) Los recursos que emplea y ¿de dónde proceden? Y 5) ¿Qué procesos están
interactuando?
En segundo lugar, se identifican los Procesos Estratégicos y los Procesos de Apoyo o Soporte.
a. Representación gráfica
La representación gráfica del
Mapa de Procesos Nivel 0
establece la interrelación y
secuencia de los Procesos
estratégicos, operativos o
misionales y de apoyo o soporte,
de igual forma muestra al
ciudadano o destinatario de los
bienes y servicios: al lado
izquierdo se debe mostrar a los
ciudadanos o destinatarios con
necesidades y al lado derecho se
debe mostrar a los ciudadanos o
destinatarios con necesidades
satisfechas.
207
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0
b. Ficha Técnica del proceso nivel 0
La Oficina Encargada del Desarrollo Organizacional y Modernización
(OEDOM) de la entidad debe elaborar una Ficha Técnica por cada proceso
de nivel 0, en coordinación con los dueños de los procesos, quienes
deben revisar y validar cada ficha técnica.
La Ficha Técnica del Proceso Nivel 0 describe los elementos que lo
conforman, con el objeto de facilitar su comprensión y mostrarlo con
claridad. Cada ficha técnica de proceso 0 debe contener como mínimo:
208
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0
209
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0
i. Contenido del
Manual
Los Manuales deben ser
de fácil manejo e
identificación, para lo
cual las entidades deben
definir criterios de
codificación de cada
Manual, así como
precisar la versión de
actualización con una
lógica de mejora
continua. Los Manuales
presentarán los
siguientes elementos:
213
ETAPA II. 3. DESCRIBIR
LOS PROCESOS
ACTUALES
214
ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Una gestión por procesos, en el enfoque de la gestión para
resultados, debe estar orientada al cumplimiento de los fines y
objetivos superiores de la entidad.
216
ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Los pasos a seguir en la determinación de los indicadores de un
proceso son los señalados en el siguiente gráfico:
217
ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Para definir los indicadores se utiliza una ficha que permite describir
sus factores relevantes, que como mínimo debe contener los
elementos que se muestran a continuación:
221
ETAPA III. 4. INSTITUCIONALIZAR LA GESTION POR PROCESOS
El Mapa de Procesos de la entidad, al ser un documento de gestión,
una vez aprobado, debe publicarse en el Portal de Transparencia
Estándar.
Cada entidad debe definir los criterios de difusión de sus respectivos
Manuales. La entidad debe incorporar en el Plan Operativo
Institucional (POI), actividades relacionadas al plan de trabajo
institucional, la implementación, seguimiento, revisión, mejora y
actualización de los documentos (Mapa de Procesos y de los
Manuales).
Una estrategia de institucionalización debe estar orientada a
convertir la gestión por procesos en práctica usual en la entidad.
Asimismo permitir identificar los avances y las brechas existentes a
fin de asegurar los avances y trabajar en la corrección de las brechas.
222
ETAPA III. 4. INSTITUCIONALIZAR LA GESTION POR PROCESOS
Se sugiere que luego de lograr avances relevantes se adopten acciones
orientadas a lograr la sostenibilidad de los mismos, considerándose la
formalización de los avances para evitar retrocesos La estrategia de
institucionalización debe considerar lo siguiente:
Revisión de todos los pasos de la implementación de la Metodología
Identificación de las fortalezas y debilidades
Tener en cuenta la percepción de los funcionarios
Definir acciones clave para corregir las brechas
Identificar evidencias de avances
Formalizar a través de normas internas los avances logrados
El Mapa de Procesos y los Manuales de Gestión de Procesos y
Procedimientos, deberán ser considerados como insumo para la revisión y
actualización de los instrumentos de gestión como el Reglamento de
Organización y Funciones (ROF), el Manual de Perfiles de Puestos (MPP), el
Texto Único de Procedimientos Administrativos (TUPA), el Cuadro de
Puestos de la Entidad (CPE), entre otros.
223
FASE DE EJECUCIÓN – Etapa IV Cierre de brechas
El desarrollo de esta fase permite dar cumplimiento al plan de trabajo
formulado por la entidad, es decir, implementar las acciones traducidas en
protocolos, lineamientos, políticas por componentes de SCl, entre otros, con
el fin de cerrar las brechas identificadas en la fase de planificación,
comprende la etapa siguiente:
232
APLICACIÓN DE CASO
PRACTICO
233
CASO PRACTICO EN ENTIDAD PUBLICA
Metodología para gestionar las respuestas Se aplica como herramienta
clave de supervisión basada en riesgos de cualquier organización
administrativa, bancaria, financiera, comercial o de servicios, pero no
hospitales o en aquellas de naturaleza industrial, petrolera o minera, ya
que la misma permite efectuar una evaluación cuantitativa y cualitativa
de los riesgos inherentes a cada unidad del negocio o actividad
significativa y la determinación del perfil de riesgo de la institución.
Probabilidad de ocurrencia
Impacto Baja 1 Media 2 Alta 3
Alto 4 4 8 12
Medio 2 2 4 6
Bajo 1 1 2 3
236
CASO PRACTICO EN ENTIDAD PUBLICA
Frente a esta probabilidad de ocurrencia y el impacto que hemos
determinado de modo muy sencillo, tenemos la respuesta.
Probabilidad de ocurrencia
Valorización del riesgo en función de la probabilidad e impacto Baja
Media
Probabilidad de ocurrencia Akta
Impacto Baja 1 Media 2 Alta 3
Alto 4 4 8 12
Efecto o Impacto Medio 2 2 4 6
Baja
Media
Bajo 1 1 2 3
Akta
237
CASO PRACTICO EN ENTIDAD PUBLICA
e) Evaluación de la calidad de la gestión
Una vez que los riesgos han sido valorizados se procede a evaluar la
calidad de la gestión a fin de determinar cuan eficaces son los controles
establecidos por la organización para mitigar los riegos identificados.
Para ello estimaremos que la efectividad será 1 si el control es poco o no
existe algún control y diremos que la efectividad es 5 si el control va a
ser destacado.
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5
A
238
CASO PRACTICO EN ENTIDAD PUBLICA
f) Nivel de Riesgo
Por ejemplo, qué diremos ante el riesgo de bomba?, pues veremos que podemos
hacer para que la valoración de la efectividad de la respuesta sea “alta”. Primero
deberemos recurrir a las tablas de probabilidad e impacto que hemos visto.
Así, en el caso de amenaza de bomba, por la probabilidad y el impacto que el aviso
de bomba podría causar en la organización, estimaríamos una probabilidad baja
pero un impacto alto, la combinación de esos valores nos da 4 es decir un riesgo
moderado y lo vamos a registrar en un nivel de 4.
Control de Gestión
Capacitación
Grabación y
Aviso de bamba 4
registro de
llamadas
Alarma
239
CASO PRACTICO EN ENTIDAD PUBLICA
Una vez establecido el valor del riesgo, en este caso moderado según la
probabilidad e impacto, debemos razonar qué acciones, medidas o controles
debemos realizar para darle una respuesta adecuada al riesgo de bomba.
Pensemos en capacitar al personal para que sepan como actuar frente a una
llamada de bomba, pero esto no nos garantiza una alta efectividad por lo que le
damos un valor “bajo” de efectividad 2;
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capacitación 2
Grabación y
Aviso de
4 registro de
bamba
llamadas
Alarma 240
CASO PRACTICO EN ENTIDAD PUBLICA
……. pero podríamos hacer más, por ejemplo podríamos disponer de equipos de
grabación que registren debidamente las llamadas para intentar identificar la voz o
identificar algún sonido que permita después por medios policiales identificar de
donde procede la llamada de bomba; aún así, consideramos que nuestra
efectividad de gestión va a ser media (3), no esta mal pero no es suficiente; vamos
a adicionar otro tipo de medida de control como la alarma, a lo mejor disponiendo
de un buen sistema de alarma, un buen equipo de evacuación y que el personal
esté organizado y ordenado para evacuar el edificio, podemos considerar que esta
medida podría tener una efectividad alta por lo que le asignamos 4.
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capacitación 2
Grabación y
Aviso de
4 registro de 3
bamba
llamadas
241
Alarma 4
CASO PRACTICO EN ENTIDAD PUBLICA
g) Riesgo neto o residual
No obstante, para este riesgo de llamada de bomba hemos elegido tres medidas
de control con valores de efectividad de 2, 3 y 4 que suman 9; el promedio
calculado de la efectividad de las tres medidas 9 dividido entre 3, nos da una media
con valor de 3.* como vemos en la columna “promedio”
Ahora: cual es el riesgo residual que queda de este riesgo de bomba?,
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas
Alarma 4
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas
Alarma 4
Hemos analizado un riesgo, así se deben analizar todos los riesgos identificados; por
ejemplo analicemos el riesgo de incendio:
243
CASO PRACTICO EN ENTIDAD PUBLICA
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas
Alarma 4
Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención
Alarma 4
Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención
Alarma 4
245
CASO PRACTICO EN ENTIDAD PUBLICA
Perfil de Riesgos
Hemos evaluado como ejemplo los riesgos de bomba e incendio, pero pueden haber más
riesgos. Esto nos sirve como referencia para determinar el Perfil de Riesgos de la entidad,
sumando los valores de todos los riesgos residuales y hallando la media, que para el
ejemplo nos muestra un Perfil de Riesgo con un valor de 0,95
Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención
Alarma 4
1,3 + 0,6 / 2 =
Perfil de Riesgos (Riesgo Residual Total)
0,95 246
CASO PRACTICO EN ENTIDAD PUBLICA
Hemos analizado como ejemplo los riesgos de bomba e incendio, pero así pueden haber
muchos riesgos identificados que pueden ser 5, 10 ó 15 que deben ser evaluados. Esta
metodología nos permite ver en sucesivas revisiones como va evoluionando el perfil de
riesgos de la organización y como este va bajando a medida que se va adoptando una mas
efectiva calidad en la gestión es decir cuando se mejora el tipo de medidas de control se
mejora la calidad de gestión, mejorando la calidad de gestión se va bajando el perfil de
riesgos .
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control
Capaci taci ón 2
Gravaci ón y
Avi so de
4 regi stro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
l l amadas
Al arma 4
Capaci taci ón 2
Consti tuci on
de equi pos
4
Incendi o 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
i ntervenci ón
Al arma 4
1,3 + 0,6 / 2 =
Perfil de Riesgos (Riesgo Residual Total)
0,95 247
FIN DE LA EXPOSICION
248
MUCHAS
GRACIAS
249