Material Didáctico preparado por

1
PONENTE:
CPCC. CARLOS ALBERTO YAIPÉN GUEVARA
Consultor y Asesor con amplia experiencia en Control
Gubernamental y Gestión Pública en entidades del Estado como
Ministerio del Interior, Asamblea Nacional de Rectores, Superintendencia de
Bienes Estatales, entre otras. Docente Universitario en Cursos,
Diplomados y Especializaciones en Control Interno, Gestión de
Riesgos, Auditoria Gubernamental, Etica Pública y Presupuesto
por Resultados, con experiencia docente de 30 años en la Escuela
Nacional de Control, Universidades del país y en los Colegios de
Contadores Públicos de Lima, Ayacucho e Iquitos.
Contador Público de profesión por la Universidad Nacional Mayor de San
Marcos, con estudios de Maestría en Gerencia de Administración Pública
en Universidad ESAN y Post Grados de Enseñanza para Adultos
por Universidades Católica y de Lima. Funcionario de la Contraloría
General de la República por 25 años. Contralor Regional en San Martín,
Amazonas y Cajamarca. Funcionario Internacional en Chile, Argentina,
Brasil y México. Actualmente se desempeña como Expositor y
profesor de los Diplomados y Especializaciones en el Colegio de
Contadores Públicos de Lima.

2
 A LOS PARTICIPANTES

Sras. y Srs.
Agradeceré
se sirvan
mantener
sus

Celulares
apagados o en
modo vibrador
durante
la reunión

3
 Todas las intervenciones son
válidas e importantes: 30% de
La Administración de riesgos es una herramienta
lagestión
de nota.que nos permiten mejorar la gestión
de la Universidad a través de la implementación
Daremos
de buen manejo
acciones preventivas que nos al uso de
conlleven
la palabra solicitada.
evitar o minimizar los efectos negativos que
puedan afectar los objetivos institucionales.
Respetaremos las opiniones de
La metodología establecida cuenta
nuestros
con 4 fases: compañeros así
no las
compartamos.
Nuestra actitud será siempre
propositiva y proactiva.

4
ANTECEDENTES
Y
GENERALIDADES

5
 MARCO CONCEPTUAL
DE LA IMPLEMENTACION
Y FORTALECIMIENTO
DEL CONTROL INTERNO

6
 LEY N° 30372 LEY DE PRESUPUESTO DEL SECTOR
PÚBLICO PARA EL AÑO FISCAL 2016

DISPOSICIONES COMPLEMENTARIAS FINALES

QUINCUAGÉSIMA TERCERA-
Establézcase en todas las entidades del Estado, de los tres niveles
de Gobierno, en el marco de la Ley 28716, Ley de Control Interno
de las entidades del Estado, la obligación de implementar su
Sistema de Control Interno (SCI).

7
 LEY N° 30372 LEY DE PRESUPUESTO DEL SECTOR
PÚBLICO PARA EL AÑO FISCAL 2016
Quincuagésima Tercera.
(……)
Para la implementación de la presente norma, la Contraloría
General de la República emitirá las disposiciones conteniendo los
plazos por cada fase y nivel de gobierno y los demás
lineamientos que sean necesarios.

Las entidades que a la entrada en vigencia de la presente Ley,

cuenten con avances respecto a la implementación de su sistema
de Control Interno, deberán elaborar un informe presentando los
avances en el proceso al Órgano de Control Institucional (OCI) o a
la Contraloría General de la República en caso de no contar con
un OCI.
8
 DIRECTIVA N° O13-2016-CG/GPROD
“IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO
EN LAS ENTIDADES DEL ESTADO"
R.C. N° 149-2016-CG
(Marzo. 2016)

R.C. N° O4-2017-CG
“GUIA PARA LA IMPLEMENTACION Y FORTALECIMIENTO
DEL SISTEMA DE CONTROL INTERNO EN LAS ENTIDADES
DEL ESTADO"
(Enero .2017)
9
 ALCANCE
Las disposiciones contenidas en la presente Directiva
son de obligatorio cumplimiento para:

o Las entidades del Estado sujetas a control por el

Sistema Nacional de Control, de conformidad con lo
establecido en el artículo 3° de la Ley N° 27785, Ley
Orgánica del Sistema Nacional de Control y de la
Contraloría General de la República.

O Los Órganos de Control institucional.

o Las unidades orgánicas de la Contraloría General de

la República, de acuerdo a su competencia funcional.
10
Modelo de implementación del Sistema de Control lnterno

11
CONTROL INTERNO

ENTIDAD

12
 Modalidades de la función de Control

1) Quién lo ejerce

Interno / Externo

2) Oportunidad de su ejercicio:

•Previo
•Simultáneo
•Posterior

13
CONTROL QUE EJERCE EL SISTEMA (art 7 ° y 8°)

14
15
 LEY Nº 28716 LEY DE CONTROL INTERNO DE
LAS ENTIDADES DEL ESTADO

“Sistema de Control Interno: conjunto de acciones,

actividades, planes, políticas, normas, registros, organización,
procedimientos y métodos, incluyendo la actitud de las
autoridades y el personal, que posee una Institución.”

16
 EL CONTROL INTERNO

CONJUNTO DE MECANISMOS O PROCEDIMIENTOS

INSTITUÍDOS Y APLICADOS POR UNA ENTIDAD PARA
LA SALVAGUARDA DE SUS ACTIVOS Y OPERAR CON
EFICIENCIA, EFICACIA Y ECONOMÍA.

GARANTÍA DE CLARIDAD, TRANSPARENCIA Y

REPRESENTATIVIDAD DE SUS ESTADOS FINANCIEROS.

EFICIENCIA DE OPERACIONES = CALIDAD DE SERVICIOS.

17
 MARCO COSO
OBJETIVOS

UNIDADES DE NEGOCIO
COMPONENTES

ESTRUCTURA DEL CONTROL INTERNO INTEGRADO

18
 Responsables del Control Interno en la entidad.
• El control interno es efectuado por diversos niveles, cada uno
con responsabilidades importantes. Todos los directivos,
funcionarios y auditores internos, contribuyen a su efectividad,
eficacia y economía.

• El Titular de la entidad, es responsable de fomentar y

supervisar el funcionamiento y confiabilidad del control interno
para la evaluación de la gestión y el efectivo ejercicio de la
rendición de cuentas, propendiendo a que éste contribuya con el
logro de la misión y objetivos de la entidad a su cargo (4to. Párrafo
del Art. 7° de la Ley N° 27785).

• Asimismo, está obligado a definir las políticas institucionales en

los planes y/o programas anuales que se formulen, los que serán
objeto de las verificaciones a que se refiere la Ley N° 27785. (5to.
Párrafo del Art. 7° de la Ley N° 27785).
19
 FASE DE PLANIFICACIÓN – Etapa I Acciones Preliminares
Actividad 3: Sensibilizar y capacitar en Control lnterno

El plan de sensibilizaci6n y capacitación en Control lnterno,

involucra aspectos de gestión por procesos y gestión de riesgos,
se elabora dentro de los noventa días calendarios de la instalación
del Comité, y se ejecuta inmediatamente después de su
aprobación por la unidad orgánica competente.

La sensibilización está dirigida a los funcionarios y servidores

públicos de la entidad y la capacitación principalmente a los
equipos de trabajo involucrados

20
 ANEXO 6 - MODELO DEL PLAN DE SENSIBLIZACIÓN Y CAPACITACIÓN EN CONTROL INTERNO

Acciones de Costo por Inversión total

Capacitación- Ca ntida d de Fuente de Horas Fecha de Fecha de
N° Objetivo Indicador Participantes
pa rtici pa ntes financiamiento
participante por
Temáticas lectivas inicio término
(Soles) capacitación S/.
Cha rl a de Obtener conoci mi ento es pecífi co Má s del 50% obtuvo * Al ta Di recci ón
Sens i bi l i za ci ón de res pecto a l conceoto, benefi ci os e una nota míni ma de
Control Interno i mportanci a del Control Interno; a s í 18 (donde l a nota
como s u vi ncul a ci ón con el model o de má xi ma es 20)
1
l a ges tión pa ra res ul tados a l a que s e
refi ere l a Pol ítica de Moderni za ci ón de
l a Ges tión Públ i ca

Ta l l er Má s de 50% obtuvo
2 "Impl ementaci ón del Obtener conoci mi entos y des a rrol l a r una nota míni ma de * Equi po de Tra ba jo
Si s tema de Control ha bi l i da des pa ra l a i mpl ementaci ón 18 (donde l a nota opera tivo y eva l ua dor,
Interno" del Si s tema de Control Interno míni ma es 20) de s er el ca s o.
Ta l l er Obtener conoci mi entos y des a rrol l a r Má s de 50% obtuvo
"Impl ementaci ón de ha bi l i da des pa ra l a i mpl ementaci ón de una nota míni ma de * Equi po de Tra ba jo
3 l a Ges tión por Proces os "
l a Ges tión por 16 (donde l a nota opera tivo y eva l ua dor,
Proces os " míni ma es 20) de s er el ca s o.
Ta l l er Obtener conoci mi entos y des a rrol l a r Má s de 50% obtuvo
"Impl ementaci ón de ha bi l i da des pa ra l a i mpl ementaci ón de una nota míni ma de * Equi po de Tra ba jo
4 l a Ges tión de l a Ges tión de Ri es gos " 16 (donde l a nota opera tivo y eva l ua dor,
Ri es gos " míni ma es 20) de s er el ca s o.
Obtener conoci mi ento es pecífi co
res pecto a l conceoto, benefi ci os e Má s del 50% obtuvo * (Uni da d Orgá ni ca ) 1
i mportanci a del Control Interno; a s í una nota míni ma de * (Uni da d Orgá ni ca ) 2
5 Cha rl a de como s u vi ncul a ci ón con el model o de 18 (donde l a nota
* (Uni da d Orgá ni ca ) 3
"Cons ol i da ci ón del l a ges tión pa ra res ul tados a l a que s e má xi ma es 20)
Control Interno" refi ere l a Pol ítica de Moderni za ci ón de * (Uni da d Orgá ni ca ) 4
Fuente: R.C. N° 004-2017-CG

21
NUEVOS ENFOQUES DE
LA GESTION DE RIESGOS

22
23
 Riesgos
¿Alguien que trabaje con riesgos?

24
 Riesgo

Es toda posibilidad de ocurrencia de aquella(s)

situación(es) que pueda(n) entorpecer el normal
desarrollo de nuestras funciones e impidan el logro de
los objetivos.

25
PELIGRO:

CUALQUIER COSA QUE PUEDE CAUSAR DAÑO

RIESGO:

ES UNA MEDIDA DE LA PROBABILIDAD Y DE LA SEVERIDAD DEL DAÑO QUE SE PODRÍA CAUSAR POR
UN PELIGRO A LA GENTE.

= UN PELIGRO

= SITUACIÓN PELIGROSA -
PERSONA NTERACTUANDO
CON EL PELIGRO)

= EVENTO PELIGROSO -
EXPONE A UNA
PERSONA A DAÑO.

26
¿ QUE ES RIESGO?

Riesgo operacional es el riesgo

de pérdidas directas o
indirectas que resultan de
procesos internos inadecuados
o de fallas en los mismos, fallas
humanas, de sistemas y como
consecuencia de sucesos
externos.

27
28
 ¿ QUÉ ES
PROBABILIDAD?

29
 PROBABILIDAD
Es la posibilidad de ocurrencia del riesgo;

Puede ser medida con criterios de frecuencia o

teniendo en cuenta la presencia de factores
internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado.

30
 PROBABILIDAD
La probabilidad está ligada a la vulnerabilidad y esta íntimamente
ligada a los procesos sociales que se desarrollan en las áreas
propensas y usualmente tiene que ver con la fragilidad, la
susceptibilidad o la falta de resistencia de la población ante
amenazas de diferente índole.

En otras palabras, los desastres son eventos socio-ambientales cuya

materialización es el resultado de la construcción social del riesgo.
Por lo tanto, su reducción debe hacer parte de los procesos de
toma de decisiones, no sólo en el caso de reconstrucción post
desastre, sino también en la formulación de políticas públicas y la
planificación del desarrollo.

Por esta razón, es necesario fortalecer el desarrollo institucional y

estimular la inversión para la reducción de la vulnerabilidad con
fines de contribuir al desarrollo sostenible de los países.

31
32
 EVENTO

Es la ocurrencia de una situación de riesgo que

produce un impacto alto, mediano o leve, que
afecta las actividades y/o los recursos de una
entidad.

33
¿ QUÉ ES IMPACTO?

34
IMPACTO
Es el daño o efecto que puede ocasionar la
materialización del riesgo.

Puede ser medida con criterios de daño

causado o teniendo en cuenta factores que
inciden en la capacidad de respuesta de la
persona u organización afectada.

35
 CONCEPTOS CLAVES
Riesgo inherente: Es la posibilidad de
pérdida causada por un evento (o serie de
eventos) que pueden afectar negativamente
a la consecución de los objetivos de la
empresa en ausencia de acciones por parte
de la gerencia, que alteren la probabilidad o
el impacto.

Riesgo residual: Es el riesgo que

permanece después de que se hayan
realizado las acciones para reducir el
impacto o la probabilidad incluyendo las
actividades de control en respuesta al
riesgo. 36
TODAS LAS DEPENDENCIAS O ENTIDADES,
INDEPENDIENTEMENTE DE SU TAMAÑO,
ESTRUCTURA, NATURALEZA O SECTOR AL QUE
PERTENECEN, TIENEN RIESGOS EN TODOS LOS
ASPECTOS DE SU EIXTENCIA.

SECRETARIA DE ENERGIA

37
 Clases de Riesgo
• Riesgo de naturaleza • Riesgo operativo
• Riesgo socio natural • Riesgo informático
• Riesgo antrópico • Riesgo estratégico
• Riesgo crediticio • Riesgo de cumplimiento
• Riesgo de solvencia • Riesgo de contraer alguna
• Riesgo financiero (fraude) enfermedad
• Riesgo vehicular • Riesgo de falta de suministros
• Riesgo eléctrico • Riesgo de morir

38
 ENFOQUE

DEL RIESGO

39
 COMPONENTES INTERRELACIONADOS DEL
CONTROL INTERNO
AMBIENTE
DE
CONTROL

SUPERVISIÓN EVALUACIÓN
MONITOREO DE RIESGO

INFORMACIÓN Y
COMUNICACIÓN
ACTIVIDADES
DE SISTEMA
CONTROL INTEGRADO
GERENCIAL 40
 APARICIÓN DEL DOCUMENTO DE GESTIÓN DE RIESGOS
COORPORATIVOS - ERM
No obstante, la estructura planteada por COSO:

-En 2001 Escándalos financieros de Enron Corporation (gas) “el

más grande fracaso empresarial de la historia” y World Com
(telecomunicaciones), comprometiendo a importantes firmas de
auditoría.

-Se convocó nuevamente a Comisión Treadway.

- En 2004 Comisión Treadway emitió documento

-“Gestión de Riesgos Corporativos-Marco Integrado” – ERM.

41
 Gestión del Riesgo empresarial (ERM)
 “El control interno es una parte integral de la Administración del
riesgo empresarial y está abarcado dentro de éste.”

 “La Administración del riesgo empresarial es más amplia que el

control interno, expandiendo y elaborando sobre el control interno
para formar una concepción más robusta que se enfoca más sobre
el riesgo.”

 “El Marco Integrado del Control Interno sigue siendo totalmente

válido para las entidades y otros que ponen énfasis en el control
interno.”

42
COMPONENTES DEL SISTEMA DE CONTROL INTERNO Y GESTION
INTEGRAL DE RIESGOS – ENFOQUE COSO

1. Entorno Interno
1. Ambiente de Control 2. Definición de Objetivos
2. Evaluación de Riesgos 3. Identificación de Eventos
3. Actividades de Control 4. Evaluación de Riesgos
4. Información y comunicación 5. Respuesta al Riesgo
5. Monitoreo 6. Actividades de Control
7. Información y Comunicación 43
8. Monitoreo
PLANEAMIENTO DE LA
ADMINISTRACION DE
RIESGOS

44
 PROYECTOS

PLANES PROGRAMAS

ADMINISTRACION DE
RIESGOS

 PALIAR
 ELIMINAR
 TRASLADAR
 ASUMIR

OBJETIVOS INSTITUCIONALES

45
CPCC. CARLOS YAIPEN GUEVARA
 PLANEAMIENTO DE LA GESTION DE RIESGOS
Un evento es un acontecimiento derivado de fuentes
internas o externas que afecta la implementación de la
estrategia o la consecución de los objetivos.
 Un evento puede tener un impacto positivo o negativo, o
ambos a la vez.
 Cuando el impacto es positivo se le conoce como
oportunidad, si es negativo se le conoce como riesgo.

46
 PLANEAMIENTO DE LA ADMINISTRACION DE RIESGOS
 Es el proceso de desarrollar y documentar una estrategia clara,
organizada e interactiva para identificar y valorar los riesgos que
pudieran impedir el logro de los objetivos.
 El Planeamiento de la Administración de Riesgos es un proceso
continuo. Incluye actividades de identificación, análisis, valoración,
manejo, respuesta, monitoreo y documentación.

47
 PASOS PARA ADMINISTRAR EL RIESGO

11 Definir el
contexto
Identificar condiciones
externas

22
PLANIFICAR EL RIESGO
Identificar que eventos
Identificar el dificultan el logro de
riesgo objetivos

33 Analizar los
riesgos
Calificar y evaluar cada
riesgo

44 Valorar los
riesgos
Confrontar con los controles
existentes

55 Definir el
tratamiento
Tomar acciones para
minimizar, evitar, compartir
o asumir el riesgo

48
 Definir el contexto

¿ A QUÉ SITUACIONES DE RIESGO

ESTA EXPUESTA NUESTRA ENTIDAD ?

Situaciones de riesgo Situaciones de riesgo

generadas por el generadas al interior
entorno de la entidad

49
 SITUACIONES QUE GENERAN RIESGO
SOCIALES

TECNOLOGICAS COMPETENCIAS POLITICAS

PROCESOS RECURSOS

ECONOMICAS INFRAESTRUCTURA NATURALES

50
 ANALISIS DE LOS RIESGOS

• El objetivo del análisis es establecer una valoración y

priorización de los riesgos, con base en la información
obtenida en el Formato de Identificación de Riesgos,
(Fuentes de Riesgo) elaborado en la etapa de identificación,
con el fin de obtener información para determinar el nivel
de riesgo y las acciones que se van a implementar.

• Es importante conocer en detalle los conceptos de: proceso,

subproceso, objetivo del subproceso, causas (factores
internos o externos), y efectos ( consecuencias).

51 51
 Planeamiento para la administración de riesgos
Para elaborar un plan se debe utilizar una herramienta denominada Matriz de
Riesgos. Esta herramienta, brinda un entendimiento claro de las situaciones,
los problemas que se podría tener y las soluciones para esas circunstancias.

Se puede elaborar la Matriz de Riesgos seleccionando los riesgos por

categorías e inmediatamente esto te dará un panorama claro de la
probabilidad de ocurrencia, las consecuencias en caso de que este evento
ocurra, cómo minimizarlo o evitarlo, transferirlo o retenerlo. Algunos riesgos
pueden involucrar un efecto económico pequeño si los retienes.

52
 Ejemplo de Matriz de Riesgo

PROBABILIDAD ACCIONES PARA

AREA TIENES ALGUN
OBJETIVO RIESGO DE MITIGAR EL
RELACIONADA CONTROL?
OCURRENCIA RIESGO
Reducir mis Administración de Que mis gastos Actualmente no Moderado Elaborar un
deudas a deudas se incrementen tengo control presupuesto y
$us1.000 hasta y que no pueda compararlo
fin de año pagar mis mensualmente
deudas con mi estado de
ingresos y gastos

Tu plan de administracion de riesgos está detallado en esta herramienta. Las soluciones que se
plantea deben estar bien alineadas con los riesgos de manera tal que si un evento está
contemplado, el plan funcione.
La Matriz de Riesgos es una herramienta simple pero funciona eficientemente.

53
PLAN DE ADMINISTRACION DE RIESGOS

54
Que puedes hacer con tus riesgos?
En general, tienes cuatro opciones para considerar en tu plan de riesgos:

Evitar riesgos.- muchos riesgos pueden ser evitados hoy en día si se realiza una adecuada
planificación. Haciendo una evaluación de riesgos antes de invertir tu dinero puedes saber
si la operación en general representa un riesgo alto, moderado o bajo.

Reducir riesgos.- la probabilidad de ocurrencia de un evento puede ser reducida por

ejemplo incrementando las medidas de seguridad en tu casa o incrementando las medidas
de seguridad contra incendios lo cual puede reducir los riesgos que tú o tu casa enfrentan.

Retener riesgos.- Existen riesgos muy pequeños como para ser considerados en el plan de
administración de riesgos y que no necesitarían seguro. Existen riesgos cuya posibilidad de
ocurrencia es baja, nula o incluso si suceden pueden ser afrontados fácilmente.

Transferir riesgos.- existen riesgos que pueden costarte demasiado, como por ejemplo si
alguien de tu familia resulta herido, esto puede costarte muchísimo en términos de gastos
médicos. En este caso, transferir estos riesgos a una compañía de seguros es la mejor
opción a considerar en tu plan de administracion de riesgos. 55
 CLASIFICACION DE LOS RIESGOS
La clasificación de los riesgos puede realizarse a través del
mapa de riesgos que nos permite traducir estos problemas
en acciones concretas y se realiza a través de cuadrantes
asignados: en un eje vertical la probabilidad de ocurrencia y
en el eje horizontal el grado de impacto.
La infraestructura de administración de riesgos tiene como
característica que es un proceso coherente y alineado con
sus componentes.

56
MAPA DE RIESGOS

57
 IDENTIFICACION DE RIESGOS

Identificación de Riesgos: Elemento de la administración de

reisgos, que posibilita conocer los eventos potenciales,
estén o no bajo el control de la Entidad Pública, que ponen
en riesgo el logro de su Misión, estableciendo los agentes
generadores, las causas y los efectos de su ocurrencia.

58
59
 Lista de Verificación: PLANEAMIENTO DE RIESGOS
La Guía para la Implementación del Sistema de Control Interno en las entidades del Estado, ha
previsto un formato para evaluar la existencia o no de esta fase de la administración de
riesgos, de acuerdo con la Noma 2.1 de la Estructura del Control Interno.
Documento de
Elementos Si No N/A soporte/comentarios
2.1 Planeamiento de la Administración de
Riesgos
Se ha desarrollado un Plan de actividades
de identificación, análisis o valoración,
1
manejo o respuesta y monitoreo y
documentación de los riesgos
La Dirección (Directorio, Gerencias y
Jefaturas) ha establecido y difundido
2
lineamientos y políticas para la
administración de riesgos
El planeamiento de la administración de
riesgos es especifico en algunas áreas,
3 como en la asignación de
responsabilidades y monitoreo de los
mismos.
La entidad cuenta y ha puesto en práctica
4
el Plan de Administración de Riesgos 60
CLASIFICACION DE
RIESGOS

61
 CLASES DE RIESGOS

CUMPLIMIENTO INTEGRIDAD

FINANCIERO RIESGOS EN LA ORGANIZACION OPERACIONAL

RR.HH
INFORMACION

GOBERNABILIDAD

62
 CLASIFICACION DEL RIESGO
Durante el proceso de identificación del riesgo se recomienda
hacer una clasificación de los mismos teniendo en cuenta los
siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la
Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales
relacionados con la misión y el cumplimiento de los objetivos
estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.

Riesgos Operativos: Comprende los riesgos relacionados tanto con

la parte operativa como técnica de la entidad,
 incluye riesgos provenientes de deficiencias en los sistemas de
información, en la definición de los procesos , en la estructura de la
entidad, la desarticulación entre dependencias,
 conduce a ineficiencias, oportunidades de corrupción e
incumplimiento de los compromisos institucionales.

63
 Clasificación del riesgo
Riesgos de Control: Están directamente relacionados
con inadecuados o inexistentes puntos de control y en
otros casos, con puntos de control obsoletos,
inoperantes o poco efectivos.

Riesgos Financieros: Se relacionan con el manejo de los

recursos, incluye: la ejecución presupuestal, la
elaboración de los estados financieros, los pagos, manejos
de excedentes de tesorería y el manejo sobre los bienes
de cada entidad.
De la eficiencia y transparencia en el manejo de los
recursos, dependerá en gran parte el éxito o fracaso de
toda entidad.

64
 Clasificación del riesgo
Riesgos de Cumplimiento: Se asocian con la
capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en
general con su compromiso ante la comunidad.

Riesgos de Tecnología: Se asocian con la capacidad de

la Entidad para que la tecnología disponible satisfaga
las necesidades actuales y futuras de la entidad y
soporten el cumplimiento de la misión.

65
VALORACION DE RIESGOS

66
 VALORACION DE RIESGOS
La Valoración del Riesgo es un elemento de Control Interno,
que determina el nivel o grado de exposición de la Entidad
Pública a los impactos del riesgo, permitiendo estimar las
prioridades para su tratamiento.

67
 EJEMPLO BASICO DE VALORACIÓN DE RIESGOS
Valores para estimar el Impacto
Evaluación Descripción
Impacto financiero en la corporación extremadamente
ALTO perjudicial; implica pérdidas financieras o gastos adicionales
mayores a US$ 500,000

Impacto financiero importante en la Corporación,

MEDIO implica pérdidas financieras o gastos adicionales entre
US$ 50,000 y menor a US$ 500,000

Impacto financiero no significativo en la Corporación,

BAJO implica perdidas financieras o gastos adicionales
menores a US$ 50,000

68
 EJEMPLO BASICO DE VALORACIÓN DE RIESGOS
Valores para estimar la Probabilidad
Evaluación Descripción
Se espera que ocurra una vez cada trimestre por lo
ALTA menos

Se espera que ocurra por lo menos una vez al año,

MEDIA pero no más de una vez cada trimestre.

Se espera que no ocurra en períodos menores a un

BAJA año.

69
MATRIZ DE VALORACION DE RIESGOS

70
71
PROCESO DE VALORACION
Y RESPUESTA AL RIESGO

72
MANIFESTACIONES O CARACTERISTICAS MEDIBLES U OBSERVABLES
DE UN PROCESO, CON POTENCIAL PARA PROVOCAR
CONSECUENCIAS NO DESEABLES EN LA GESTIÓN DE LA
ENTIDAD.

1. Externos: legales, sociales, políticos,

cambios de entorno.
2. Internos: relativos a la eficiencia,
eficacia, economía, inexperiencia, mal
planeamiento, equipos usados, etc.
3. Organizacionales: presupuestales, por
reorganización, controles internos,
antecedentes de directivos, entre otros.

73
 VALORACION DE LOS RIESGOS

Cada Entidad enfrenta una variedad de riesgos derivados de fuentes externas e

internas, los cuales deben valorarse. En tal sentido, toda entidad u órgano debería
contar con un sistema específico de valoración de riesgo institucional por áreas,
sectores, actividades o tarea.

Una condición previa para la valoración de riesgos es el establecimiento de

objetivos, enlazados en niveles diferentes y consistentes internamente.

La valoración de riesgos es la identificación y análisis de los riesgos relevantes para

la consecución de los objetivos, formando una base para la determinación de
cómo deben administrarse los riesgos.

Dado que las condiciones económicas, industriales, reguladas y de operación

continuaran cambiando, se necesitan mecanismos para identificar y tratar los
riesgos especiales asociados con el cambio.
74
 ALGUNOS TIPOS DE RIESGOS
RIESGO GENERICO RIESGO ESPECIFICO AREA AFECTADA
Terrorismo, fenómenos
Riesgo de Propiedad Edificios, equipos y automóviles
naturales, fuego
Riesgos de Activos Robos, fraudes y asaltos Tesorerías, agencias
Salud y seguridad de los
Riesgos Humanos Todos los funcionarios
empleados
Contratos mal especificados, Contratos, clientes, proveedor, socios,
Riesgos Comerciales propiedad intelectua, riesgos áreas de comunicaciones, mercados
de mercados y reputación financieros
Seguridad fisica, sistemas de
información, procedimientos
Riesgos de Información Documentación, archivos de Información
de acceso, caidas de sistemas,
aspectos técnicos
75
 VALORACION DE LOS RIESGOS
• La valoración de los riesgos, se efectuará con base en la información
obtenida en el registro de riesgos, elaborado en la etapa de identificación,
con el fin de obtener información para determinar el nivel de riesgo y las
acciones que se van a implementar. Es importante conocer en detalle los
conceptos de: proceso, subproceso, objetivo del subproceso, causas (factores
internos o externos), y efectos ( consecuencias)

• Análisis cualitativo: para cada riesgo identificado se evalúa los niveles de

probabilidad e impacto

• Análisis cuantitativo: Representa los valores numéricos para la elaboración

de tablas de registro de riesgos; la calidad del análisis depende de lo precisas
y completas que estén las cifras utilizadas

76 76
Valoración de los Riesgos

77 77
Valoración de los Riesgos

78 78
 MATRIZ DE PROBABILIDAD E IMPACTO
•Los riesgos pueden ser priorizados para un análisis cuantitativo
posterior y para las respuestas posteriores, basándose en su
calificación
•La calificaciones son asignadas a los riesgos basándose en la
probabilidad y el impacto evaluados
•La evaluación de la importancia de cada riesgo y de su prioridad
generalmente se realiza usando una matriz de probabilidad e impacto
•La Matriz de probabilidad e impacto: la matriz especifica
combinaciones de probabilidad e impacto que llevan a la calificación
de los riesgos como aceptable, tolerable, moderado, importante e
inaceptable. Pueden usarse términos descriptivos o valores
numéricos, dependiendo de la preferencia de la entidad

79 79
MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS

80
 MATRIZ PARA EL ANÁLISIS DEL RIESGO

PROCESO:
OBJETIVO:
EFECTIVIDAD EN
EXPOSICION AL NIVEL DE RIESGO
PROBABILIDAD IMPACTO LOS CONTROLES
RIESGO (1) (3)
FACTOR DEL RIESGO RIESGO EXISTENTES (2)

P1 P2 P3 P4 I1 I2 I3 I4 A M B I E1 E2 E3 E4 N1 N2 N3 N4

AUXILIAR 1 AUXILIAR 2 AUXILIAR 3

81
 Auxiliar 1
GUÍA PARA IDENTIFICAR LA EXPOSICION DEL RIESGO

Probabilidad Insignificante Menor Moderado Mayor

I1 I2 I3 I4
Impacto

Improbable I I M M
P1
Poco probable
I B M A
P2
Posible

P3
B B M A
Muy probable

P4
B M A A
Exposición:
Alta: rojo
Moderada: naranja,
Baja: amarrilla,
82
Irrelevante: verde
 Auxiliar 2
EFECTIVIDAD DE CONTROLES EXISTENTES

PROCESO:
OBJETIVO:

Efectividad del
Factor de Controles control
Riesgo
riesgo Asociados
E1 E2 E3 E4
No efectivo Poco efectivo Efectivos Muy efectivos

83
 ANALISIS DE LOS RIESGOS
Los procesos, actividades y tareas que la entidad
desarrolla, deben ser claramente entendidos y
correctamente definidos de acuerdo con los estándares
establecidos por el titular o funcionario designado.

La documentación de los procesos, actividades y tareas

deben estar disponibles para garantizar una adecuada
transparencia.

84
 ANALISIS DE RIESGOS
El análisis de riesgos puede ser cualitativo o cuantitativo.
El análisis de riesgos cualitativo precede en ocasiones al cuantitativo, cuando se
quiere profundizar en algún riesgo concreto. En otras ocasiones precede
directamente a la planificación de respuesta al riesgo, obviándose el análisis
cuantitativo.

El análisis de riesgos tiene como objetivo establecer una priorización de los

riesgos del proyecto para su tratamiento posterior. También permite establecer
una clasificación general de riesgo del proyecto, en relación a otros proyectos de
la organización.

Esta información puede ser utilizada para apoyar decisiones de inicio o

cancelación de un proyecto, para realizar asignaciones de recursos entre
proyectos, o para la realización de análisis costo-beneficio.
La repetición de estos análisis proporciona información sobre tendencias que
indiquen acciones a tomar para gestionar el riesgo. 85
ANALISIS DE RIESGOS

86
ANALISIS DE RIESGOS

87
88
89
 ANALISIS CUALITATIVO DE LOS RIESGOS
Este proceso evalúa el impacto y la probabilidad de ocurrencia de los riesgos
identificados en el proceso anterior usando métodos y herramientas de análisis
cualitativo. El riesgo se mide a partir de dos parámetros: probabilidad e impacto.

Todo riesgo viene definido por sus valores de probabilidad e impacto. Si el riesgo
puede materializarse en más de una ocasión, aparece un tercer parámetro de
medida: la frecuencia, que mide el número de veces que un determinado riesgo
puede materializarse a lo largo del proyecto.

Para que este método sea útil y no lleve a conclusiones erróneas es preciso contar
con información precisa y no tendenciosa acerca de los riesgos. Los riesgos deben
ser adecuadamente entendidos antes de proceder a la determinación de su
probabilidad e impacto.
Ello implica examinar: el grado de conocimiento del riesgo, la información
disponible, y la calidad e integridad de la información. Para medir probabilidad e
impacto pueden utilizarse escalas numéricas y no numéricas. 90
 CARACTERISTICAS DEL ENFOQUE CUALITATIVO
El enfoque cualitativo, a veces referido como investigación naturalista,
fenomenológica, interpretativa o etnográfica incluye una variedad de concepciones,
visiones, técnicas y estudios no cuantitativos y sus características más relevantes
son:
1. El investigador plantea un problema, pero no sigue un proceso claramente
definido. Sus planteamientos no son tan específicos como en el enfoque
cuantitativo.
2. Se utiliza primero para descubrir y refinar preguntas de investigación.
3. En lugar de iniciar con una teoría particular y luego confirmarla empíricamente,
inicia observando el mundo social y desarrolla una teoría coherente con lo que
observa, se fundamenta con un proceso inductivo que va de lo particular a lo
general.
4. En la mayoría de estos estudios no se prueban hipótesis sino que se van
generando.
5. El enfoque se basa en métodos de recolección de datos no estandarizados.
91
 CARACTERISTICAS DEL ENFOQUE CUALITATAIVO
No hay mediciones numéricas, por lo cual no hay análisis estadístico. La recolección
de los datos consiste en obtener las perspectivas y puntos de vista de los
participantes.
6. Se utilizan técnicas de recolección de datos como la observación no estructurada,
entrevistas abiertas, revisión de documentos, discusión en grupo, evaluación de
experiencias personales, interacción con grupos, etc.
7. El proceso de investigación es flexible, su propósito consiste en reconstruir la
realidad, estudia el todo y no se reduce al estudio de sus partes.
8. Evalúa el desarrollo natural de los sucesos, no hay manipulación ni estimulación
con respecto a la realidad.
9. Se fundamenta en una perspectiva interpretativa de lo que capta activamente.
10. La realidad se define a través de las interpretaciones de los participantes.
11. El investigador se introduce en la experiencias individuales de los participantes.
12. No se pretende generalizar a poblaciones más amplias, ni obtener
necesariamente muestras representativas. No busca que sus estudios lleguen a
replicarse.
13. El enfoque cualitativo es naturalista e interpretativo.
92
VALORACION CUALITATIVA

93
 ANALISIS CUANTITATIVO PARA VALORACION DE RIESGOS
Los enfoques cuantitativo y cualitativo así como el enfoque mixto, han
tomado fuerza en los últimos años y ambos emplean procesos cuidadosos,
sistemáticos y empíricos en su esfuerzo por generar conocimiento y utilizan
en general cinco fases similares y relacionadas entre sí, que son las
siguientes:

1. Llevan a cabo observación y evaluación de fenómenos.

2. Establecen suposiciones e ideas a partir de lo anterior.
3. Demuestran el grado en que las suposiciones o ideas tienen fundamento.
4. Revisan tales suposiciones o ideas sobre la base de las pruebas o del
análisis.
5. Proponen nuevas observaciones y evaluaciones para esclarecer,
modificar, y fundamentar las suposiciones e ideas.

94
 ANALISIS CUANTITATIVO DEL RIESGO
Este proceso utiliza técnicas cuantitativas para determinar la probabilidad y el
impacto de los riesgos del proyecto. Generalmente se realiza después del análisis
cualitativo de riesgos.

Entre las herramientas utilizadas para el análisis cuantitativo del riesgo se

encuentran:
- Entrevistas. La información recogida de los expertos es tratada
estadísticamente a partir de los datos de algún parámetro concreto cuyo riesgo
se quiera estimar (por ejemplo: coste, tiempo, etc) correspondiente a un
elemento.
Los datos solicitados dependerán del tipo de distribución a emplear. Por ejemplo,
si se usa una distribución triangular se solicitarán 3 valores correspondientes a los
escenarios pesimista, optimista, y mas probable.

95
 ANALISIS CUANTITATIVO DEL RIESGO
- Análisis de árbol de decisiones. Se trata de un diagrama que describe
una decisión considerando todas las alternativas posibles. Cada rama
incorpora probabilidades de riesgos y los costes o beneficios de las
decisiones futuras. La resolución del árbol permite determinar cual es la
decisión que produce el mayor valor esperado. El valor esperado o
esperanza matemática se define como el sumatorio de probabilidad por
costos y beneficios.
Su nombre proviene de la forma que adopta el modelo parecido a un
árbol. Está conformado por multiples nodos cuadrados que representan
puntos de decisión y de los cuales surgen ramas (que deben leerse de
izquierda a derecha) que representan las distintas alternativas.
Las ramas que salen de nodos circulares o casuales, representan los
eventos.

96
MODELO DE ARBOL DE DECISIONES

97
 CARACTERISTICAS DEL ENFOQUE CUANTITATIVO
El enfoque cuantitativo tiene las siguientes características: Que el investigador
realiza los siguientes pasos:
a) Plantea un problema de estudio delimitado y concreto.
b) Revisa lo que se ha investigado anteriormente.
c) Construye un Marco Teórico.
d) Propone Hipótesis, que se probarán si son ciertas o no.
e) Somete a prueba las hipótesis mediante diseños de investigación
apropiados.
f) Para obtener los resultados el investigador recolecta datos, los estudia y
analiza mediante procedimientos estadísticos.

Del proceso de investigación cuantitativa se derivan otras características más:

2. Las Hipótesis, que se generan antes de recolectar y analizar los datos.
3. La recolección de datos, que se fundamenta en la medición de variables
4. Los datos, que son mediciones que se analizan a través de métodos
estadísticos. 98
 CARACTERISTICAS DEL ENFOQUE CUANTITATIVO
5. Se emplea la experimentación y los análisis causa-efecto para tener control.
6. Loas análisis cuantitativos permiten responder al planteamiento del
problema.
7. La investigación cuantitativa debe ser lo más objetiva posible.
8. Los estudios cuantitativos siguen un patrón predecible y estructurado (un
proceso).
9. Se pretende generalizar los datos a partir de una muestra y que sea
replicable.
10. Se pretende explicar y predecir los fenómenos investigados. La meta
principal es la construcción y demostración de teorías.
11. Se sigue un riguroso proceso y los datos generados poseen validez y
confiabilidad.
12. Se utiliza la lógica ó razonamiento deductivo para someter las hipótesis a
prueba.
13. La búsqueda ocurre en la realidad interna del individuo que conduce a una
explicación sobre como se concibe la realidad con esta investigación. 99
COMPARACIONES

100
 Apetito de Riesgo
Es la capacidad o tolerancia al riesgo, que tiene cada entidad o
persona.

El “apetito” o tolerancia ante el riesgo es único y propio de

cada organización y tiene un carácter totalmente dinámico,
variando en función a factores externos (por ej.: condiciones
de mercado) y/o internos (por ej.: cambios en la
estructura/estrategia organizativa).

101
RESPUESTA AL RIESGO

102
103
 Respuesta al Riesgo: Carro del Año

• Evitarlo
• Reducirlo
• Compartirlo
• Aceptarlo

104
 RESPUESTA AL RIESGO
•Evaluados los riesgos, la dirección determinará como responder a
ellos
 Evitar el riesgo (prevenir el riesgo adverso)
 Reducir el riesgo (reducir la probabilidad y el impacto)
 Compartir o transferir el riesgo (trasladar a un tercero)
 Asumir el riesgo (luego de reducido o transferido puede quedar
un riesgo residual)
•Seleccionados las respuesta a los riesgos, la dirección debe
identificar las actividades de control que permita asegurar que se
cumplan las respuestas a los riesgos
•Al seleccionar las actividades de control, la dirección considerará
como se relacionan entre sí. Si la entidad lo considera, podrá medir
la eficacia de las actividades de control
10 105
 RESPUESTA AL RIESGO
La primera opción (EVITAR) incluye el desarrollo de un plan de contingencia
que será ejecutado si el riesgo ocurre.

La aceptación pasiva no requiere de ninguna acción, dejándose en manos

del equipo de proyecto la gestión del riesgo si este llegara a materializarse.
•Para cada riesgo se deberá nombrar a un responsable de implementar la
estrategia elegida según un plan predefinido.

Como consecuencia de esta implantación pueden aparecer riesgos

residuales y riesgos secundarios.
•Los riesgos residuales son aquellos que permanecen después de
implementar las respuestas al riesgo.
•Los riesgos secundarios son los riesgos que pueden aparecer como
consecuencia de la implementación de la respuesta a un riesgo. Deben ser
gestionados de igual manera a los riesgos primarios, planificando sus
respuestas.
106
DESARROLLO DE LA MATRIZ
DE RIESGOS

107
 LA MATRIZ DE RIESGOS
En los últimos años, las tendencias internacionales han registrado un
importante cambio de visión en cuando a la administración de riesgos: de un
enfoque de administración tradicional, generalmente orientado a los riesgos
financieros, hacia una gestión (gerenciamiento) basada en la identificación,
monitoreo, control, medición y divulgación de los riesgos de todo tipo en
todas las áreas de la organización.

En este sentido, uno de los mayores retos de los administradores y gestores

públicos, es gestionar eficazmente los riesgos para garantizar resultados
concordantes con los planes estratégicos y operativos de la entidad.

Asi, la gestión integral de los riesgos se vuelve parte fundamental de la

estrategia y factor clave de éxito en la creación de valor agregado para los
Directores, Gerentes, funcionarios, servidores y usuarios (ciudadanía), entre
otros.

108
 LA MATRIZ DE RIESGOS
El siguiente cuadro muestra la diferencia entre el modelo tradicional y el nuevo
enfoque de evaluación de la gestión de riesgos, según las últimas tendencias:
ESQUEMA ANTERIOR ENFOQUE NUEVO

La evaluación de riesgo es histórica y se La evaluación de riesgo es continua y recurrente

desempeña eventualmente
La evaluación de riesgo detecta y reacciona La evaluación de riesgo anticipa y previene

La evaluación de riesgos se enfoca en las La evaluación de riesgos se enfoca en la identificación,

transacciones financieras y los controles
internos
Cada función es independiente. Pocas
funciones tratan de la evaluación de riesgos
medición y control de riesgos, velando que la
organización logre sus objetivos con un menor impacto
de riesgo posible
La evaluación de riesgo está integrada en todas las
operaciones y líneas de negocio

No hay una política de evaluación de riesgo La política de evaluación de riesgo es formal y

claramente entendida

109
 LA MATRIZ DE RIESGOS
Es imprescindible que las entidades, financieras o no, cuenten con herramientas que le
permitan:
i) Definir criterios a partir de los cuales se admitirán riesgos; dichos criterios dependerán
de sus estrategias, objetivos y resultados esperados.
ii) Definir a través de un mapa de riesgo, áreas de exposición a los riesgos inherentes a
sus actividades, en consecuencia establecer el riesgo máximo aceptable así como el área
no aceptable.
iii) Monitoreo y medición de todas las categorías de riesgo que pueden impactar el valor
de la entidad en forma global, por unidad de negocios, por
productos y por procesos.
iv) Definir el nivel de pérdida aceptable y la metodología de medición.
v) Diseñar mecanismos de cobertura a los riesgos financieros, operativos estratégicos
con una visión integral y comprensiva del negocio.
vi) Relacionar el área de máxima de exposición al riesgo (apetito de riesgo) en forma
global y por unidad estratégica de negocio.
vii) Definir y estimar medidas de desempeño ajustada por riesgos.

110
 LA MATRIZ DE RIESGOS
Una matriz de riesgo constituye una herramienta de control y de gestión
normalmente utilizada para identificar las actividades (procesos y productos) más
importantes de una entidad, el tipo y nivel de riesgos inherentes a estas actividades y
los factores exógenos y endógenos relacionados con estos riesgos.

La matriz debe ser una herramienta flexible que documente los procesos y evalúe de
manera integral el riesgo de una institución, a partir de los cuales se realiza un
diagnóstico objetivo de la situación global de riesgo de una entidad.

Exige la participación activa de las unidades operativas y funcionales en la definición

de la estrategia institucional de riesgo de la entidad.

111
 LA MATRIZ DE RIESGOS
Desde su concepción metodológica las matrices se componen de dos
vectores, uno de impacto y otro de probabilidad, cuya combinación
define el nivel de riesgo de una operación en particular. La ventaja de
este instrumento es que permite establecer un ranking cuantitativo y/o
cualitativo de los riesgos implícitos en una determinada operación en
base a la información disponible, estableciendo así un orden de
prioridades.

Una condición necesaria para poder utilizar e interpretar este

instrumento, consiste en definir previamente los umbrales de tolerancia,
delimitando las zonas de la tabla que indican mayores y menores riesgo
cualitativos, lo que generalmente se hace asignando colores a cada una
de las celdas que pertenecen a cada umbral, como se muestra:

112
113
VALORACION DE LAS
ACTIVIDADES DE
CONTROL INTERNO

114
 VALORACION DE LOS CONTROLES INTERNOS
De manera general, se puede afirmar que los controles internos son las
respuestas de la administración de una empresa o negocio para mitigar un
factor identificado de riesgo o alcanzar un objetivo de control.

Los objetivos de los controles internos pueden agruparse en cuatro categorías:

•Estratégicos.
•De información financiera.
•De operaciones.
•De cumplimiento de las disposiciones legales y reglamentos.

•Las organizaciones requieren establecer controles internos para mitigar los

riegos asociados con estos temas; vale decir por ejemplo que, para efectos de la
auditoría de estados financieros, el control interno relevante es el relacionado
con la información financiera, de igual menera para las otras categorías..
115
 VALORACION DE LOS CONTROLES INTERNOS
Estos controles se refieren a riesgos que, si no se mitigan, pondrían en
riesgo el llevar a cabo los objetivos de la empresa.

Las actividades de control pueden clasificarse en los siguientes cuatro

tipos:
•Preventivos. Controles para evitar errores o irregularidades.
•De detección. Controles para identificar errores o irregularidades
después de que hayan ocurrido para tomar medidas correctivas.
•De compensación. Controles para brindar cierto grado de seguridad
cuando es incosteable la aplicación de otros controles más directos.
Ejemplos: segundas firmas, supervisión de terceros, supervisión
selectiva interna, etcétera.
•De dirección. Controles para orientar al personal hacia los objetivos
deseados, por ejemplo las políticas y los procedimientos.
116
 VALORACION DE LOS CONTROLES INTERNOS
Algunos controles comunes a nivel del proceso operativo incluyen temas como
los siguientes:
Segregación de funciones: donde reduce la oportunidad de que una persona
por sí misma pueda llevar a cabo u ocultar errores o fraudes.
Controles de autorizaciones: define quién tiene la autoridad para aprobar
diversas transacciones, comunes o no comunes.
Conciliaciones de cuentas: incluye preparar y revisar conciliaciones
oportunamente y tomar decisiones sobre posibles diferencias.
Controles de aplicación de TI: estos se incluyen en las aplicaciones de los
sistemas de información, los cuales son automatizados o parcialmente
automatizados.
Revisión de resultados reales: comparar los resultados reales contra los
presupuestados y periodos anteriores, así como analizar comportamientos
inesperados de los resultados.
Controles físicas: están relacionados con la seguridad física de los activos,
acceso a instalaciones, registros contables, sistemas de información, archivos
de datos, etcétera. 117
 VALORACION DE LOS CONTROLES INTERNOS
• Los Controles internos deben ser diseñados y aplicados para dar
respuesta a los riesgos inicialmente evaluados, en función de la
valoración del nivel (probabilidad e impacto) de dicho riesgo.
• Los controles internos deben tener como finalidad mitigar los riesgos.
Sin embargo, cuando se habla de controles internos las percepciones
de su significado son muy distintas, dependiendo del usuario,
preparador, auditor o dirección. Por ello, es recomendable que los
controles que se implanten sean creados por especialistas en riesgos.

118 118
119
GESTION POR PROCESOS

120
CONCEPTOS
GENERALES

121
 QUÉ ES UN PROCESO

Proceso es… “es la forma en la

que se hace el trabajo”

(Carr y Littman, 1993)

122
 QUÉ ES UN PROCESO?

Proceso es … “una serie de actividades

secuenciales, que a partir de unos
insumos, buscan un resultado
concreto, en un tiempo determinado,
para un cliente o un grupo de valor”

123
 QUÉ ES UN PROCESO?

Proceso es… “la serie de fases o etapas

secuenciales e interdependientes,
orientadas a la consecución de un
resultado, en el que se agrega valor a
un insumo y se contribuye a la
satisfacción de una necesidad.”
Guía de Modernización de Entidades Públicas,
Departamento Administrativo de la Función Pública, 2012

124
 QUE ES UN PROCESO?
Un proceso es una secuencia de actividades que uno o
varios sistemas desarrollan para hacer llegar una
determinada salida (output) a un usuario, a partir de la
utilización de determinados recursos (entradas/input)”,
añadiéndole un valor en cada etapa de la cadena (mejores
condiciones de calidad/precio, rapidez, facilidad,
comodidad, entre otros).

En un proceso actúan el cliente, el proveedor y el

productor logrando un beneficio en común debido a que
logran cerrar un circulo con la planeación eficiente de la
cadena de producción.

125
 ACTIVIDADES DE UN PROCESO
Las actividades comprenden actuaciones,
decisiones y tareas que se encadenan en
forma secuencial y ordenada para
conseguir un resultado que satisfaga
plenamente los requerimientos del cliente
objetivo.

Expresado de otra forma, los procesos son

las actividades y tareas que realiza una
organización a través de las cuales produce
o genera un servicio o producto para sus
usuarios.
126
 QUE ES UN PROCESO

El punto central implícito en la gestión de calidad de un

proceso es el “agregar valor” a este resultado u output.

Por ejemplo, en las organizaciones que prestan servicios

principalmente, el activo más importante, que añade
valor al producto final es el recurso humano: su calidad,
compromiso, capacitación, experiencia, etc.

127
 COMPONENTES DEL PROCESO

• ENTRADA: Aquellas necesidades explicitas o requerimientos del

cliente que obliga a realizar un proceso determinado.
• DIRECTRICES: Aquellas normas, pautas y principios que tienen que
cumplirse necesariamente para realizar correctamente el proceso.
Deben de ser factibles de cumplir, no interpretables y de obligado
cumplimiento.
• RECURSOS: Lo que utilizamos para dar el valor agregado al
elemento de entrada. Incluye: Material, Equipamiento y
conocimientos profesionales.
• SALIDAS: Resultados con un valor agregado.

128
COMPONENTES DE UN
PROCESO

Directrices

Recursos

129
 EJEMPLO DE UN PROCESO

DIRECTRICES:
- Presupuesto
- Receta
PROCESO DE LA TORTILLA DE PATATAS
- Lista de la compra
ENTRADAS

ACTIVIDADES
SALIDAS

RECURSOS: - Cocinero
- Utensilios de cocina
- Energía
130
131
 CARACTERISTICAS DE UN PROCESO
Objetivo :es el propósito del proceso

-Responsable: es la persona encargada de controlar y asignar los recursos para

lograr el objetivo

-Alcance :determina el inicio y el fin del proceso, también puede orientar sobre las
inclusiones o explicaciones que afecten el objetivo

-Insumos: es la materia prima requerida para ser transformada en el producto final

-Productos: lo que entrega el proceso para un cliente y responde a las necesidades

que este tenga ,puede ser tangible o intangible

-Recursos: es todo aquello que nos permite transformar los insumos en producto

-Duración: es el tiempo que transcurre en la actividad inicio ,entrada, y fin del

producto

-Capacidad: lo que el proceso entrega en el tiempo determinado 132

 FRACMENTACION DE LOS PROCESOS
Los procesos son el núcleo de la organización. A través de ellos, la
organización crea y suministra valor para los clientes.
Generalmente, en las organizaciones, los procesos están fragmentados, no
son visibles, no tiene nombre ni son gestionados, lo cual afecta su
funcionamiento
RECURSOS

ENTRADA PROCESOS SALIDA

SUBPROCESO SUBPROCESO SUBPROCESO SUBPROCESO

Actividad Actividad Actividad Actividad

Tareas Tareas Tareas Tareas

133
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS

Para la elaboración de un mapa de procesos, y con el fin de

facilitar la interpretación del mismo, es necesario analizar
previamente en las posibles agrupaciones en las que pueden
encajar los procesos identificados.

La agrupación de los procesos dentro del mapa permite

establecer analogías entre procesos, al tiempo que facilita la
interrelación y la interpretación del mapa en su conjunto.

El tipo de agrupación puede y debe ser establecido por la

propia entidad, no existiendo para ello ninguna regla específica.

134
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
A continuación se ofrecen dos posibles tipos de agrupaciones que
pueden considerarse:
Este modelo considera lo siguiente:
 Procesos estratégicos como aquellos
procesos que están vinculados al ámbito
de las responsabilidades de la Dirección y,
principalmente, al largo plazo. Se refieren
fundamentalmente a procesos de
planificación y otros que se consideren
ligados a factores clave o estratégicos;
 Procesos operativos como aquellos
procesos ligados directamente con la
realización del producto o la prestación
del servicio. Son los procesos de “línea”;
 Procesos de apoyo como aquellos
procesos que dan soporte a los procesos
operativos. Se suelen referir a procesos
relacionados con recursos y mediciones.

135
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
Los procesos que permiten definir la estrategia son genéricos y comunes a la
mayor parte de negocios (marketing estratégico y estudios de mercado,
planificación y seguimiento de objetivos, revisión del sistema, vigilancia
tecnológica, evaluación de la satisfacción de los clientes…).

Los procesos clave u operativos son aquellos que añaden valor al cliente o
inciden directamente en su satisfacción o insatisfacción. Componen la cadena
del valor de la organización. También aquellos que, aunque no añadan valor al
cliente, consuman muchos recursos.
Por ejemplo, en una empresa de transporte aéreo de pasajeros, el
mantenimiento de los aviones e instalaciones es clave por sus implicaciones en
la seguridad, el confort para los pasajeros la productividad y la rentabilidad
para la empresa.
El mismo proceso de mantenimiento puede ser considerado como proceso de
apoyo en otros sectores en los que no tiene tanta relevancia, como por
ejemplo una empresa de servicios de formación.
136
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS

Los procesos operativos o clave intervienen en la misión, pero no

necesariamente en la visión de la organización.

En el grupo de los procesos de apoyo, se encuadran los procesos necesarios

para el control y la mejora del sistema de gestión, que no puedan considerarse
estratégicos ni clave.
Normalmente estos procesos están muy relacionados con requisitos de las
normas que establecen modelos de gestión. Son procesos de apoyo, por
ejemplo:

•Control de la Documentación Auditorías Internas

•No Conformidades, Correcciones y Acciones Correctivas
•Gestión de Productos No conformes
•Gestión de Equipos de Inspección, Medición y Ensayo. Etc.
Estos procesos no intervienen en la visión ni en la misión de la organización.
137
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
Este modelo está en línea con los cuatro grandes
capítulos de requisitos de la norma ISO 9001, y
son los siguientes:
Procesos de planificación como aquellos
procesos que están vinculados al ámbito de las
responsabilidades de la Dirección.
Procesos de gestión de recursos como aquellos
procesos que permiten determinar,
proporcionar y mantener los recursos necesarios
(recursos humanos, infraestructura y ambiente
de trabajo)
Procesos de realización del producto como
aquellos procesos que permiten llevar a cabo la
producción o la prestación del servicio
Procesos de medición, análisis y mejora como
aquellos procesos que permiten hacer el
seguimiento de los procesos, medirlos,
analizarlos y establecer acciones de mejora.
138
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
El mapa de procesos debe incluir los procesos identificados
seleccionados, incorporándose dichos procesos en las
agrupaciones definidas.

Para establecer adecuadamente las interrelaciones entre los

procesos es fundamental reflexionar acerca de qué salidas
produce cada proceso y hacia quién va, qué entradas necesita
el proceso y de dónde vienen y qué recursos consume el
proceso y de dónde proceden.

Las agrupaciones permiten una mayor representatividad de los

mapas de procesos y además facilitan la interpretación de la
secuencia e interacción entre los mismos.
139
IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS
Las agrupaciones, se pueden entender como
macroprocesos que incluyen dentro de sí otros
procesos, sin perjuicio de que, a su vez, uno de
estos procesos se pueda desplegar en otros
procesos (que podrían denominarse como
subprocesos, o procesos de 2º nivel), y así
sucesivamente.

Si fuese necesario, se podrían emplear mapas de

proceso “en cascada”, en soportes diferentes,
pero vinculados entre sí.

No obstante, hay que tener cuidado cuando se

utiliza este tipo de “representación en cascada” ya
que se puede caer en un exceso de
documentación, que además puede dificultar la
interpretación de los mapas.
140
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS

Proceso de Gestión
Población Población

Necesidad Satisfacción

141
 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROCESOS

SALIDA SALIDA
ENTRADA ENTRADA
CLIENTE EMPRESA CLIENTE
INTERNO EXTERNO
CLIENTE/ CLIENTE/ CLIENTE/ CLIENTE/ CLIENTE/
PROVEEDOR PROVEEDOR PROVEEDOR PROVEEDOR PROVEEDOR

PROVEEDOR
INTERNO PROVEEDOR REQUISITOS Y
EXTERNO FEEDBACK 142
 MAPA DE PROCESOS
El Mapa de Procesos es una representación gráfica de la
estructura de procesos que conforman el Sistema de Gestión de
una Entidad.
Describe la actividad de la organización
Se debe tener presente que los mapas de procesos son un
instrumento para la gestión y no un fin en sí mismo.

143
144
 MAPA DE PROCESOS
El Mapa de Procesos debe incluir de manera particular los
procesos identificados y seleccionados, planteándose la
incorporación de dichos procesos en las agrupaciones
definidas.

Para establecer adecuadamente la interrelación entre los

procesos es fundamental reflexionar acerca de qué salidas
produce cada proceso y hacia quién va, qué entradas
necesita el proceso y de dónde vienen y qué recursos
consume el proceso y de dónde proceden.

145
146
147
 SECUENCIA DE LA IMPLANTACION DE UN SISTEMA DE CALIDAD

1. ¿Qué hay que hacer? PROCESOS

¿ Quién debe hacerlo?

2. ¿Cómo hacer bien lo que NORMALIZARLOS

hay que hacer?

3. ¿Cuanto hay que hacer MEDIRLOS

para hacerlo bien?

4. ¿ Cómo mejorarlo o MEJORA

cómo innovar? CONTINUA

148
 MARCO NORMATIVO DE LA GESTION POR PROCESOS
Mediante la ley Nº 27658, en enero 2002 se declara al Estado
peruano en proceso de modernización, con la finalidad de
mejorar la gestión pública y construir un Estado democrático,
descentralizado y al servicio del ciudadano.

Bajo el enfoque de una gestión para resultados, al servicio de la

ciudadanía y que rinda cuentas, mediante Decreto Supremo N°
004-2013-PCM, se aprobó, la Política Nacional de
Modernización de la Gestión Pública al 2021, mientras que su
Plan de Implementación fue aprobado a través de la Resolución
Ministerial 125-2013-PCM.

149
 MARCO NORMATIVO DE LA GESTION POR PROCESOS
El proceso de Modernización de la gestión del Estado tiene como
finalidad fundamental la obtención de mayores niveles de eficiencia del
aparato estatal de manera que se logre una mejor atención a la
ciudadanía, priorizando y optimizando el uso de los recursos públicos.

Una Organización tiene sentido si puede satisfacer con sus productos o

servicios las necesidades de los clientes. En la organización también hay
otros grupos de interés (empleados, proveedores, administración, etc.)
a cuyas necesidades y expectativas también hay que dar respuesta.

El tercero de los cinco pilares centrales de la Modernización de la

gestión del Estado, comprende la implementación de la Gestión por
Procesos, la Simplificación Administrativa y la Organización
Institucional, como se puede apreciar:
150
MARCO NORMATIVO DE LA GESTION POR PROCESOS

151
 TERCER PILAR
“Las entidades públicas deben adoptar, de manera paulatina, la gestión
por procesos, continuar con los esfuerzos relacionados a la
simplificación administrativa y organizarse de manera adecuada para
llevar adelante los procesos y alcanzar los resultados esperados”.

152
METODOLOGIA PARA LA IMPLEMENTACIÓN

153
 LA GESTION POR FUNCIONES
La estructura tradicional de una organización está basada en la
agrupación de tareas especializadas similares en conjuntos a los que
se han denominado áreas funcionales o departamentos.

Cada uno de estos departamentos tiene asignadas una serie de

actividades y tareas que permiten conseguir los objetivos marcados
por la organización.

Los organigramas establecen la estructura organizativa y designan las

funciones, permitiendo definir las relaciones jerárquicas. Sin
embargo, en ellos no se ven reflejados el “funcionamiento” de la
organización, las responsabilidades, las relaciones con los clientes,
los flujos de información y la comunicación interna.

154
 LA GESTION POR FUNCIONES
Gestión por funciones
Las compañías se estructuran por áreas organizacionales, que se encuentran
verticales y realizan funciones distintas, como recursos humanos, financiero,
fabricación, ventas y marketing, etc. Estas organizaciones acceden a los servicios
de infraestructura de empresa, como bases de datos, portales, aplicaciones y
servicios de SOA (arquitectura orientada a servicios), IDRS (sistemas de
recuperación de datos integrados), LDAP (protocolo de acceso a directorios
ligero), EAI (integración de aplicaciones de empresa), correo electrónico y otras
operaciones de TI que soportan cada una de las organizaciones.

Pero a menudo, los procesos que son el valor real en la compañía (procesos
principales) son precisamente aquellos que abarcan varias áreas organizacionales,
sistemas de TI y aplicaciones. La mayoría de las veces los procesos se dividen
cuando existen transferencias entre departamentos, pues una vez que un
proceso se transfiere al siguiente departamento, resulta difícil realizar el
seguimiento y la gestión. 155
 LA GESTION POR FUNCIONES

La coordinación de dicha estructura está muy influida por la

burocracia, por lo que da lugar a organizaciones verticales
basadas en la jerarquía, supervisión directa y control, donde sólo
los directores pueden tomar decisiones.

La dirección marca los objetivos, logros y actividades

independientes para cada departamento, que funcionan
autónomamente.
El entorno burocrático multiplica las tareas que deben llevarse a
cabo, gran parte de las cuales poco o nada tiene que ver con la
satisfacción del cliente.

156
-

LA GESTION POR FUNCIONES

Este tipo de organización departamental mentalizada crea

diversos problemas:
- Establecimiento de objetivos locales o individuales en ocasiones
incoherentes y contradictorios.
- Proliferación de actividades que no aportan valor al cliente ni a
la propia organización generando una injustificada burocracia de
la gestión.
- Fallos en el intercambio de información (especificaciones no
definidas, actividades no estandarizadas o duplicadas,
indefinición de responsabilidades, …)
- Falta de implicación y motivación de las personas, por la
separación entre “los que piensan” y “los que trabajan” y por un
estilo de dirección autoritario en lugar de participativo.
157
 LA GESTION POR FUNCIONES

Cuando observamos esta organización, somos incapaces de

descubrir el proceso global que atiende al cliente. Lo que
vemos son “microempresas”, cada una de ellas con sus
propios objetivos que poco o nada tienen que ver con el
cliente.

158
159
160
161
ALINEAMIENTO DE
PROCESOS

162
 ALINEAMIENTO DE PROCESOS
Cuando la estrategia organizacional se halla lejos de la estrategia de negocio,
y no está satisfaciendo el dinamismo de la industria donde se desarrolla ni la
versatilidad de sus clientes, es una señal de que sus procesos no contribuyen
a la productividad pretendida en el negocio, ya que sus complejidades están
siendo tratadas ad hoc y no mediante una táctica efectiva.

Si su organización ya se encuentra consciente de ésta realidad, debe

reconocer la gran coyuntura que existe entre la gestión de procesos y la
estrategia organizacional, están yendo en direcciones diferentes y ninguna
está siendo apoyo de la otra.

De hecho este apoyo mutuo entre la estrategia organizacional y la gestión de

procesos, debe converger hasta lograr alinearse y así conseguir un trabajo
unificado, lograr esta unificación requiere de líderes capaces de convertir el
caos actual en una oportunidad para elevar la moral y la productividad, además que
trabaje por los objetivos de la empresa y no por su feudo particular.

163
 ALINEAMIENTO DE PROCESOS
Veamos qué debe tenerse en cuenta al momento de emprender una
alineación entre el rediseño de procesos y la estrategia corporativa:

1. DEFINIR PROCESOS TRANSVERSALES

Identificar aquellas tareas y actividades que agregan valor en el ciclo
productivo, permitirán delinear procesos clave de negocio los cuales deberán
estar alineados con la estrategia de la empresa y con la dinámica de la
industria. Éstos procesos deben ser transversales a la longitud del negocio y
adaptables a una iterativa definición, planificación, despliegue,
implementación, monitorización, control, evaluación, medición y mejora.

Los procesos transversales son aquellos que rompen el esquema del flujo de
actividades en silos, logrando abarcar toda la estructura del negocio y
haciendo uso de la tecnología como vehículo de automatización y reducción
de esfuerzo.

164
165
 ALINEAMIENTO DE PROCESOS
2. ALINEAR Y GESTIONAR INDICADORES – KPI
La estrategia organizacional debe poder medirse mediante indicadores clave, reflejada
en objetivos de rendimiento que apunten a dicha estrategia, al ser evaluada mediante
procesos de negocio y de mejora dichos indicadores de gestión darán la pauta para
identificar aquellos procesos que deben mejorarse.

Establecer objetivos corporativos medibles permite lograr la verificación de la eficiencia

de los recursos; por esto de deben ajustar los objetivos de negocio, los objetivos de
calidad y de rendimiento de los procesos, según requiera el negocio.

3. MANTENIEMIENTO DE LOS PROCESOS ACTUALES

Cada proceso debe tener la capacidad de gestionarse a pesar de su constante
adaptación a los cambios demandados por la competitividad, para esto debe estar
estandarizado:
- Rediseño de estándares de trabajo y otros activos
- Recolección de mejoras del proceso y activos
- Definición de las mediciones de calidad y de proceso
- Identificación del rendimiento respecto a los objetivos de negocio, calidad y procesos 166
 ALINEAMIENTO DE PROCESOS
4. ANALIZAR LA ESTRATEGIA DE NEGOCIO
Lograr una estrategia e identidad corporativa apoyada por procesos
estratégicos de negocio. Esto puede implicar el rediseño del modelo de
negocio de la empresa, lo cuál genera issues para revisar en la gestión de
innovación.

5. PROMOVER LA MEJORA CONTINUA

Todos los miembros de la organización deben ser parte del proceso de
mejora, ya que son quienes transforman el proceso mediante las experiencias
y comprenden los posibles beneficios productivos de las mejoras que
sugieren. Generar un plan de seguimiento para verificar la adherencia de
dichos procesos en todos los niveles de la de decisiones y la mejora continua.

167
 ALINEAMIENTO DE PROCESOS

6. ADAPTAR LOS PROCESOS AL CONTEXTO DEL NEGOCIO

Definir un sistema de adaptación para hacer flexibles los procesos, ya
que por ejemplo una nueva línea de productos o ambiente de trabajo
debe poder sumergirse en la arquitectura de procesos actual. La
flexibilidad es necesaria para hacer frente a las variables contextuales
como la naturaleza del cliente, la dificultad técnica de un proyecto,
costo, cronograma y calidad.

168
RIESGOS, CONTROLES Y
MAPA DE RIESGOS

169
MAPA DE RIESGOS

170
171
172
 RIESGO RESIDUAL
• El riesgo residual, es aquel que permanece después de que la
dirección tome las acciones de control necesarias para reducir la
probabilidad y consecuencia del riesgo
• Puede ser valorado tomando en consideración, los riesgos
inicialmente evaluados, contra aquellas respuestas y acciones de
control, que minimizaron dicho riesgo

17 173
METODOLOGIA PARA LA
IMPLEMENTACION DEL
PROCESO DE
ADMINISTRACION DEL
RIESGO

174
 VARIAS METODOLOGIAS
Las Metodologías pueden aplicarse y combinarse entre ellas, para los diferentes riesgos que
amenazan a la Organización o Municipio. Igualmente se pueden aplicar diferentes
metodologías para un mismo riesgo, al objeto de comparar los resultados obtenidos.

1. Metodología evaluación del riesgo de incendio (Método Meseri).

2. Metodología general de evaluación de riesgos.
3. Metodología de análisis preliminar de riesgos (Método APELL).
4. Metodología de análisis y estrategias para el Control del Riesgo.
5. Metodología de matriz DOFA.
6. Metodología de matriz de supervisión de riesgos (Comité de Basilea).
7. Metodología de matriz de riesgos.
8. Metodología de matriz de análisis de vulnerabilidad por amenaza.
9. Metodología de matriz de evaluación y respuesta.
10. Metodología de calificación de riesgos.
11. Metodología de análisis de riesgos por colores.
12. Metodología simplificada de análisis de riesgos.
13. Metodología de matriz de riesgos 'Leopold'.
14. Metodología de análisis sencilla de resultados: 'Guía Magerit'.
15. Metodología de análisis riesgos de 'William T. Fine'.
16. Metodología de evaluación de riesgos del INSHT. 175
 ADMINISTRACION DE RIESGOS

“Es un proceso efectuado por la Alta Dirección de la entidad y

por todo el personal para proporcionar a la administración un
aseguramiento razonable con respecto al logro de los objetivos.
El enfoque de riesgos no se determina solamente con el uso de
la metodología, sino logrando que la evaluación de los riesgos
se convierta en una parte natural del proceso de planeación”

(INTOSAI:Guía para las normas de control interno del sector

público)

176
 BENEFICIOS DE LA ADMINISTRACION DE RIESGOS
Permite identificar los activos empresariales que están en máximo
riesgo, valuar las vulnerabilidades y los impactos potenciales, y
proponer resguardos y tácticas de mitigación, lo que permitirá:
 Priorizar y establecer niveles de riesgo para sus procesos y recursos
empresariales críticos.
 Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente
las fallas.
 Tomar decisiones más informadas sobre como proteger su
empresa.
 Evaluar las tácticas y los costos de la administración de riesgos
relacionados con los diferentes niveles de protección.
 Prepararse adecuadamente para las auditorías de las agencias de
control.

177
FASES DEL PROCESO DE LA ADMINISTRACION DE RIESGOS
Fase de evaluación de riesgos
•Planear la recopilación de datos: descripción de las claves para el
éxito y orientación de preparación.

•Recopilar datos de riesgos: descripción del proceso de recopilación

y análisis de datos.

•Asignar prioridades a riesgos: descripción de los pasos normativos

para calificar y cuantificar los riesgos.

178
 PROCESO DE ADMINISTRACION DE RIESGOS

Fase de apoyo a la toma de decisiones

•Definir los requisitos funcionales: definición de los requisitos
funcionales para mitigar los riesgos.

•Seleccionar las soluciones de control posibles: descripción del

enfoque para identificar las soluciones de mitigación.

•Revisar la solución: evaluación de los controles propuestos según

los requisitos funcionales.

179
 PROCESO DE ADMINISTRACION DE RIESGOS
Fase de apoyo a la toma de decisiones . . . . .
•Estimar la reducción del riesgo: intento de comprender la
exposición o probabilidad reducida de riesgos.

•Estimar el costo de la solución: evaluación de los costos directos e

indirectos asociados a las soluciones de mitigación.

•Seleccionar la estrategia de mitigación: realización del análisis de

costo-beneficio para identificar la solución de mitigación más
asequible.

180
 PROCESO DE ADMINISTRACION DE RIESGOS
Fase de implementación de controles
•Buscar un enfoque holístico: incorporación de personas, procesos y
tecnología en la solución de mitigación.

•Organizar por defensa en profundidad: organización de las soluciones

de mitigación en la empresa.

Fase de medición de la efectividad del programa

•Desarrollar el cálculo de riesgos: comprensión de la posición de riesgo
y el progreso.

•Medir la efectividad del programa: evaluación del programa de

administración de riesgos para determinar los aspectos que se deben
mejorar.
181
 POLITICAS DE ADMINISTRACION DE RIESGOS

La Alta Dirección (Titular y Alta Gerencia) debe establecer

Políticas de Administración de Riesgos como un elemento
de Control, que permitan estructurar criterios orientadores
en la toma de decisiones (respuestas) respecto al
tratamiento de los riesgos y sus efectos al interior de la
Entidad Pública.

182
 IMPLEMENTACION
DE PLANES DE ACCION

183
 FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
Comprende las actividades para la elaboración del diagnóstico de control
interno, con la finalidad de conocer el estado situacional de su
implementación, las cuales se describen a continuación:

Actividad 4: Elaborar el programa de trabajo para realizar e! diagnóstico del

SCI
El Comité designado deberá elaborar y aprobar, antes de iniciar el proceso de
Diagnóstico, un Programa de Trabajo que contenga las actividades a
desarrollar y su cronograma respectivo.

 El Programa deberá considerar entre otros aspectos:

 Objetivos del diagnóstico,
 Alcance del diagnóstico,
 Descripción de las actividades,
 Cronograma de trabajo,
 Responsables de cada actividad
184
 ANEXO N° 8 MODELO DE PROGRAMA DE TRABAJO PARA EL DIAGNOSTICO

ENTIDAD

OBJETIVO

ALCANCE

Descripción de las actividades a desarrollar CRONOGRAMA DE TRABAJO RESPONSABLE DIAGRAMA DE GANT

Descripción Fecha de inicio Fecha de término
Nombre y N° Celular/
N° Unidad apellido
Cargo Correo #Anexo
Mes/Año Mes/Año (-)
orgánica electrónico
S1 S2 S3 S4 S5 S1 S2 S3 S4 S5 S1 S2 S3 S4 S5
1) 2) 3) 4) 5)
1 Actividades preliminares

2 Recopilación de información

3 Analizar infomación

4 Identificación de brechas y oportunidades de mejora

5 Elaboración del informe de diagnóstico

6 Presentación y aprobación del informe fuinal de diagnóstico

185
 FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
Actividad 5: Realizar el diagnóstico de! SCI

Para la elaboración del diagnóstico se requiere el análisis de los

controles, de los procesos y la identificación de riesgos de la entidad,
para lo cual son de aplicación las herramientas que la Contraloría
proponga para ello o las que a su criterio la entidad considere utilizar,
a fin de establecer su estado situacional.

Respecto al análisis de la gestión por procesos la entidad debe

considerar entre otros aspectos, la identificación de sus procesos, la
estructura del mapa de procesos, la descripción de los procesos y la
elaboración del manual de gestión de procesos y procedimientos, de
acuerdo a la "Metodología para la implementación de la gestión por
procesos en las entidades de la administración pública" emitido por la
PCM y otras que a juicio de la entidad considere utilizar.
Sigue… 186
 FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
Actividad 5: Realizar el diagnóstico de! SCI

Respecto al análisis de la gestión de riesgos, la entidad debe

considerar entre otros aspectos, la elaboración de la política de
riesgos, el manual de gestión de riesgos y del plan de gestión de
riesgos.

El Comité es responsable de realizar el diagnóstico a través del equipo

de trabajo con el apoyo de los funcionarios responsables y
coordinadores de control interno.

Los resultados obtenidos producto del diagnóstico serán plasmados

en un informe que es aprobado por el Comité y presentado a la Alta
Dirección para que disponga la elaboración del Plan de Trabajo para el
cierre de brechas.
187
Sigue…
Actividad 5. Realizar el Diagnóstico (Ejemplo)

188
Actividad 5. Realizar el Diagnóstico (Ejemplo)
7. La entidad identifica los
riesgos para la consecución
de sus objetivos en todos
los niveles de la
organización y los analiza
como base sobre la cual
determinar como se deben
gestionar
A la fecha no se ha cumplido con capacitar a los responsables
6. Registros de capacitación de los
de la gestión de riesgos ni se ha sensibilizado al personal de la
responsables sobre gestión de riesgos
entidad sobre esta materia.
Solo se ha evidenciado una lista de los riesgos posibles en el
7. Inventario de riesgos de la entidad
área de Tesoreria.
8. Matriz de riesgos (probabilidad e impacto) o
No existe
Análisis y Evaluación de riesgos
9. Plan de tratamiento de riesgos o similar No existe
Solo en el área de Tesoreria. Se mantiene vigente una póliza de
10. Medidas adoptadas para mitigar los riesgos fidelidad de los cajeros para proteger la operaciones de recibo
en las áreas. y pago, así como un contrato con una compañía de transporte
de dinero.
189
Actividad 5. Realizar el Diagnóstico (Ejemplo)

11. Lineamientos para identificar y evaluar Solo para Tesoreria. Está establecido los arqueos de caja
posibles fraudes sorpresivos y las conciliaciones bancarias.
8. La entidad considera la
12. Registros de controles definidos que
probabilidad de fraude al Solo en el área de Tesoreria: los arqueos de caja y las
contribuyen a reducir los riesgos de errores
evaluar los riesgos para la conciliaciones bancarias
y/o fraude.
consecusión de los
13.Normativa interna que considera la
objetivos
posibilidad de fraude en procesos de áreas No existe.
expuestas a actos irregulares de corrupción
14. Reportes de Monitoreo de los cambios
externos (no controlables por la entidad) que No existe.
9. La entidad identifica y
puedan impactar en el SCI.
evalúa los cambios que
15. Reportes del monitoreo de los cambio
podrían afectar
internos (modelos de gestión, políticos,
significativamente al SCI. No existe.
institucionales o tecnológicos) que pueden
impactar en elSCI.

190
 FASE DE PLANIFICACIÓN – Etapa II Identificación de brechas
continúa……….
Actividad 5: Realizar el diagnóstico de! SCI

El informe de diagnóstico es el documento que contiene los resultados

del estado situacional del SCl, en el cual se identifican brechas,
entendidas estas como la diferencia entre el criterio (normativo y
buenas prácticas aplicables a la gestión) y lo planificado en los
instrumentos de gestión, con la situación encontrada en la entidad
respecto de los componentes del SCl.

Transcurrido dos años de emitido el diagnóstico sin que la entidad haya

elaborado el Plan de Trabajo, es necesario actualizar el mismo a fin de
conocer el nuevo estado situacional de las brechas respecto del SCl.

191
192
193
194
4. ANALISIS DE FORTALEZAS Y DEBILIDADES
Para realizar este análisis, se tiene como base los resultados que arrojó el ANALISIS GENERAL
(explicado en el punto 2) y el ANALISIS FOCALIZADO (explicado en los puntos 3 y 4).
Para identificar las debilidades (con sus causas) y las fortalezas por cada componente y norma de
control, se propone la tabla siguiente:

Componentes Debilidades Fortalezas Causas

Ambiente de Control
Filosofía de la Dirección
Integridad y valores éticos
Administración estratégica
Estructura organizacional
Administración de los RRHH
Competencia profesional
Asignación de autoridad y responsabilidad
Órgano de control institucional
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Supervisión

Este es solo un ejemplo; se debe abrir la tabla, a nivel de las normas de control de cada
componente.

195
5. PROPUESTA DE MEJORAS Y DETERMINACION DE RIESGOS

El CCI por cada debilidad identificada en el ANALISIS DE FORTALEZAS y DEBILIDADES (explicado en

el punto 4), propone mejoras. De la misma forma, por cada mejora planteada, se deben identificar
los riesgos relacionados o aquellos eventos adversos a los que está expuesta cada mejora. El CCI
podría considerar invitar a algún otro funcionario para la realización de esta tarea.

6. CALIFICACION DE RIESGOS

Para calificar los riesgos se realizarán dos análisis: uno sobre la probabilidad (P) de ocurrencia del
riesgo (o frecuencia) y otro sobre el impacto (I) o potencial pérdida que puede causar en caso se
materialice el riesgo. Se utiliza una combinación de escalas cualitativas y cuantitativas para cada
riesgo identificado, que se construyen en función a las características de los procesos. En tal sentido,
la calificación del riesgo se obtiene al multiplicar el valor asignado a cada una de estas dos variables.

Calificación del riesgo

P x I = Riesgo

La entidad determina qué combinaciones de P e I utilizará en la determinación de sus riesgos.

196
A continuación se presenta un ejemplo a escala del 1 al 9:

En la escala de medida cualitativa de probabilidad se deberán establecer las categorías

a utilizar y la descripción de cada una de ellas, como se aprecia en la tabla siguiente:
Valor Categoría Definición
Es muy frecuente la materialización del riesgo o se presume que llegará a
3 Probable materializarse.

Es frecuente la materialización del riesgo o se presume que posiblemente

2 Posible se podrá materializar.

Es poco frecuente la materialización del riesgo o se presume que no

1 Improbable llegará a materializarse.

El mismo diseño se aplica para la escala de medida cualitativa de impacto,

estableciendo las categorías y la descripción, como se muestra en la tabla siguiente:
Valor Categoría Definición
Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la
3 Alto entidad.

Si el hecho llegara a presentarse, tendría medio impacto o efecto sobre la

2 Medio entidad.

Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la

1 Bajo entidad.

197
5. PROPUESTA DE MEJORAS Y DETERMINACION DE RIESGOS

El CCI por cada debilidad identificada en el ANALISIS DE FORTALEZAS y DEBILIDADES (explicado en

el punto 4), propone mejoras. De la misma forma, por cada mejora planteada, se deben identificar
los riesgos relacionados o aquellos eventos adversos a los que está expuesta cada mejora. El CCI
podría considerar invitar a algún otro funcionario para la realización de esta tarea.

6. CALIFICACION DE RIESGOS

Para calificar los riesgos se realizarán dos análisis: uno sobre la probabilidad (P) de ocurrencia del
riesgo (o frecuencia) y otro sobre el impacto (I) o potencial pérdida que puede causar en caso se
materialice el riesgo. Se utiliza una combinación de escalas cualitativas y cuantitativas para cada
riesgo identificado, que se construyen en función a las características de los procesos. En tal sentido,
la calificación del riesgo se obtiene al multiplicar el valor asignado a cada una de estas dos variables.

Calificación del riesgo

P x I = Riesgo

La entidad determina qué combinaciones de P e I utilizará en la determinación de sus riesgos.

198
A continuación se presenta un ejemplo a escala del 1 al 9:

En la escala de medida cualitativa de probabilidad se deberán establecer las categorías

a utilizar y la descripción de cada una de ellas, como se aprecia en la tabla siguiente:
Valor Categoría Definición
Es muy frecuente la materialización del riesgo o se presume que llegará a
3 Probable materializarse.

Es frecuente la materialización del riesgo o se presume que posiblemente

2 Posible se podrá materializar.

Es poco frecuente la materialización del riesgo o se presume que no

1 Improbable llegará a materializarse.

El mismo diseño se aplica para la escala de medida cualitativa de impacto,

estableciendo las categorías y la descripción, como se muestra en la tabla siguiente:
Valor Categoría Definición
Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la
3 Alto entidad.

Si el hecho llegara a presentarse, tendría medio impacto o efecto sobre la

2 Medio entidad.

Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la

1 Bajo entidad.

199
La herramienta a utilizar es la matriz siguiente:
N° Identificación de riesgos de las Probabilidad Impacto Calificación
Mejoras

Con los datos de la última columna “Calificación”, se establece el Nivel de cada

riesgo, tal como se aprecia en el gráfico siguiente:
IMPACTO
1 2 3
BAJO MEDIO ALTO
3 6 9
3
Probable Riesgo moderado Riesgo Riesgo
importante inaceptable
PROBABILIDAD

2 4 6
2
Posible Riesgo Riesgo Riesgo
tolerable moderado importante
1 2 3
1
Improbable Riesgo aceptable Riesgo Riesgo
tolerable moderado
200
Para cada nivel de riesgo trazado en la matriz, se debe proponer una acción para
controlarlo, se puede tomar como referencia el cuadro siguiente:

NIVEL DE RIESGO DESCRIPCIÓN Y ACCIONES

Riesgo inaceptable Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y

reportados a la Alta Dirección.
Riesgo importante Se requiere atención de la Alta Dirección. Planes de tratamiento requeridos,
implementados y reportados a los jefes de las unidades orgánicas, entre otros.
Riesgo moderado
Deben ser administrados con procedimientos normales de control.

Menores efectos que pueden ser fácilmente remediados. Se administra con

Riesgo tolerable
procedimientos rutinarios.
Riesgo aceptable Riesgo insignificante. No se requiere ninguna acción.

Por último, se construye la Matriz de Riesgos, que agrupa toda la información trabajada:

Medida de Riesgo
N° Riesgo Probabilidad Impacto Calificación Nivel Acciones Responsable
control Residual

201
7. ELABORACION DE MAPA DE PROCESOS
De acuerdo a la metodología de la PCM, para elaborar el Mapa de Procesos a nivel 0 o de
Macroprocesos se deben seguir los pasos siguientes:

A. Construir la Matriz Cliente – Producto

La entidad debe identificar a todos los destinatarios de los bienes y servicios (clientes internos o
externos); los cuales deben listarse en la segunda columna denominada destinatarios de los
bienes y servicios. Cuando la entidad tenga diferentes tipos de bienes y servicios, los destinatarios
de éstos podrían agruparse en categorías (como se muestra en la primera columna de la tabla).

B. Determinar los procesos de la Entidad

La determinación debe hacerse mediante una relación simple o inventario de los procesos,
considerando que el proceso de Nivel 0, es el proceso más agregado.

Se empieza por el inventario de los procesos Nivel 0; luego, el inventario de procesos de Nivel 1, o
la desagregación del Proceso de Nivel 0. De igual forma, cada proceso de Nivel 1, se desagrega al
Nivel 2 y de esta manera hasta el nivel que la entidad considere, dependiendo de la complejidad
de cada proceso identificado. 202
C. Clasificar los Proceso nivel 0

Los procesos deben ser clasificados en: Procesos Estratégicos, Misionales u operativos y, de Apoyo
o Soporte. Para la clasificación de los procesos se debe realizar lo siguiente: *

En primer lugar, deben identificarse los procesos operativos o misionales que están orientados al
cumplimiento de la misión y lograr la satisfacción del ciudadano o destinatario de los bienes y
servicios. Para ser un proceso operativo o misional, debe considerar los siguientes factores:

 Influencia en la misión, estrategia, objetivos y metas

 Cumplimiento de requisitos legales o reglamentarios
 Influencia en la satisfacción del ciudadano o destinatario de los bienes y servicios
 Efectos en la calidad de los bienes y servicios
 Influencia en Factores Clave de Éxito
 Eficiencia en el uso de recursos

* Lineamientos para la implementación de la Gestión por Procesos y Documento orientador: Metodología para la
implementación de la Gestión por Procesos en las entidades de la administración pública en el marco del D.S. N° 004-2013-
PCM – Política Nacional de Modernización de la Gestión Pública al 2021
203
 ETAPA II. 3. DESCRIBIR LOS PROCESOS ACTUALES

a. Diagrama de bloques
El diagrama de bloques
se utiliza para mostrar la
desagregación del
Proceso de nivel 0 hasta
el último nivel de
desagregación (Nivel N).
Debe elaborarse tantos
diagramas de bloques
como procesos de nivel 0
se hayan definido.

204
 Priorización de Procesos
Una vez establecida la lista de los procesos por el
equipo de trabajo, se deberá identificar los procesos
críticos; para ello, el equipo debe calcular el impacto
del proceso, determinar una valoración de la
importancia del proceso, tomando en cuenta su
relación con los objetivos estratégicos y las metas
institucionales.

Una vez clasificados y cuantificados los riesgos, se

deben identificar los controles que permitirán mitigar
los riesgos, para esto se debe efectuar una evaluación
a la suficiencia mediante pruebas de cumplimiento.

205
Estos factores deben utilizarse en función de la naturaleza y particularidades de cada entidad. Una vez
identificados los procesos misionales, se determinará la secuencia de los mismos, para ello se debe
tener en cuenta las siguientes consideraciones: 1) El ciudadano o destinatario de los bienes y servicios;
2) Los elementos de entrada del proceso y ¿de dónde vienen?; 3)Las salidas o resultados del proceso y
¿a dónde van?; 4) Los recursos que emplea y ¿de dónde proceden? Y 5) ¿Qué procesos están
interactuando?
En segundo lugar, se identifican los Procesos Estratégicos y los Procesos de Apoyo o Soporte.

D. Elaborar el Mapa de Procesos Nivel 0

Es la representación gráfica de la secuencia e interacción de los diferentes procesos que tiene la
entidad, clasificados en procesos estratégicos, operativos o misionales y de apoyo o soporte, y de las
Fichas Técnicas de cada Proceso Nivel 0.
El Mapa de Procesos Nivel 0 de la entidad debe ser elaborado por la Oficina encargada del Desarrollo
Organizacional y Modernización o la que haga sus veces, de manera coordinada con todos los
responsables de la ejecución o desarrollo de los procesos, que también se denominarán dueños de los
procesos, quienes a su vez validarán el documento, el mismo que será revisado por el Secretario
General o el que haga sus veces y finalmente, será aprobado por el titular de la entidad.
**Entiéndase como dueño o responsable del proceso de nivel 0, al Director / Jefe / Gerente del área u órgano encargado de la ejecución o
desarrollo de un proceso y de garantizar que el producto sea ofrecido en las mejores condiciones al ciudadano o destinatario de dicho producto. 206
 ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0

a. Representación gráfica
La representación gráfica del
Mapa de Procesos Nivel 0
establece la interrelación y
secuencia de los Procesos
estratégicos, operativos o
misionales y de apoyo o soporte,
de igual forma muestra al
ciudadano o destinatario de los
bienes y servicios: al lado
izquierdo se debe mostrar a los
ciudadanos o destinatarios con
necesidades y al lado derecho se
debe mostrar a los ciudadanos o
destinatarios con necesidades
satisfechas.

207
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0
b. Ficha Técnica del proceso nivel 0
La Oficina Encargada del Desarrollo Organizacional y Modernización
(OEDOM) de la entidad debe elaborar una Ficha Técnica por cada proceso
de nivel 0, en coordinación con los dueños de los procesos, quienes
deben revisar y validar cada ficha técnica.
La Ficha Técnica del Proceso Nivel 0 describe los elementos que lo
conforman, con el objeto de facilitar su comprensión y mostrarlo con
claridad. Cada ficha técnica de proceso 0 debe contener como mínimo:

208
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0

209
ETAPA II. 2. ELABORAR EL MAPA DE PROCESOS ACTUALES – NIVEL 0

ii. Aprobación del Mapa de Procesos Una vez revisado y validado el

Mapa de Procesos actuales, la Secretaría General o la que haga sus veces,
presentará dicho documento al titular de la entidad para su respectiva
aprobación. El Mapa de Procesos, es un documento de gestión de la
210
entidad
 ETAPA II. 3. DESCRIBIR LOS PROCESOS ACTUALES
Para describir los procesos actuales, la entidad debe elaborar, revisar y aprobar
los Manuales de Gestión de Procesos y Procedimientos de cada uno de los
procesos de Nivel 0 que se hayan identificado en el Mapa de Procesos.
El Manual de Gestión de Procesos y Procedimientos, contiene la descripción del
proceso de nivel 0 desagregado hasta el nivel N.
Debe ser elaborado por los órganos o unidades orgánicas que realizan o
ejecutan el proceso, con asesoría de la Oficina encargada del Desarrollo
Organizacional y Modernización de la entidad, y será aprobado por el dueño del
proceso.
El Manual tiene como objetivo estandarizar en un documento descriptivo y
detallado las acciones que realiza una entidad, tiene un carácter instructivo e
informativo y debe garantizar la comprensión por todos los involucrados en
cada proceso y facilitar la adaptación de nuevos trabajadores para el desarrollo
de sus funciones. De igual forma debe guardar coherencia con los respectivos
dispositivos legales y normas administrativas que regulan el funcionamiento de
una entidad y sirven como elementos de análisis para la mejora continua de los
procesos y la mejora de la comunicación al interior de la entidad. 211
 ETAPA II. 3. DESCRIBIR LOS PROCESOS ACTUALES
Para describir cada proceso de nivel 0, se debe identificar todos los
procesos de nivel 1, 2, 3…, N, que lo conforman.
Luego, se debe elaborar una Ficha de proceso para cada nivel 1, 2, 3…,
hasta el penúltimo nivel. Para cada uno de los últimos niveles de
proceso identificado (nivel N) se desarrolla su Ficha de Procedimiento
y Diagrama de Flujo correspondiente.
La elaboración de cada Manual está a cargo de todos los involucrados
de la ejecución del proceso o procedimiento.
Para describir los procesos de nivel 1, 2, hasta el penúltimo nivel de
desagregación, se utilizará una Ficha de procesos por cada nivel
desagregado.
Para describir el último nivel del proceso se elabora el diagrama de
flujo y la ficha de procedimiento o descripción narrativa, los cuales se
complementan y muestran cómo funciona el proceso de último nivel
identificado.
212
 ETAPA II. 3. DESCRIBIR LOS PROCESOS ACTUALES

i. Contenido del
Manual
Los Manuales deben ser
de fácil manejo e
identificación, para lo
cual las entidades deben
definir criterios de
codificación de cada
Manual, así como
precisar la versión de
actualización con una
lógica de mejora
continua. Los Manuales
presentarán los
siguientes elementos:
213
ETAPA II. 3. DESCRIBIR
LOS PROCESOS
ACTUALES

214
 ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Una gestión por procesos, en el enfoque de la gestión para
resultados, debe estar orientada al cumplimiento de los fines y
objetivos superiores de la entidad.

Para asegurar tal cumplimiento, es necesario medir y evaluar el

desempeño de toda la entidad porque le permite monitorear la
gestión a través de indicadores que reflejen el comportamiento de
sus variables, permitiendo identificar oportunidades de mejora,
tomar decisiones oportunas y encaminar a la entidad hacia el
cumplimiento de los objetivos trazados.

No es suficiente con tener un buen Mapa de Procesos y Manuales

coherentes para asumir que tenemos una buena gestión por
procesos, si la entidad no se “preocupa” por conocer sus resultados y
buscar su mejora de manera permanente.
215
 ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Es necesario analizar cada proceso con el fin de determinar la brecha
existente entre lo real y lo planificado.
Para analizar cada proceso empleamos los indicadores previamente
definidos en la Ficha del Proceso y Fichas de Procedimientos.

Un proceso puede tener más de un indicador, siempre y cuando aporten

información relevante sobre los resultados del mismo.
Es importante que los indicadores sean debidamente seleccionados. Tener
exceso de indicadores o indicadores que no aporten valor, sólo dificulta la
gestión.

Es importante que el dueño del proceso participe en la determinación de

sus indicadores, a fin de que se sienta comprometido con el cumplimiento
de los mismos.

216
 ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Los pasos a seguir en la determinación de los indicadores de un
proceso son los señalados en el siguiente gráfico:

217
 ETAPA III. 1. MEDIR. ANALIZAR Y EVALUAR LOS PROCESOS
Para definir los indicadores se utiliza una ficha que permite describir
sus factores relevantes, que como mínimo debe contener los
elementos que se muestran a continuación:

Los indicadores ayudan a detectar la brecha entre lo planificado y lo

obtenido, esto implica que cada uno tenga una Meta.
218
 ETAPA III. 2. MEJORAR LOS PROCESOS
Tomando en cuenta el Ciclo PHVA (Planear, Hacer, Verificar y Actuar), tanto la
Planificación, el Hacer y la Verificación incorporan acciones de mejora las cuales
se deben concretar en el paso Actuar.
La clave para la mejora de los procesos está en el adecuado establecimiento de
los indicadores de desempeño principales, en la revisión y análisis de los
resultados y en las acciones que se adopten para resolver los problemas.
Cuando analizamos la información recogida en el seguimiento del proceso, los
indicadores nos permitirán detectar:
• ¿Qué procesos no alcanzan los resultados planificados?
• ¿Cuáles son los problemas que impiden alcanzar tales resultados?
Luego de determinar los problemas deben analizarse y eliminar la causa raíz de
los mismos.
Para la identificación de las causas pueden emplear diferentes herramientas
como: Lluvia de Ideas, Técnica de los 5 ¿por qué?, Diagrama de Pareto, Gráficos
de control, Histograma, Diagrama de Causa y Efecto y Análisis del Modo y
Efecto de Fallas (AMEF). Finalmente deben implementarse las acciones
correctivas y verificar su eficacia. 219
 ETAPA III. 2. MEJORAR LOS PROCESOS
Algunos ejemplos de mejoras de
desempeño son: simplificar el
proceso, innovar el proceso,
aumentar su eficiencia, mejorar su
eficacia y reducir tiempos.
La mejora continua del desempeño
de la entidad debe ser un objetivo
permanente de ésta, lo cual se verá
reflejado en la simplificación
administrativa, que es una forma de
mejorar, y a su vez esto podría llevar
a la entidad a modificar su
organización institucional.
En el siguiente gráfico se puede
apreciar los elementos del proceso
en relación al ciclo PHVA
220
 ETAPA III. 3. DOCUMENTACION DE LOS PROCESOS MEJORADOS
Una vez mejorados los procesos, éstos serán actualizados conforme se
describe en los numerales 3.2 Elaborar el Mapa de Procesos actuales y
3.3 Describir los Procesos actuales.
En caso de modificarse y aprobarse alguna disposición que afecte directa
o indirectamente el desarrollo de los procesos, la Oficina encargada del
Desarrollo Organizacional y Modernización de la entidad debe impulsar
la revisión y mejora del proceso afectado, así como la actualización de
los documentos (Mapa de procesos y Manuales de Gestión de Procesos y
Procedimientos).
La Oficina encargada del Desarrollo Organizacional y Modernización de la
entidad es la responsable de custodiar todos los documentos que se
originen de la gestión por procesos, así como realizar acciones de
seguimiento, revisión y mejora de procesos; y actualización de los
documentos correspondientes.

221
 ETAPA III. 4. INSTITUCIONALIZAR LA GESTION POR PROCESOS
El Mapa de Procesos de la entidad, al ser un documento de gestión,
una vez aprobado, debe publicarse en el Portal de Transparencia
Estándar.
Cada entidad debe definir los criterios de difusión de sus respectivos
Manuales. La entidad debe incorporar en el Plan Operativo
Institucional (POI), actividades relacionadas al plan de trabajo
institucional, la implementación, seguimiento, revisión, mejora y
actualización de los documentos (Mapa de Procesos y de los
Manuales).
Una estrategia de institucionalización debe estar orientada a
convertir la gestión por procesos en práctica usual en la entidad.
Asimismo permitir identificar los avances y las brechas existentes a
fin de asegurar los avances y trabajar en la corrección de las brechas.

222
 ETAPA III. 4. INSTITUCIONALIZAR LA GESTION POR PROCESOS
Se sugiere que luego de lograr avances relevantes se adopten acciones
orientadas a lograr la sostenibilidad de los mismos, considerándose la
formalización de los avances para evitar retrocesos La estrategia de
institucionalización debe considerar lo siguiente:
 Revisión de todos los pasos de la implementación de la Metodología
 Identificación de las fortalezas y debilidades
 Tener en cuenta la percepción de los funcionarios
 Definir acciones clave para corregir las brechas
 Identificar evidencias de avances
 Formalizar a través de normas internas los avances logrados
El Mapa de Procesos y los Manuales de Gestión de Procesos y
Procedimientos, deberán ser considerados como insumo para la revisión y
actualización de los instrumentos de gestión como el Reglamento de
Organización y Funciones (ROF), el Manual de Perfiles de Puestos (MPP), el
Texto Único de Procedimientos Administrativos (TUPA), el Cuadro de
Puestos de la Entidad (CPE), entre otros.
223
 FASE DE EJECUCIÓN – Etapa IV Cierre de brechas
El desarrollo de esta fase permite dar cumplimiento al plan de trabajo
formulado por la entidad, es decir, implementar las acciones traducidas en
protocolos, lineamientos, políticas por componentes de SCl, entre otros, con
el fin de cerrar las brechas identificadas en la fase de planificación,
comprende la etapa siguiente:

Etapa lV - Cierre de brechas

Corresponde a la ejecución de las acciones formuladas en el plan de trabajo,
a fin lograr el fortalecimiento de la gestión de la entidad, para lo cual se
lleva a cabo las siguientes actividades:

Actividad 7: Ejecutar las acciones definidas en el plan de trabajo

El Titular de la entidad dispone la implementación del plan de trabajo en los
plazos establecidos en el mismo.
Cada área, dependencia o unidad orgánica de la entidad cumple con
implementar las acciones asignadas de acuerdo a su competencia,
incorporando estas actividades a sus planes operativos. 224
 FASE DE EJECUCIÓN – Etapa IV Cierre de brechas

El Comité, en coordinación con los equipos de trabajo

conformados por este, realiza el seguimiento al cumplimiento
del plan de trabajo.

Las acciones para el cierre de brechas que se ejecutan en esta

actividad consolidan la implementación del SCI en la entidad. Es
decir, que los controles existan, estén formalizados y estén
operando en la entidad.

La Contralarla verifica los avances e implementación del SCI

mediante mediciones periódicas respecto al nivel de madurez
del SCI que se realiza mediante el aplicativo informático
Seguimiento y Evaluaci6n del Sistema de Control lnterno.
225
 Actividad 7. Cierre de Brechas (Ejemplo)

COMPONENTE: AMBIENTE DE CONTROL

PRINCIPIO DE C.I. DOCUMENTO DE GESTION EVIDENCIA DE CUMPLIMIENTO
1. Actas de Compromiso suscritas El Acta de Compromiso del titular y todos los ejecutivos de la entidad
para apoyar la implementación del SCI fue suscrita el 10.Dic.2017.
Las Actas indivduales de los miembros del CCI fueron siscritas en la
misma fecha
2. Acta de charla de sensibilización sobre Control Las charlas de sensibilización sobre Control Interno, se realizaron
Interno, acompañado de un registro de entre el … y el……, según Acta de fecha…. Y listas de asistencia
participantes con las firmas correspondientes. firmadas.
3. Enunciado de la declaración de Misión, Visión y La Misión, Visión y Valores intitucionales fueron aprobadas mediante
1. La entidad demuestra Valores Resolución ……….. N° ……… de fecha ……...
4. Difusión del Acta de Compromiso El Acta de Compromiso fue difundida internamente mediante su
compromiso con la
inclusión en el sistema Intranet y externamente a traves de la página
integridad y los valores web de la institución, en la misma fecha de su suscripción
éticos. 5.Código de Etica Institucional aprobado, vigente y El Código de Etica institucional fue apobado mediante Resolución del
difundido Titular N° ….. de fecha …..…. y difundida a través de la Intranet, paneles
murales, tripticos y conversatorios. Se encuentra vigente,
6. Registro de Sanciones de Destitución y Despido Se aperturó el Registro de Sanciones de Destitución y Despidos,
actualizado sedesignó al funcionario responsable de su mantenimiento
actualizado,
7. Declaración Jurada de sujeción al Código de Etica Junto con la difusión del Código de Etica institucional, se obtuvo la
en legajos de los fucionarios y servidores de la Declaración Juradada de sujeción por parte de los funcionarios y
entidad servidores, las mismas que obran en los legajos correspondientes.
226
 FASE DE EVALUACIÓN – Etapa V Reportes de evaluación y mejora
continua
Comprende las actividades enfocadas a viabilizar la evaluación periódica,
implementación del SCl, asi como su mejora continua y difusión de los logros
alcanzados al interior de la entidad

Actividad 08: Elaborar reportes de evaluación respecto a la implementación del SCI

En la fase de planificación, el Comité elabora un reporte de evaluación al término de
cada una de sus etapas, de acuerdo al formato establecido en el Anexo N" 01.
En la fase de ejecución del plan de trabajo, de acuerdo al formato establecido en el
Anexo N" 02

Los reportes de evaluación de las fases de planificación y ejecución, visados y

suscritos por cada miembro del Comité, se remiten al Titular de la entidad para que
tome conocimiento del estado situacional y disponga las acciones que correspondan.
Asimismo, se registran en el aplicativo informático Seguimiento y Evaluación del
Sistema de Control lnterno. 227
228
229
 FASE DE EVALUACIÓN – Etapa V Reportes de evaluación y
mejora continua

Actividad 09: Elaborar un informe final

Al término del plazo de implementación del Sistema de Control
lnterno, el CCI elabora un informe final que recoja la información del
proceso de implementación del SCI de la entidad, de acuerdo al
formato establecido en el Anexo N" 03.

El informe final visado y suscrito por cada miembro del Comité, se

remite al Titular de la entidad para que tome conocimiento de la
implementación y garantice la continuidad del Control lnterno en la
entidad.

Asimismo, se registra en el aplicativo informático Seguimiento y

Evaluación del Sistema de Control lnterno. 230
231
FASE DE EVALUACIÓN – Etapa V Reportes de evaluación
y mejora continua
Actividad 10: Retroalimentar el proceso para la mejora
continua del SCI

Con la información obtenida de los reportes de evaluación, el

Comité retroalimenta de manera constante el proceso de
implementación del SCl, con la finalidad de contrastar lo
planificado para la implementación con lo efectivamente
realizado, a fin que la entidad alcance el nivel de mejora
continua de su SCI y afiance las fortalezas de la entidad para
lograr la eficiencia, eficacia y transparencia de la gestión de la
entidad.

232
APLICACIÓN DE CASO
PRACTICO

233
 CASO PRACTICO EN ENTIDAD PUBLICA
Metodología para gestionar las respuestas Se aplica como herramienta
clave de supervisión basada en riesgos de cualquier organización
administrativa, bancaria, financiera, comercial o de servicios, pero no
hospitales o en aquellas de naturaleza industrial, petrolera o minera, ya
que la misma permite efectuar una evaluación cuantitativa y cualitativa
de los riesgos inherentes a cada unidad del negocio o actividad
significativa y la determinación del perfil de riesgo de la institución.

Es ideal aplicar esta metodología en cualquier organización en la que nos

preocupe el desarrollo de planes de continuidad de operaciones (Planes
BCM Business Continued Managment) sin afectar a los procesos de
producción o desarrollo de actividades misionales; es decir riesgos como
un sabotaje, fuga de información, amenaza de bomba, u otro tipo de
amenaza habrá que tenerlo previsto y estudiado, más que el riego mismo
la respuesta que vamos a dar y el control que vamos a establecer para
garantizar esa continuidad.
234
 CASO PRACTICO EN ENTIDAD PUBLICA
a) Identificación de actividades y riesgos.- En primer lugar se hace una lista o
inventario de actividades y riesgos, es decir aquellos riesgos identificados que
creemos pueden afectar a nuestra organización; supongamos una entidad pública
puede ser victima de un atentado, un acto de sabotaje, un incendio provocado, o
errores administrativos u operacionales, etc.

b) Factores de riesgo o riesgos inherentes.- Luego se deben identificar las fuentes

o factores que intervienen en su manifestación y severidad

c) Probabilidad de ocurrencia.- El siguiente paso consiste en determinar la

probabilidad de que el riesgo ocurra y un calculo de los efectos potenciales sobre
la organización.

Probabilidad de ocurrencia Efecto o Impacto

Baja Baja
Media Media
Akta Akta 235
 CASO PRACTICO EN ENTIDAD PUBLICA
d) Valoración del riesgo
Una vez que se ha analizado la probabilidad y el impacto, hacemos
una valoración de los mismos, utilizando las tablas con los valores
que previamente se han establecido, definimos si se trata de un
riesgo insignificante de valor 1 y el color que ahí vemos o se trata e
un riesgo inaceptable valorado en 12 “alto” en color rojo; y entre el
verde y el rojo hay una gama de colores que nos va a permitir
tener una visión rápida de la magnitud del riesgo por el propio
color,
Valorización del riesgo en función de probabilidad e impacto

Probabilidad de ocurrencia
Impacto Baja 1 Media 2 Alta 3
Alto 4 4 8 12
Medio 2 2 4 6
Bajo 1 1 2 3
236
 CASO PRACTICO EN ENTIDAD PUBLICA
Frente a esta probabilidad de ocurrencia y el impacto que hemos
determinado de modo muy sencillo, tenemos la respuesta.

Probabilidad de ocurrencia
Valorización del riesgo en función de la probabilidad e impacto Baja
Media
Probabilidad de ocurrencia Akta
Impacto Baja 1 Media 2 Alta 3
Alto 4 4 8 12
Efecto o Impacto Medio 2 2 4 6
Baja
Media
Bajo 1 1 2 3
Akta

Qué evaluación vamos a hacer en la gestión de la respuesta?

237
 CASO PRACTICO EN ENTIDAD PUBLICA
e) Evaluación de la calidad de la gestión
Una vez que los riesgos han sido valorizados se procede a evaluar la
calidad de la gestión a fin de determinar cuan eficaces son los controles
establecidos por la organización para mitigar los riegos identificados.
Para ello estimaremos que la efectividad será 1 si el control es poco o no
existe algún control y diremos que la efectividad es 5 si el control va a
ser destacado.

Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5

A
238
 CASO PRACTICO EN ENTIDAD PUBLICA
f) Nivel de Riesgo
Por ejemplo, qué diremos ante el riesgo de bomba?, pues veremos que podemos
hacer para que la valoración de la efectividad de la respuesta sea “alta”. Primero
deberemos recurrir a las tablas de probabilidad e impacto que hemos visto.
Así, en el caso de amenaza de bomba, por la probabilidad y el impacto que el aviso
de bomba podría causar en la organización, estimaríamos una probabilidad baja
pero un impacto alto, la combinación de esos valores nos da 4 es decir un riesgo
moderado y lo vamos a registrar en un nivel de 4.
Control de Gestión

Actividad Nivel de Riesgo Tipo de medidas Riesgo Residual

Efectividad Promedio
de control

Capacitación

Grabación y
Aviso de bamba 4
registro de
llamadas

Alarma

239
 CASO PRACTICO EN ENTIDAD PUBLICA
Una vez establecido el valor del riesgo, en este caso moderado según la
probabilidad e impacto, debemos razonar qué acciones, medidas o controles
debemos realizar para darle una respuesta adecuada al riesgo de bomba.
Pensemos en capacitar al personal para que sepan como actuar frente a una
llamada de bomba, pero esto no nos garantiza una alta efectividad por lo que le
damos un valor “bajo” de efectividad 2;

Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capacitación 2
Grabación y
Aviso de
4 registro de
bamba
llamadas

Alarma 240
 CASO PRACTICO EN ENTIDAD PUBLICA
……. pero podríamos hacer más, por ejemplo podríamos disponer de equipos de
grabación que registren debidamente las llamadas para intentar identificar la voz o
identificar algún sonido que permita después por medios policiales identificar de
donde procede la llamada de bomba; aún así, consideramos que nuestra
efectividad de gestión va a ser media (3), no esta mal pero no es suficiente; vamos
a adicionar otro tipo de medida de control como la alarma, a lo mejor disponiendo
de un buen sistema de alarma, un buen equipo de evacuación y que el personal
esté organizado y ordenado para evacuar el edificio, podemos considerar que esta
medida podría tener una efectividad alta por lo que le asignamos 4.
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capacitación 2
Grabación y
Aviso de
4 registro de 3
bamba
llamadas
241
Alarma 4
 CASO PRACTICO EN ENTIDAD PUBLICA
g) Riesgo neto o residual
No obstante, para este riesgo de llamada de bomba hemos elegido tres medidas
de control con valores de efectividad de 2, 3 y 4 que suman 9; el promedio
calculado de la efectividad de las tres medidas 9 dividido entre 3, nos da una media
con valor de 3.* como vemos en la columna “promedio”
Ahora: cual es el riesgo residual que queda de este riesgo de bomba?,
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas

Alarma 4

**Teniamos un riesgo de bomba de valor 4, y hemos logrado una efectividad promedio

de 3; entonces dividiendo el nivel de riesgo 4 entre el promedio de efectividad 3
tenemos un valor residual de 1,3 242
 CASO PRACTICO EN ENTIDAD PUBLICA
Esto quiere decir que en el riesgo de aviso de bomba tenemos un nivel de calidad
de gestión de 1,3, o sea que todo valor residual que esté por encima de 1 significa
que aún son insuficientes las medidas adoptadas; en contrario, todo valor residual
por debajo de 1 significa que nuestra gestión de riesgos está en un nivel de calidad
aceptable pero que cuanto más baje y se acerque a 0 es mejor.

Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas

Alarma 4

Hemos analizado un riesgo, así se deben analizar todos los riesgos identificados; por
ejemplo analicemos el riesgo de incendio:
243
 CASO PRACTICO EN ENTIDAD PUBLICA
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capacitación 2
Grabación y
Aviso de
4 registro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
llamadas

Alarma 4
Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención

Alarma 4

Hemos valorado el riesgo de incendio en un nivel de riesgo” bajo” con un valor de 2; y

hemos establecido tres medidas de control con efectividad de 2, 4 y 4
respectivamente, lo que suma 10 de efectividad que dividido entre 3 medidas de
control nos da un valor promedio de 3,3. 244
 CASO PRACTICO EN ENTIDAD PUBLICA
De igual manera, el nivel de riesgo del incendio valorado en 2 se divide entre el
promedio de efectividad de las medidas de control que es 3,3 nos arroja un Riesgo
Residual con valor de 0,6.

Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención

Alarma 4
245
 CASO PRACTICO EN ENTIDAD PUBLICA
Perfil de Riesgos
Hemos evaluado como ejemplo los riesgos de bomba e incendio, pero pueden haber más
riesgos. Esto nos sirve como referencia para determinar el Perfil de Riesgos de la entidad,
sumando los valores de todos los riesgos residuales y hallando la media, que para el
ejemplo nos muestra un Perfil de Riesgo con un valor de 0,95

Capacitación 2
Constitucion
de equipos
4
Incendio 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
intervención

Alarma 4

1,3 + 0,6 / 2 =
Perfil de Riesgos (Riesgo Residual Total)
0,95 246
 CASO PRACTICO EN ENTIDAD PUBLICA
Hemos analizado como ejemplo los riesgos de bomba e incendio, pero así pueden haber
muchos riesgos identificados que pueden ser 5, 10 ó 15 que deben ser evaluados. Esta
metodología nos permite ver en sucesivas revisiones como va evoluionando el perfil de
riesgos de la organización y como este va bajando a medida que se va adoptando una mas
efectiva calidad en la gestión es decir cuando se mejora el tipo de medidas de control se
mejora la calidad de gestión, mejorando la calidad de gestión se va bajando el perfil de
riesgos .
Control de Gestión
Nivel de Tipo de
Actividad Riesgo Residual
Riesgo medidas de Efectividad Promedio
control

Capaci taci ón 2
Gravaci ón y
Avi so de
4 regi stro de 3 (*) 9/3 = 3 (**) 4/3 = 1,3
bamba
l l amadas

Al arma 4

Capaci taci ón 2
Consti tuci on
de equi pos
4
Incendi o 2 de 1a y 2a (*) 10/3 = 3,3 (**) 2/3,3 = 0,6
i ntervenci ón

Al arma 4

1,3 + 0,6 / 2 =
Perfil de Riesgos (Riesgo Residual Total)
0,95 247
FIN DE LA EXPOSICION

248
MUCHAS
GRACIAS

249