Beruflich Dokumente
Kultur Dokumente
Versin 0.2
IMPLANTACIN, MANTENCIN Y
MINISTERIO
ACTUALIZACIN DEL PROCESO DE SECRETARA GENERAL
DE LA PRESIDENCIA
GESTIN DE RIESGOS EN EL SECTOR
PBLICO
TABLA DE CONTENIDOS
MATERIAS PGINA
PRESENTACIN 3
I.- INTRODUCCIN 4
VII.- BIBLIOGRAFA 56
1
Consejo de Auditora Interna General de Gobierno
ANEXO N 14: SEALES DE ALERTA LA/FT/DF NO ASOCIADAS CON LOS RIESGOS 117
INCLUIDOS EN LA MATRIZ DE RIESGOS ESTRATGICA
2
Consejo de Auditora Interna General de Gobierno
PRESENTACIN
3
Consejo de Auditora Interna General de Gobierno
I.- INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que las organizaciones gubernamentales mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
es necesario que las organizaciones gubernamentales, mantengan y mejoren las actividades
del Proceso de Gestin de Riesgos que se viene desarrollando en la Administracin del Estado
desde el ao 2007. Lo anterior, considerando el levantamiento de procesos de la institucin o la
revisin del mismo; la identificacin, anlisis y valorizacin de los riesgos crticos y sus
controles y, en especial, la formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
pblico, las organizaciones gubernamentales podrn previa solicitud y aprobacin por parte del
Consejo de Auditora, proponer e implementar, si corresponde, un modelo de gestin de
riesgos basado principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos
aceptados, que estn adaptados a las caractersticas y particularidades especficas de la
organizacin y a los requerimientos del CAIGG.
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.
4
Consejo de Auditora Interna General de Gobierno
En lo que se refiere a la funcin de auditora interna, sta tendr un rol de apoyo para que la
Direccin pueda alinear el enfoque y las prcticas de gestin de riesgos con la norma NCh-ISO
31000:2012, as como contribuir a mantener estas prcticas alineadas de manera continua.
Adems, debe proveer aseguramiento a la Direccin sobre la efectividad de la gestin de los
riesgos, cuyos resultados en conjunto con las directrices emitidas por el Consejo de Auditora
Interna de Gobierno, servirn para retroalimentar el proceso.
En el presente documento se ha consolidado toda la informacin disponible referida al Proceso
de Gestin de Riesgos en el Sector Gubernamental, establecindose la siguiente estructura:
Como punto I esta introduccin; en el punto II se seala el objetivo general del documento;
en el punto III, la relacin con la Auditora de Aseguramiento del Proceso de Gestin de
Riesgos; en el punto IV, el marco metodolgico para el Proceso de Gestin de Riesgos bajo
NCh-ISO 31000:2012; en el punto V, se establecen conceptos bsicos y fundamentales de
la Gestin de Riesgos; en el punto VI se seala el anlisis de las fases del Proceso de
Gestin de Riesgos que deben ser aplicadas por las organizaciones gubernamentales;
tambin se seala en el punto VI, la necesidad que las organizaciones gubernamentales
enven al CAIGG los reportes derivados del Proceso de Gestin de Riesgos en los trminos,
plazos y formatos que esta entidad comunique oportunamente, y en el punto VII, se
presenta la Bibliografa que sustenta el presente documento.
Hay que relevar, que cada organizacin gubernamental debe tener implementado un Proceso
de Gestin de Riesgos que sea til para identificar y gestionar aquellos eventos que puedan
afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse
todas las fases que se definen en el presente Documento Tcnico, con la finalidad de tener una
gestin de riesgos slida. Peridicamente, el Consejo de Auditora podr solicitar algunos
reportes derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes la
organizacin gubernamental debe ejecutar la metodologa contenida en la presente gua, para
conseguir por una parte un Proceso de Gestin de Riesgos robusto funcionando en la
organizacin gubernamental y por otra, reportes de calidad, que entreguen informacin
adecuada para la Presidencia de la Repblica, para la coordinacin y gestin adecuada de los
diversos organismos del Gobierno.
5
Consejo de Auditora Interna General de Gobierno
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento del
Proceso de Gestin de Riesgos en la entidad.
En este marco, es necesario tambin, que los auditores internos entreguen aseguramiento
razonable a sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de
tratamiento de los riesgos identificados y presentados al Consejo de Auditora en forma
peridica. De esta manera, el auditor interno entregar su opinin acerca del tratamiento de los
riesgos crticos priorizados en la organizacin gubernamental y si los planes formulados han
logrado mitigar los riesgos hasta un nivel aceptable para la misma o si por el contrario se
requiere reformular dichas medidas.
6
Consejo de Auditora Interna General de Gobierno
La Norma NCh-ISO Gua 73:2012 define riesgo como el efecto de la incertidumbre sobre los
objetivos y destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales
eventos y consecuencias, o a una combinacin de ambos. Por su parte, en el Marco Integrado
de Control Interno COSO I (Versin 2013) el riesgo se define como la posibilidad
(probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto)
negativamente a la consecucin de los objetivos. La evaluacin del riesgo implica un proceso
dinmico e iterativo para identificar y evaluar los riesgos de cara a la consecucin de los
objetivos. Dichos riesgos deben evaluarse en relacin a unos niveles preestablecidos de
tolerancia. De este modo, la evaluacin de riesgos constituye la base para determinar cmo se
gestionarn. Una condicin previa a dicha evaluacin es el establecimiento de objetivos
asociados a los diferentes niveles de la entidad.
El Marco Integrado de Control Interno COSO I (Versin 2013) incluye adicionalmente a los
atributos clsicos de evaluacin de riesgos: probabilidad y consecuencia o impacto, dos nuevos
elementos a tener en cuenta; especficamente se incluye el concepto de velocidad y el de
persistencia de los riesgos:
2
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.
3
www.coso.org
7
Consejo de Auditora Interna General de Gobierno
4
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.
8
Consejo de Auditora Interna General de Gobierno
La gestin de riesgos debe considerar al definir los criterios de riesgo, el Apetito del Riesgo de
la organizacin gubernamental. Este concepto se ha definido en algunos marcos de control
interno y de gestin de riesgos como: la cantidad de riesgo, desde un punto de vista amplio,
que una organizacin est dispuesta o desea aceptar en la persecucin de valor7; el riesgo que
se est dispuesto a aceptar en la bsqueda de la misin/visin de la entidad8 o la cantidad y
tipo de riesgo que una organizacin desea retener o perseguir9. Esto es, cuanto riesgo se
puede aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar
un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El
apetito de riesgo debe ser revisado por la Direccin por lo menos una vez al ao, junto con la
estrategia de la organizacin y los procesos de planificacin.
Tambin hay que considerar el concepto de Tolerancia al Riesgo, que es el nivel aceptable de
la variacin alrededor del logro de un objetivo de negocio especfico, el que debe alinearse con
el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en
el cumplimiento de los objetivos y la atencin a los ciudadanos. Dicho de otra forma, la
tolerancia al riesgo es la cantidad mxima de un riesgo que una organizacin gubernamental
est dispuesta a aceptar para lograr sus objetivos.
Otro concepto importante que se debe considerar al definir los criterios, es la Capacidad de
Riesgo, que hace referencia a la cantidad y tipo de riesgo mximo que una organizacin
pblica es capaz de soportar en la persecucin de sus objetivos.
Los conceptos antes sealados deben ser considerados al implementar el Proceso de Gestin
de Riesgos, especialmente cuando las organizaciones gubernamentales formulen y presenten
para su aprobacin al Consejo de Auditora, un modelo adaptado a sus caractersticas y
necesidades especficas. Lo anterior, teniendo en cuenta que hay organizaciones
gubernamentales que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo
social potencialmente son ms riesgosas por el tipo de usuario vulnerable) y cada una tiene
niveles distintos de tolerancia y capacidad de riesgos.
Si bien existe una diversidad de modelos o framework para la gestin de riesgos, en principio
su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz
distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO
31000:2012.
7
Marco Integrado de Gestin de Riesgos COSO II.
8
Marco Integrado de Control Interno COSO I (Versin 2013).
9
NCh-ISO GUIA 73:2012.
9
Consejo de Auditora Interna General de Gobierno
La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en
cualquier momento, as como a las funciones especficas, proyectos y actividades.
Para que la gestin del riesgo sea eficaz, las organizaciones deberan cumplir en todos sus
niveles con los principios siguientes:
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeo. Por ejemplo, en lo referente a la salud y seguridad de las personas, al
cumplimiento de los requisitos legales y reglamentarios, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficiencia en las
operaciones, y a su gobernanza y reputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin
La gestin del riesgo no es una actividad independiente separada de las actividades y procesos
principales de la organizacin. La gestin del riesgo es parte de las responsabilidades de
gestin y una parte integral de todos los procesos de la organizacin, incluyendo la
planificacin estratgica y todos los procesos de la gestin de proyectos y de cambios.
La gestin del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas,
a priorizar las acciones y a distinguir entre planes de accin alternativos.
Los elementos de entrada del proceso de gestin del riesgo se basan en fuentes de
informacin tales como datos histricos, experiencia, retroalimentacin de las partes
interesadas, observacin, pronsticos y juicios de expertos. No obstante, quienes toman las
decisiones deberan informarse y tener en cuenta todas las limitaciones de los datos o modelos
utilizados, as como las posibles divergencias entre expertos.
10
Consejo de Auditora Interna General de Gobierno
La gestin del riesgo se alinea con el contexto externo e interno de la organizacin y con el
perfil del riesgo.
La gestin del riesgo permite identificar las capacidades, las percepciones y las intenciones de
las personas externas e internas que pueden facilitar u obstruir el logro de los objetivos de la
organizacin.
La gestin del riesgo est continuamente percibiendo los cambios y respondiendo a ellos.
Mientras ocurren eventos externos e internos, cambian el contexto y los conocimientos, se
realiza el monitoreo y la revisin de riesgos, surgen nuevos riesgos, algunos cambian y otros
desaparecen.
El xito de la gestin de riesgos depender de la efectividad del marco para manejar los
riesgos, que provee las bases y fundamentos que traspasa la organizacin en todos sus
niveles. El marco colabora en la gestin efectiva de los riesgos, a travs de procesos de
administracin de riesgos en varios escenarios y contextos de la organizacin gubernamental.
El marco asegura que la informacin derivada de ese proceso sea adecuadamente comunicada
y se utilice como una base para la toma de decisiones por parte de la autoridad y para la
rendicin de cuentas o accountability de las mismas.
11
Consejo de Auditora Interna General de Gobierno
forma crtica de acuerdo con esta norma, a fin de determinar si la gestin de riesgos ha sido
adecuada y eficaz.
El marco describe los elementos necesarios para la gestin de riesgos y la forma cmo estos
componentes se interrelacionan entre s, como se seala en el Cuadro N 1 a continuacin.
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
12
Consejo de Auditora Interna General de Gobierno
4.2.4.- Integracin en los Procesos de la Organizacin. La gestin del riesgo debera estar
integrada en todas las prcticas y procesos de la organizacin, de una manera que sea
pertinente, eficaz y eficiente. El proceso de gestin del riesgo debera formar parte de los
procesos de la organizacin, y no ser independiente de ellos. En particular, la gestin del riesgo
debera estar integrada en el desarrollo de la poltica, en la planificacin y revisin de la
actividad y la estrategia, y en los procesos de gestin de cambios.
4.2.5.- Recursos. La organizacin debera proporcionar los recursos adecuados para gestin
del riesgo.
4.3.- Implementacin del Marco de Trabajo de la Gestin del Riesgo y del Proceso de
Gestin del Riesgo
4.3.1.- Implementacin del Marco de Trabajo de la Gestin del Riesgo. Para esta actividad
la organizacin debera:
13
Consejo de Auditora Interna General de Gobierno
4.3.2.- Implementacin del Proceso de Gestin del Riesgo. La gestin del riesgo se debera
implementar de manera que se asegure que el proceso de gestin del riesgo, se aplica
mediante un plan de gestin del riesgo en todos los niveles y funciones pertinentes de la
organizacin, como parte de sus prcticas y procesos.
Con objeto de asegurar que la gestin del riesgo es eficaz y contribuye a ayudar al desempeo
de la organizacin sta debera:
Medir el desempeo de la gestin del riesgo respecto a los indicadores, que se revisan
peridicamente en cuanto a su idoneidad;
Medir peridicamente el progreso y las desviaciones respecto al plan de gestin del riesgo.
Revisar peridicamente si el marco de trabajo, la poltica y el plan de gestin del riesgo
siguen siendo apropiados, a la vista del contexto interno y externo de la organizacin;
Establecer informes sobre los riesgos, sobre el progreso del plan de gestin del riesgo y
sobre la forma en que se est siguiendo la poltica de gestin del riesgo; y
Revisar la eficacia del marco de trabajo de gestin del riesgo.
En base a los resultados obtenidos del monitoreo y de las revisiones, se deberan tomar
decisiones sobre cmo mejorar el marco de trabajo, la poltica y el plan de gestin del riesgo.
Estas decisiones deberan conducir a mejoras en la gestin del riesgo por parte de la
organizacin, as como a mejoras de su cultura de gestin del riesgo.
Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de
mayor o menor difusin, el Consejo de Auditora ha decidido utilizar un modelo genrico, que
recoge en su mayor parte los elementos del Proceso de Gestin de Riesgos contenidos en la
Norma NCh-ISO 31000:2012, que en su desarrollo y mejora a travs del tiempo permita a las
organizaciones gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese
necesario.
Las fases en que se desagrega dicho modelo genrico y que debern desarrollarse para
implementar el Proceso de Gestin de Riesgos en organizaciones gubernamentales, se
sealan a continuacin:
Evaluacin del Riesgo: La evaluacin del riesgo es el proceso global de identificacin del
riesgo, de anlisis del riesgo y de valoracin del riesgo.
14
Consejo de Auditora Interna General de Gobierno
Anlisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo. El anlisis del riesgo proporciona las bases para la
valoracin del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El
anlisis debera considerar el rango de consecuencias potenciales y cun probable es
que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir
un nivel estimado de riesgo segn la definicin de la organizacin. Adicionalmente se
debe identificar y analizar los controles mitigantes existentes.
Valoracin del Riesgo: Proceso de comparacin de los resultados del anlisis del
riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud es
aceptable o tolerable. Comprende comparar los niveles de riesgo encontrados contra los
criterios de riesgo aceptado preestablecidos por la organizacin, considerando el
balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar
mediante un ranking los riesgos analizados.
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
cambios que se puedan producir en el nivel de desempeo requerido o esperado y dar
cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin.
15
Consejo de Auditora Interna General de Gobierno
16
Consejo de Auditora Interna General de Gobierno
En los prrafos siguientes, se revisar cada una de las fases del Marco de Trabajo y del
Proceso de Gestin de Riesgos:
Desde el ao 2014, las actividades comprendidas en cada elemento del Marco de Trabajo de la
Gestin del Riesgo, se han venido implementando y actualizando en forma paralela y
complementaria con las actividades de implantacin del Proceso de Gestin de Riesgos
principalmente en base a la NCh-ISO 31000:2012. Lo anterior, es factible producto del nivel de
avance de las actividades y del actual estado de madurez que han alcanzado en su
funcionamiento los elementos y estructuras de gestin de riesgos que se han venido
implementando en base al Estndar Australiano/Neozelands AS/NZS 4360:1999 y a la Norma
Internacional ISO 31000:2009 en la administracin gubernamental desde el ao 2007.
Los elementos componentes del Marco de Trabajo de la Gestin del Riesgo fueron descritos en
este documento, en el punto V. N 4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012.
Como una fuente de informacin para el establecimiento del contexto interno y externo, se
sugiere utilizar como insumo los anlisis que se han realizado en la organizacin
gubernamental, en el marco del control de gestin, en las Definiciones Estratgicas (ver
Instrucciones para la Formulacin - Formulario A1 Ficha de Definiciones Estratgicas DIPRES),
ya que en ese mbito, se han examinado y definido la misin ministerial e institucional, visin,
ley orgnica, programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos
que pueden utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de
Programas, la Evaluacin de Impacto, entre otros antecedentes.
17
Consejo de Auditora Interna General de Gobierno
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad de la organizacin gubernamental, y que sea publicada y comunicada a travs de
todos los niveles de dicha organizacin, estableciendo responsables de las comunicaciones. En
Anexo N 1 se entrega un ejemplo de poltica de gestin de riesgos.
En esta fase debe definirse la poltica de gestin de riesgos y aprobarse por el Jefe de Servicio
mediante Resolucin. En el caso de estar dictada, debe revisarse, para determinar su
consistencia con las polticas y objetivos estratgicos de la organizacin gubernamental,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
10
NCH-ISO GUIA 73:2012
18
Consejo de Auditora Interna General de Gobierno
Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del
anlisis de riesgos.
11
Se hace de acuerdo a la mirada del Instituto de Auditores Internos Global (IIA).
19
Consejo de Auditora Interna General de Gobierno
i.- Metodologa
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
las organizaciones gubernamentales deberan tener realizada y respaldada a travs de
documentos formales, tales como; bases tcnicas, trminos de referencia, reglamentos y
normativas internas de los programas y servicios que entregan las instituciones.
20
Consejo de Auditora Interna General de Gobierno
Tal como se seal, hay que tener presente que muchos procesos inciden en forma indirecta
en el logro de los objetivos, ya que constituyen soporte para la realizacin de diversas acciones
de negocio, otros en cambio, inciden en forma directa. Debido a estas particularidades en la
organizacin, se ha estimado necesario formular un mtodo que permita distinguir entre el nivel
de contribucin o relevancia de cada uno de los procesos.
Escala para Medir el Nivel de Contribucin que Afecta el Cumplimiento del Objetivo
Estratgico
Clasificacin
Descripcin del Nivel de Contribucin Valor
del Nivel
A continuacin se presenta un esquema matricial que permite identificar los procesos crticos
de acuerdo con esta metodologa, al relacionar cada uno de los procesos de la organizacin
gubernamental con los objetivos estratgicos de la misma. El procedimiento especfico
corresponder al siguiente:
Una vez identificados todos los procesos que existen en la organizacin, se debe aplicar la
siguiente metodologa para determinar la priorizacin de los procesos en base a su nivel de
contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para
determinar cules sern los procesos crticos que se les realizar el modelamiento de riesgos.
21
Consejo de Auditora Interna General de Gobierno
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la organizacin gubernamental. Se analiza cada proceso en relacin con el
nivel en que aporta al cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o
Nulo, de acuerdo con la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2,0 y 3,0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
22
Consejo de Auditora Interna General de Gobierno
Ejemplo: Seleccin de procesos crticos en una organizacin que cuenta con tres objetivos
estratgicos:
Objetivos
Objetivo Objetivo Objetivo Nivel de contribucin Proceso
Estratgico Estratgico Estratgico promedio del seleccionado
Procesos 1 2 3 proceso al (2,0 3,0)
institucionales cumplimiento de los
objetivos
Abastecimiento 3 2 3 2,6 x
Financiero 2 1 0 1,0
Crediticio 1 2 1 1,6
Recursos Humanos 3 2 1 2,0 x
Comercializacin 1 2 1 1,3
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales de la organizacin gubernamental). Los
subprocesos corresponden a aquellos componentes principales en el desarrollo de los
procesos. Al igual que los procesos, los subprocesos que los componen pueden ser de diversa
importancia y tener distinta influencia en la generacin de los productos o servicios.
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la organizacin,
entre otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada organizacin gubernamental.
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
23
Consejo de Auditora Interna General de Gobierno
Se entender por objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso; si la
desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los
objetivos del proceso, subproceso o etapa estn establecidas a travs de documentos formales
(bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en
forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin
regulatoria y de soporte en los procesos.
Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del
riesgo, de acuerdo con la escala presentada en el Anexo N 5 de este documento). Evaluando
en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su
impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del
riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la
matriz de impacto y probabilidad que se expone ms adelante en este documento12.
Adicionalmente, a contar del ao 2016, para cada riesgo operativo relevante contenido en la
Matriz de Riesgos Estratgica, se analizan e identificarn si corresponde, seales de alerta
relacionadas con los delitos de lavado de activos (LA), financiamiento del terrorismo (FT) o
delitos funcionarios (DF), de acuerdo a lo sealado al punto 2.2.2.- Identificar Seales de Alerta
para Delitos LA/FT/DF, asociadas a los riesgos.
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
24
Consejo de Auditora Interna General de Gobierno
por riesgo, por etapa, por subproceso y por proceso (tablas para valuacin se presentan en el
Anexo N 5). Debe calcularse el riesgo ponderado por subproceso.
25
Consejo de Auditora Interna General de Gobierno
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos especficos informados por las
organizaciones gubernamentales con distintas denominaciones, pero que responden a una
misma raz.
Procesos Transversales
en la Administracin del Descripcin
Estado
Procesos de Negocio
Subsidios a privados de Se entienden aquellos cuyo objetivo es promover, mediante
fomento incentivos econmicos, que los particulares realicen por s mismos
actividades productivas.
Subsidios a privados social Se entienden como tales los procesos cuyo objetivo es la promocin
de ciertos objetivos sociales como la integracin, etc.
Transferencias a/de otras Son procesos en que, por ley o convenios, se entregan o reciben
26
Consejo de Auditora Interna General de Gobierno
Procesos Transversales
en la Administracin del Descripcin
Estado
entidades pblicas recursos de otro organismo del Estado.
Servicios de atencin al Procesos que se orienten a servir a todos los ciudadanos a travs de
ciudadano contraprestacin la entrega de atencin, servicios o productos.
Servicios de atencin social/ Procesos que se orienten a prestar una atencin de salud,
previsional /salud previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Crditos - recuperacin Se refiere a procesos de entrega de prstamos, incluyndose los
prestamos procesos de planificacin, ejecucin y cobranzas.
27
Consejo de Auditora Interna General de Gobierno
Procesos Transversales
en la Administracin del Descripcin
Estado
28
Consejo de Auditora Interna General de Gobierno
Procesos Transversales
en la Administracin del Descripcin
Estado
Administracin/mantenimiento Procesos de gestin de los recursos materiales de la organizacin
recursos gubernamental, inventario, baja y traslado.
Gestin documental Procesos de administracin, direccin, manejo, registro, archivo y
almacenamiento de documentacin de la organizacin
gubernamental, con o sin apoyo de sistemas informticos, referido
tanto a documentacin interna como externa de dicha organizacin.
Auditora Interna Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Recursos materiales Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza la organizacin gubernamental para cumplimiento
de sus objetivos.
Mejoramiento de la gestin Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Es necesario relevar que las organizaciones gubernamentales deben clasificar sus procesos
slo en una de las categoras antes definidas, basados en las caractersticas organizacionales
y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de
uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y
discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un
nuevo proceso transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir organizaciones
gubernamentales cuyos procesos de negocio correspondan a los que generalmente para las
dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de
recursos humanos, entre otros.
29
Consejo de Auditora Interna General de Gobierno
Considerando que no todos los subprocesos tienen la misma importancia estratgica dentro de
un proceso crtico, debe definirse por la direccin el peso relativo que cada subproceso tiene
dentro de un proceso crtico, esto atendiendo a la relevancia o importancia estratgica que
tiene cada subproceso en la consecucin exitosa de los objetivos de cada proceso crtico. Esta
ponderacin de los subprocesos debe ser justificada adecuadamente, considerndose para
esta labor algunas variables como las siguientes:
Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los
subprocesos, deber consultarse y discutirse con el respectivo asesor o sectorialista del
Consejo de Auditora.
30
Consejo de Auditora Interna General de Gobierno
13
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
31
Consejo de Auditora Interna General de Gobierno
En relacin a la fuente u origen de los riesgos, se puede sealar que existen riesgos de fuente
externa y riesgos de fuente interna14. Los riesgos de fuente externa, son aquellos que tienen su
origen en situaciones que estn fuera de la administracin y control de la organizacin
gubernamental, como los cambios polticos y sociales. Al contrario, son de fuente interna, los
que se originan al interior de la Organizacin, como los relacionados a las capacidades del
personal y a la efectividad de los sistemas de informacin.
14
Cfr. COSO II. Gestin de Riesgos Corporativos.
32
Consejo de Auditora Interna General de Gobierno
33
Consejo de Auditora Interna General de Gobierno
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo con
el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn sus
consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y ello
afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la imagen de
la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
34
Consejo de Auditora Interna General de Gobierno
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
15
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los
objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las
que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
35
Consejo de Auditora Interna General de Gobierno
Humanos
Sistemas de ..
Informacin
Contabilidad y ..
Presupuesto
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del control
realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin lo
realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
36
Consejo de Auditora Interna General de Gobierno
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es distinta a
la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la efectividad
del diseo, es decir, su periodicidad, oportunidad y automatizacin.
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante
clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto
estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las
entidades.
a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello
debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo, un
riesgo relacionado con la mala calidad de los datos e informacin de la organizacin
gubernamental, es un riesgo de origen interno, independientemente que la administracin
del sistema de informacin se haya externalizado, ya que el riesgo parte de una debilidad
37
Consejo de Auditora Interna General de Gobierno
interna. En cualquier caso, debe clasificarse slo en una fuente, no siendo vlido un riesgo
interno/externo, debiendo optarse por aquella fuente que tenga mayor importancia en el
origen del riesgo.
b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua
tcnica. Para ello, debe considerarse principalmente la causa del mismo. Por ejemplo, si se
identifica un riesgo de corrupcin o de falta de probidad en el personal, nos encontramos
con un riesgo que se clasifica en la tipologa personas an cuando sus consecuencias
afectan tambin a la imagen de la organizacin gubernamental.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora.
2.2.2.- Identificar Seales de Alerta para Delitos LA/FT/DF, asociadas a los riesgos
Este punto del documento ha sido formulado con el aporte de los especialistas de la Unidad de
Anlisis Financiero (UAF), con la finalidad de generar un procedimiento que permita cumplir
con los requerimientos del Oficio Circular N 20/2015 del Ministerio de Hacienda, respecto de
velar por la inclusin de los riesgos relacionados con el Sistema Preventivo y los derivados de
los cambios sobre Delitos LA/FT/DF, en los mapas de riesgos institucionales.
Anexo N 12. Conceptos sobre delitos de Lavado de Activos (LA), Financiamiento del
Terrorismo (FT) y Delitos Funcionarios (DF). Este contiene conceptos, descripciones y
definiciones bsicas sobre los delitos con los cuales se relacionan las seales de alerta.
Anexo N 13. Ejemplos de seales de alerta genricas para delitos LA/FT/DF. Este
contiene, solo a modo de ejemplo, algunas banderas rojas o seales de alerta genricas,
que se pueden identificar en las actividades operativas en cualquier organizacin y que
pueden ser indicativas, debiendo examinarse debidamente para ver si corresponden a
situaciones anmalas. Sin perjuicio de lo anterior, las seales de alerta, siempre deben ser
identificadas y analizadas de acuerdo al contexto del sector donde est incorporada la
organizacin.
Gua Seales de Alerta, publicada en la pgina web de la Unidad de Anlisis Financiera
(UAF); http://www.uaf.gob.cl/entidades/tipo_senales.aspx
Oficio Circular N 20/2015 del Ministerio de Hacienda. Orientaciones generales para el
Sector Pblico en relacin al inciso sexto del artculo 3 de la ley N 19.913.
Gua de Recomendaciones para el Sector Pblico en la implementacin de un sistema
preventivo contra los delitos funcionarios, el lavado de activos y el financiamiento del
terrorismo (Adjunta al Oficio Circular N 20/2015 del Ministerio de Hacienda).
Material del curso E-Learning para prevenir el lavado de activos y el financiamiento del
terrorismo en las Instituciones Pblicas, entregado por la Unidad de Anlisis Financiero
(UAF).
17
Las seales de alerta de delitos LA/FT/DF se pueden concebir como; indicadores, indicios, condiciones,
comportamientos o sntomas de ciertas operaciones o personal que podran permitir potencialmente detectar la
presencia de una operacin sospechosa de lavado de activos, delitos funcionarios o financiamiento del terrorismo
(Adaptado de definiciones realizadas por la Unidad de Anlisis Financiero (UAF), ver Anexo N 13.
38
Consejo de Auditora Interna General de Gobierno
b) Sin perjuicio de las seales de alerta de delitos LA/FT/DF incluidas en la Matriz de Riesgos
Estratgica, se deber adicionalmente:
Para levantar la informacin e informar del resultado del anlisis de los requerimientos de la
letra b) al CAIGG, se debe cumplir con lo dispuesto en el Anexo N 14. Seales de Alerta
LA/FT/DF No Asociadas con los Riesgos Incluidos en la Matriz de Riesgos Estratgica.
39
Consejo de Auditora Interna General de Gobierno
Analizar y/o actualizar los riesgos, con especial nfasis en los riesgos asociados con
aspectos estratgicos y financieros, considerando los recursos involucrados en los
procesos y subprocesos y el uso de los mismos.
Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias de
aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las auditoras
a los diversos procesos de la organizacin gubernamental.
Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos han
sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en consideracin
que muchas veces el mejoramiento de las TIC se realiza en etapas o actividades del
proceso, pero su influencia e impacto irradia la totalidad del mismo.
Analizar y/o actualizar los riesgos de la organizacin gubernamental, considerando los
nuevos enfoques y lineamientos del Gobierno, as como los cambios que experimentan los
riesgos identificados en aos anteriores.
Evaluar y determinar si es necesario actualizar las seales de alerta de delitos LA/FT/DF
que afectan a la organizacin, estn o no incluidas en la Matriz de Riesgos Estratgica.
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma directa,
de tal manera que los riesgos identificados impidan o dificulten el resultado esperado por la
organizacin gubernamental al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que hayan
afectado a la organizacin gubernamental (modificaciones presupuestarias, nuevos
objetivos, eliminacin de programas, entre otras situaciones); determinando si estos
controles estn documentados y si existe segregacin de funciones. Ver Anexo N 9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y cundo
lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu se hace) a
travs de comparar una muestra de al menos 30% de los contratos firmados con las
resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza por el Jefe
de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo hace) emitiendo
un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los riesgos
y controles.
18
Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.
40
Consejo de Auditora Interna General de Gobierno
Del Cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.
En el caso de los Procesos se utilizar como criterio para la confeccin del Ranking, el nivel de
exposicin al riesgo de los mismos. En cuanto a los subprocesos, se utilizar el criterio
asociado al nivel de exposicin al riesgo ponderada, esto es, el riesgo residual que subsiste
despus de aplicados todos los controles claves existentes. Para un adecuado desarrollo del
Proceso de Gestin de Riesgos, el nivel de exposicin al riesgo debe considerar la ponderacin
estratgica de subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica
que el criterio considerado para la evaluacin del riesgo es el de exposicin al riesgo
ponderada para los subprocesos (exposicin al riesgo x ponderacin estratgica). Esta
evaluacin se determina considerando los niveles de exposicin al riesgo de las etapas de
acuerdo al promedio aritmtico de los riesgos especficos de contiene cada una de las etapas
del Subproceso.
41
Consejo de Auditora Interna General de Gobierno
Para dar cumplimiento a esta tarea, la organizacin debe construir un Ranking de Riesgos en
base al nivel de exposicin al riesgo para los procesos crticos (promedio aritmtico de la
exposicin al riesgo de los subprocesos) y en base al nivel de exposicin al riesgo ponderado
para los subprocesos que componen dichos procesos:
En el Cuadro N 11 se presenta el esquema del anlisis a realizar para un proceso crtico que
fue desagregado hasta el nivel de riesgo operativo.
42
Consejo de Auditora Interna General de Gobierno
Una vez identificados los procesos crticos dnde se aplicarn primero las estrategias para
tratar los riesgos, se deben identificar en base al nivel de exposicin al riesgo ponderado, los
subprocesos que componen los procesos crticos donde se aplicarn en forma prioritaria las
estrategias.
Dentro de los subprocesos priorizados deben ser tratados los riesgos, correspondientes a las
actividades que se desarrollan al interior de todas las etapas que los componen, priorizados de
acuerdo al nivel de exposicin al riesgo para cada etapa.
Formar
Etapa 1 2,1 1
Parte del
Plan de
Subproceso 1 Tratamiento
1,8 1
a nivel de
1 Etapa 2 1,9 2 Subproceso y
Entrega a nivel de
Crditos Etapa
Subproceso 2
1,0 2
. . .
Subproceso 2 Etapa 2
1,7 1
Etapa 1
2
Subproceso 1 1,0 2
Capacitacin
. . .
No formar
parte del
Plan de
. . . .
Tratamiento
por razones
de costos
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
43
Consejo de Auditora Interna General de Gobierno
La Fase Tratamiento de Riesgos, implica que la direccin debe tomar todas las acciones
necesarias en forma concreta para administrar los riesgos una vez que han sido analizados y
priorizados en el ranking de riesgos.
Por la importancia que esta fase adquiere en un Proceso de Gestin de Riesgos en el Sector
Gubernamental, se ha estimado necesario entregar algunos elementos que permitan una mejor
comprensin de la misma.
Una vez evaluados y priorizados los riesgos en las fases respectivas, la direccin debe asumir
la realizacin de las acciones concretas necesarias para tratarlos y monitorearlos, generando
una respuesta lo suficientemente adecuada para mantener la exposicin del riesgo en un nivel
aceptado.
Sin perjuicio de lo anterior, en los casos con niveles de exposicin al riesgo de nivel Bajo,
pese a que se identificaran controles muy efectivos en relacin al riesgo, habr que analizar la
severidad del riesgo en forma individual, en especial, el nivel de impacto que se producira de
materializarse dichos riesgos. Tambin debe realizarse un monitoreo que permita actualizar el
impacto o probabilidad oportunamente.
La NCh-ISO 31000:2012 seala que el tratamiento del riesgo supone un proceso cclico de:
44
Consejo de Auditora Interna General de Gobierno
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM - COSO II, seala que existen
cuatro estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos,
desde el punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de
la exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no
afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta estrategia
en el sector pblico est muy limitada, ya que la mayora de su quehacer se encuentra
normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de una actividad,
generalmente no es una decisin que se pueda adoptar en forma independiente.
Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias del
riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la
efectividad del control asociado al riesgo.
Cuadro N 13: Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad
del Riesgo y de la Exposicin al Riesgo
EVITAR COMPARTIR
o Prescindir de las actividades de una unidad o Adoptar seguros contra prdidas inesperadas
de negocio, agencia regional o subsidiaria. significativas.
o Suspender la produccin de una lnea de o Establecer acuerdos con otras organizaciones
servicio o producto. gubernamentales o privadas.
45
Consejo de Auditora Interna General de Gobierno
o Terminar con las actividades de un programa, o Protegerse contra los riesgos utilizando
proyecto o sistema. instrumentos del mercado de capital a largo
o Decidir no emprender nuevas plazo, cuando se tenga autorizacin para ello.
iniciativas/actividades que podran dar lugar a o Externalizar procesos de negocio riesgosos
riesgos excesivos. siempre que no correspondan al ejercicio mismo
de sus facultades.
o Distribuir el riesgo mediante acuerdos
contractuales con entidades que acten como
clientes, proveedores u otros interesados.
REDUCIR ACEPTAR
Una vez conocidas las estrategias genricas para tratar los riesgos, es necesario a travs de la
evaluacin de los costos y beneficios potenciales, determinar qu estrategia va a utilizar la
organizacin gubernamental y hacia dnde orientarlas. Para ello, es necesario tener presente
algunas consideraciones:
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la Severidad
del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los controles.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
46
Consejo de Auditora Interna General de Gobierno
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de manera
de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deberan ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy limitada
en el sector pblico.
47
Consejo de Auditora Interna General de Gobierno
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que se
deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento que contendr las medidas a
adoptarse ante los riesgos crticos de la organizacin gubernamental. Se sugiere el uso del
formato del Cuadro N 15 siguiente:
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Efecto Periodo
Potencial en Medicin Evidencia
Ranking Descripcin
Proceso Fuente del Tipo de la Severidad Responsable del que se
de Riesgo Estrategia de la Indicador Meta
Transversal Proceso Riesgo Riesgo de Riesgo y/o de la Plazo Indicador Observar
Procesos Subproceso Etapa Especfico Genrica Estrategia a de Logro (16)
(1) (2) (7) (8) Efectividad Estrategia (13) (15) (17)
(3) (4) (5) (6) (9) Aplicar (14)
del Control (12)
(10)
(11)
48
Consejo de Auditora Interna General de Gobierno
Para esta fase del Proceso de Gestin de Riesgos, la organizacin gubernamental debe
establecer formalmente responsables del monitoreo y formular estructuras de reportes tiles a
la organizacin, que le permita a la direccin, obtener informacin relevante, en forma oportuna
y peridica sobre el estado de los riesgos en cualquier etapa del proceso.
Tambin se deben analizar y evaluar los controles existentes que contribuyen a asegurar el
cumplimiento de las medidas tomadas para mitigar los riesgos.
La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora
deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la
implantacin de las estrategias de tratamiento de los riesgos.
Sin perjuicio a que la Fase de Monitoreo y Revisin es transversal al resto de las fases del
Proceso de Gestin de Riesgos, se requiere que la organizacin gubernamental realice el
monitoreo en base al Plan de Tratamiento que defini. Se sugiere que se utilice el formato que
se seala en el siguiente Cuadro N 16.
Cuadro N 16: Formato Bsico para Informar del Monitoreo de las Estrategias de
Tratamiento de los Riesgos
Periodo de Resultados
Descripcin evaluacin de de la Evidencia del Proyecciones de
Proceso Recomendaciones
Riesgo Estrategia de la implementacin medicin de cumplimiento cumplimiento
transversal Proceso Subproceso Etapa (e)
especfico genrica estrategia a de la estrategia la metas (c) (d)
aplicar (a) (b)
49
Consejo de Auditora Interna General de Gobierno
Sin perjuicio que para efectos metodolgicos esta Fase se explicar ahora, en general es una
de las primeras que se debera desarrollar en la implantacin de un Proceso de Gestin de
Riesgos. En ella se desarrollarn planes de comunicacin y consulta, a travs de informar y
consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del
Proceso de Gestin de Riesgos. La informacin es identificada, capturada y comunicada de
manera que todos puedan cumplir con sus roles y deberes y para asegurarse que aquellos
responsables de la implementacin del Proceso y las partes interesadas comprenden las bases
que han servido para tomar decisiones y las razones por las que son necesarias determinadas
acciones.
La idea es que los interesados internos (la organizacin gubernamental) y los externos que
corresponda (Autoridades, Consejo de Auditora, etc.) estn informados de la marcha del
Proceso de Gestin de Riesgos y de qu manera se van implementando las medidas para el
tratamiento de riesgos. Para esto es importante que los informes y sistemas de informacin
ofrezcan suficientes datos relevantes para posibilitar una comunicacin y control eficaz.
Algunos ejemplos de criterios e indicadores (la organizacin gubernamental debe disear sus
propios indicadores de acuerdo a su naturaleza y necesidades) que pueden establecerse en
50
Consejo de Auditora Interna General de Gobierno
51
Consejo de Auditora Interna General de Gobierno
Posteriormente, se debera analizar, a una fecha dada, los resultados de la aplicacin de los
Planes de Comunicacin y Consulta y emitir un informe. Solicitar a los usuarios de la
informacin contestar algunas de las siguientes preguntas relacionadas con el contenido,
oportunidad, actualidad, exactitud y accesibilidad de los reportes internos y externos, puede ser
de utilidad para esta tarea. Entre otros se pueden considerar las siguientes:
52
Consejo de Auditora Interna General de Gobierno
y externa, obteniendo datos en lnea de las actividades del negocio y en particular del Proceso
de Gestin de Riesgos.
Es importante reiterar que el desarrollo de cada una de las fases del Proceso de Gestin de
Riesgos es en primer lugar responsabilidad del Jefe Superior de la organizacin gubernamental
y luego tambin es responsabilidad de todos los ejecutivos responsables de cada proceso y
finalmente de todo el personal. La auditora interna por su parte, debe apoyar a la referida
autoridad a coordinar la mantencin y mejoramiento del proceso y a monitorear su adecuado
avance en las diferentes fases, sin perjuicio de las actividades de aseguramiento contempladas
en el Plan Anual de Auditora aprobado por la Direccin.
20
Sin perjuicio de las actualizaciones posteriores que se requiera hacer al Plan de Comunicacin y Consulta.
53
Consejo de Auditora Interna General de Gobierno
De acuerdo con la NCh-ISO 31000:2012, las actividades de gestin del riesgo deberan ser
trazables. En el Proceso de Gestin del Riesgo los registros proporcionan la base para la
mejora de los mtodos y de las herramientas, as como del proceso en su conjunto.
Tipo de registro.
Contenido del registro.
Responsable del registro.
54
Consejo de Auditora Interna General de Gobierno
55
Consejo de Auditora Interna General de Gobierno
VII.- BIBLIOGRAFA
56
Consejo de Auditora Interna General de Gobierno
ANEXO N 1
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para la
gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
57
Consejo de Auditora Interna General de Gobierno
electrnico obliga a capacitar a nuestras usuarias en el uso y manejo de las tecnologas que les
permitan insertarse en el mundo de los negocios.
Consideramos que enfrentamos un gran desafo y estamos conscientes que debemos capacitar
a nuestras usuarias para que enfrenten el complejo mundo de los negocios, esto implicar una
gran inversin en recursos humanos y tecnolgicos y una constante medicin de nuestros
resultados, para determinar nuestros avances y retrocesos.
Para el Proceso de Gestin de Riesgos, se incorporarn todos los procesos que desarrolla la
organizacin, tanto aquellos de negocio, esto es, los que se relacionan directamente con el
cumplimiento de su Misin, como los de soporte.
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo).
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
58
Consejo de Auditora Interna General de Gobierno
ANEXO N 2
59
Consejo de Auditora Interna General de Gobierno
ANEXO N 3
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Estas directrices22 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
21
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
22
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
60
Consejo de Auditora Interna General de Gobierno
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
61
Consejo de Auditora Interna General de Gobierno
ANEXO N 4
Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos
crticos de la organizacin gubernamental y la identificacin de stos, sus subprocesos y
etapas, es posible sealar que un proceso, como concepto, es un conjunto de actividades,
tareas, eventos y responsabilidades que se realizan o suceden con un determinado fin, que
recibe uno o ms insumos o pasos (inputs) y crea un producto de valor para otro usuario o
cliente, formando una cadena orientada a obtener un resultado final (outputs). De su diseo y
documentacin depende el xito de la gestin en la organizacin.
Por consiguiente podemos identificar que los elementos bsicos de un proceso son:
En todo caso, perfectamente podran existir procesos crticos en que, por su naturaleza y
caractersticas particulares, no sea posible desagregarlos en subprocesos. En estos casos, el
anlisis se debe realizar en razn de las etapas que componen el proceso, ya que este
corresponde al mayor nivel de detalle posible de desagregacin.
Las etapas son las principales fases que componen un subproceso o proceso. stas se
conforman por una serie de actividades que se realizan con la finalidad de lograr el objetivo
perseguido en la etapa y que est directamente relacionado con los objetivos de los
subprocesos y el proceso.
62
Consejo de Auditora Interna General de Gobierno
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
63
Consejo de Auditora Interna General de Gobierno
E PROCESO CRTICO S
SUBPROCESO 1 . SUBPROCESO n
E S
T S E T
ETAPA 1
.
ETAPA n
. . .
E S
Actividad 1 Actividad 1
Actividad 2 Actividad 2
Actividad n Actividad n
Objetivos
operativos de la .
Objetivos
operativos de la . . .
etapa 1
etapa n
Riesgos
operativos de la .
Riesgos
operativos de la . . .
etapa 1 etapa n
Controles
mitigantes de
Controles
mitigantes de . . .
los riesgos
los riesgos
64
Consejo de Auditora Interna General de Gobierno
ANEXO N 5
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de
Casi certeza 5
seguridad que ste se presente en el ao en curso. (90% a 100%).
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
Probable 4
de seguridad que ste se presente en el ao en curso.
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65%
Moderado 3
de seguridad que ste se presente en el ao en curso.
2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de
Improbable
seguridad que ste se presente en el ao en curso.
Muy 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10%
improbable de seguridad que ste se presente en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen pblica
Catastrficas de la organizacin y del Gobierno. Su materializacin daara gravemente el desarrollo
5
del proceso y el cumplimiento de los objetivos, impidiendo finalmente que estos se
logren en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto importante en el presupuesto y/o comprometen fuertemente la imagen pblica
Mayores de la organizacin y del Gobierno. Su materializacin daara significativamente el
4
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se
desarrollen total o parcialmente en forma normal en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
Moderadas pblica de la organizacin y del Gobierno. Su materializacin causara un deterioro en
3
el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos,
impidiendo que ste se desarrolle parcialmente en forma normal en el ao en curso.
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto menor en el presupuesto y/o comprometen de forma menor la imagen pblica
Menores de la organizacin y del Gobierno. Su materializacin causara un bajo dao en el
2
desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao en
curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la organizacin y del Gobierno. Su materializacin
Insignificantes
1 puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no
afectara el cumplimiento de los objetivos en el ao en curso.
65
Consejo de Auditora Interna General de Gobierno
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
66
Consejo de Auditora Interna General de Gobierno
Clasificacin Descripcin
Preventivo (Pv) Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr) Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt) Controles claves que slo actan una vez que el proceso ha terminado.
Clasificacin Descripcin
Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd) Controles claves aplicados en forma constante slo cuando ha transcurrido un
perodo especfico de tiempo.
Ocasional (Oc) Controles claves que se aplican slo en forma ocasional en un proceso.
Clasificacin Descripcin
67
Consejo de Auditora Interna General de Gobierno
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
68
Consejo de Auditora Interna General de Gobierno
Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el
esquema presentado, asignndole el valor respectivo segn la escala.
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en
el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que
ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del
riesgo.
Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control
examinado de 1, de acuerdo con la escala contenida en el esquema presentado.
Para ver mayores detalles de los requisitos de control adecuado considerados en este modelo
ver Anexo N 9.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el Cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
69
Consejo de Auditora Interna General de Gobierno
los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones
entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel
de efectividad slo de Regular.
Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las
combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con
niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con
severidad altas, pero con controles con nivel de efectividad ptimo o Bueno.
En el caso del nivel de exposicin E2 (Nivel de exposicin al riesgo Mayor), est conformado
por un nivel de severidad del riesgo, Alto y un nivel de efectividad de control, Ms que Regular.
Cuadro N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que
Determinan la Escala del Nivel de Exposicin al Riesgo
70
Consejo de Auditora Interna General de Gobierno
ANEXO N 6
Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de
los riesgos y controles para las etapas de Seleccin y Adjudicacin.
71
Consejo de Auditora Interna General de Gobierno
72
Consejo de Auditora Interna General de Gobierno
73
Consejo de Auditora Interna General de Gobierno
Compra directa
1.- Se designan cotizadores al
Designacin de cotizadores con
interior de la organizacin
incompatibilidades.
gubernamental.
No se realizan cruces de datos entre
2.- Cruces de datos entre
funcionarios y proveedores
funcionarios participantes del
No se cuenta con la informacin para
proceso de compras y proveedores
cruzar datos
Falta de tres cotizaciones para trato
3.- Obtencin de a lo menos tres directo sin fundamento.
cotizaciones en el caso de trato
directo. Cotizaciones manejadas para favorecer
a un proveedor.
74
Consejo de Auditora Interna General de Gobierno
75
Consejo de Auditora Interna General de Gobierno
Cuadro N 5: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Asociado a las
Actividades Realizadas en las Etapas de Seleccin y Adjudicacin
Riesgos asociados a la
Etapas realizacin de las Controles operativos mitigantes clave Responsables
actividades
Licitacin privada y pblica
Qu: Chequeo automatizado de plazo.
Cmo: El sistema de informacin ADBG,
contiene un algoritmo que controla y chequea
la hora y la fecha de la apertura. Encargado Sistema de
Cundo: Lo anterior se realiza por cada Informacin de Compras
apertura para todas las ofertas.
Quin: Este chequeo lo hace el Encargado de
Recepcin de ofertas fuera Sistema de Informacin de Compras.
de plazo. Qu: Chequeo manual de plazo y confeccin
de Acta de Recepcin.
Seal de Alerta LA/FT/DF Cmo: En caso de ofertas no recibidas por el
Asociada: S. sistema, el encargado de la Oficina de Partes,
levanta un acta con individualizacin de da y Encargado Oficina de
hora de las ofertas recibidas, que es visada por Partes
el Jefe de Finanzas. Jefe de Finanzas
Cundo: Esto se hace en cada licitacin para
todos los oferentes.
Quin: Encargado oficina de Partes / Jefe de
Finanzas.
Qu: Chequeo de recepcin y confeccin de
Acta de Apertura.
Cmo: El comit de compras controla el
proceso de recepcin y levanta un Acta de
Comit de Compras
Recepcin de ofertas en todas las ofertas recibidas, con participacin de
forma distinta a la sealada un Ministro de Fe.
Ministro de Fe
en las bases. El sistema o el encargado (si son extra
sistema) mantiene los antecedentes de las
Seal de Alerta LA/FT/DF consultas y respuestas a los oferentes, con
Encargado del Sistema
Etapa Seleccin Asociada: S. fecha.
de Compras
Cundo: Esto se hace en cada licitacin para
todos los oferentes.
Quin: Comit de Compras / Encargado
Sistema de Compras / Ministro de Fe.
Qu: Revisin uso del sistema.
Cmo: La recepcin y apertura de las ofertas
La apertura no se realiza a
deben realizarse a travs del portal de
travs del sistema y no se
Chilecompras. Este procedimiento es verificado Encargado de Sistema
cumple el procedimiento
diariamente, por el Encargado del Sistema de de Informacin y su
aprobado.
Informacin mediante un reporte que se emite supervisor
en el rea abastecimiento, visado por el
Seal de Alerta LA/FT/DF
supervisor
Asociada: S.
Cundo: Diariamente.
Quin: Encargado sistema / supervisor.
Qu: Verificacin de la apertura.
Cmo: Si es una apertura extra sistema, se
debe realizar en dependencias de la
La apertura se realiza en da
organizacin gubernamental con la asistencia
y hora distinta al establecido
de un Ministro de Fe, abogado de la Unidad
en las bases. Funcionario de la
Jurdica, que certifica que el da y hora
Unidad Jurdica
corresponde a las Bases.
Seal de Alerta LA/FT/DF
Cundo: Esto se hace en cada licitacin para
Asociada: S.
todos los oferentes.
Quin: Funcionario unidad jurdica como
Ministro de Fe.
Ministro de Fe con
incompatibilidades.
Sin control -
Seal de Alerta LA/FT/DF
Asociada: S.
76
Consejo de Auditora Interna General de Gobierno
Riesgos asociados a la
Etapas realizacin de las Controles operativos mitigantes clave Responsables
actividades
Qu: Chequeo de asistencia y visto bueno.
Cmo: En el caso de apertura en soporte de
Las actas se firman
papel, existe un Acta elaborada por el Comit
posteriormente por las
de Compras que da cuenta de la apertura Comit de Compras
personas que no asisten a la
firmada por la entidad y los oferentes presentes
apertura.
en la apertura, con la asistencia de un Ministro Ministro de Fe
de Fe.
Seal de Alerta LA/FT/DF
Cundo: Esto se hace en cada apertura en
Asociada: S.
soporte papel para todos los oferentes.
Quin: Comit de Compras / Ministro de Fe.
Qu: Revisin de reportes y autorizacin.
Cmo: La informacin se revisa por el
No se entregan reportes en Encargado Sistema de
Encargado del Sistema de Compras y se
forma oportuna o tienen datos Compras
autoriza por el supervisor.
errneos.
Cundo: Cada vez que se emite un reporte por
Supervisor
el sistema, y al menos mensualmente.
Seal de Alerta LA/FT/DF
Quin: Supervisor del Sistema de Informacin
Asociada: N/A.
/ Encargado Sistema de Compras.
Compra directa
Qu: Cruce de datos.
Cmo: Se realiza un cruce de datos de los
Designacin de cotizadores
funcionarios involucrados en el proceso de
con incompatibilidades.
compras y los con poder de decisin y los Jefe de Recursos
proveedores frecuentes de la organizacin Humanos
Seal de Alerta LA/FT/DF
gubernamental.
Asociada: S.
Cundo: Semestralmente.
Quin: Jefe de Recursos Humanos.
Falta de tres cotizaciones
para trato directo sin
fundamento. Sin control
-
Seal de Alerta LA/FT/DF
Asociada: S.
Cotizaciones manejadas para
favorecer a proveedor.
Sin control -
Seal de Alerta LA/FT/DF
Asociada: S.
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
Errores en la evaluacin requisitos establecidos en la Ley, las bases y el
tcnica. procedimiento, emitiendo un informe tcnico, Comit de Compras
con visto bueno del Jefe de Abastecimiento.
Seal de Alerta LA/FT/DF Cundo: Esto se realiza por cada proceso de Jefe de Abastecimiento
Asociada: N/A licitacin.
Quin: El Comit de Compras y Jefe de
Etapa Abastecimiento.
Adjudicacin Qu: Examen de criterios y aplicacin de
check list.
Adjudicacin con criterios
Cmo: Se revisa cada adjudicacin en contra
distintos a los establecidos en
de los requisitos de las bases (check list) y
la Ley y las bases.
pone visto bueno slo si se cumplen todos los Jefe de Abastecimiento
requisitos.
Seal de Alerta LA/FT/DF
Cundo: Esto se realiza por cada proceso de
Asociada: S.
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
77
Consejo de Auditora Interna General de Gobierno
Riesgos asociados a la
Etapas realizacin de las Controles operativos mitigantes clave Responsables
actividades
Inexistencia de antecedentes
Qu: Examen a las competencias y
para realizar la verificacin.
herramientas de verificacin.
Cmo: Hay un encargado de mantener y
Seal de Alerta LA/FT/DF
conseguir las herramientas necesarias para Jefe de Finanzas
Asociada: N/A.
realizar los cruces de datos (bases de datos
pblicas, declaraciones de inters y otros
Funcionarios que realizan
antecedentes) y de capacitar a los funcionarios
verificacin no cuentan con
que realizan esta labor en el manejo de bases
las competencias necesarias.
de datos y consultas, y en el manejo de la
normativa y jurisprudencia administrativa
asociadas a temas de probidad. Jefe de Recursos
Seal de Alerta LA/FT/DF
Cundo: El examen de herramientas y la Humanos
Asociada: N/A.
determinacin de competencias se hace al
menos una vez al ao.
Quin: Jefe de Recursos Humanos
No se cuenta con todos los
antecedentes para visar la
operacin.
Sin control -
Seal de Alerta LA/FT/DF
Asociada: S.
Qu: Chequeo de facultades.
Cmo: se visa la aprobacin, revisando los
El funcionario que aprueba no
aspectos de forma y fondo y las atribuciones
tiene las facultades
del firmante.
delegadas.
Cundo: Cada adjudicacin y resolucin que Jefe Unidad Jurdica
la apruebe es revisada por la unidad Jurdica
Seal de Alerta LA/FT/DF
de la organizacin gubernamental.
Asociada: S.
Quin: La Unidad Jurdica previa a la
aprobacin.
78
Consejo de Auditora Interna General de Gobierno
Riesgos
Etapa que asociados a las
afecta entradas del Controles operativos mitigantes claves Responsables
subproceso o
proceso
Qu: Revisin del Plan. Jefe de Finanzas
Cmo: Existe informacin en la organizacin
gubernamental histrica acerca del gasto y Jefe de Cada Unidad
adquisiciones de la Organizacin Gubernamental que Operativa
1.- Deficiencias maneja el Jefe de Finanzas.
tcnicas en la Cundo: Cada Unidad hace llegar a la Comisin de
formulacin del Plan. Planificacin, al 15 de noviembre de cada ao, un
Etapa El Plan no representa programa operativo anual con los requerimientos y
Seleccin las necesidades de la necesidades para el prximo ao, calendarizadas y
organizacin presupuestadas.
gubernamental. Quin: Jefe de Finanzas.
Jefe de Servicio
Seal de Alerta Qu: Participacin en distintos niveles.
LA/FT/DF Asociada: Cmo: Existen procedimientos formales con Comisin de
N/A. participacin de las diversas instancias para definir el Planificacin
Plan (Comisin de Planificacin), que se revisa y
aprueba anualmente por el Jefe de Servicio previo
informe de la Comisin de Planificacin y del Jefe de
Finanzas.
Cundo: Anualmente.
Quin: Comisin de Planificacin / Jefe de Servicio.
2.- Falta de
Qu: Aprobacin del Plan.
aprobacin o
Cmo: Se revisa el Plan y se consideran los anlisis de Jefe de Servicio
autorizacin del Plan.
la Comisin de Planificacin y del Jefe de Finanzas
para aprobar, rechazar o modificar el Plan propuesto. Comisin de
Seal de Alerta
Cundo: Hasta el 30 de diciembre de cada ao. Planificacin
LA/FT/DF Asociada:
Quin: Jefe de Servicio.
S.
79
Consejo de Auditora Interna General de Gobierno
ANEXO N 7
Entre los factores que influyen en la seleccin de las tcnicas de evaluacin del riesgo se
cuentan los siguientes:
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
80
Consejo de Auditora Interna General de Gobierno
aplica a cualquier tipo de debate en grupo. Sin embargo, la tormenta de ideas verdadera
implica tcnicas particulares para tratar de garantizar que se fuerza la imaginacin de las
personas mediante las ideas y declaraciones de otras personas del grupo.
En esta tcnica es muy importante la facilitacin eficaz e incluye la estimulacin del debate
desde el principio, las indicaciones peridicas del grupo sobre otras reas importantes, y la
aceptacin de los resultados obtenidos en el debate (que normalmente suele ser bastante
animado).
Un medio de combinar las opiniones de expertos que puede apoyar la identificacin del origen
y de la influencia, la estimacin de la probabilidad y de la consecuencia, y la valoracin del
riesgo. Es una tcnica de colaboracin para crear el consenso entre expertos. Implica el
anlisis independiente y la votacin de los expertos.
Es una tcnica que identifica los modos y mecanismos de falla y sus efectos.
Existen varios tipos de anlisis FMEA: FMEA del Diseo (o del producto), que se aplica a
componentes y a productos; FMEA del Sistema, que se aplica a sistemas; FMEA del Proceso,
que se aplica a procesos de fabricacin y de montaje; FMEA de la organizacin gubernamental
y FMEA del Software.
El FMEA puede ir seguido por un anlisis de criticidad que defina la importancia de cada modo
de falla de forma cualitativa, semicuantitativa o cuantitativa (FMECA2). El anlisis de criticidad
se puede basar en la probabilidad de que el modo de falla provocar la falla del sistema, o en
el nivel de riesgo asociado al modo de falla, o en un nmero de prioridad del riesgo.
El anlisis de una prdida importante para prevenir que vuelva a ocurrir se conoce como
Anlisis de la Causa Raz (RCA), Anlisis de Falla de la Causa Raz (RCFA) o anlisis de
81
Consejo de Auditora Interna General de Gobierno
prdida. El anlisis RCA se centra en las prdidas de activos debido a diversos tipos de fallas,
mientras que el anlisis de prdidas se aplica principalmente a las prdidas financieras o
econmicas debidas a factores externos o a catstrofes. Este anlisis intenta identificar las
causas raz u originales en vez de tratar nicamente los sntomas inmediatamente obvios. Se
reconoce que la accin correctiva no siempre puede ser totalmente eficaz y que puede ser
necesaria una mejora continua. El anlisis RCA se aplica con bastante frecuencia para la
evaluacin de una prdida importante, pero tambin se puede utilizar para analizar prdidas
sobre una base ms global para determinar donde se pueden realizar mejoras.
Para mayor informacin sobre esta materia se recomienda leer la norma NCh-ISO 31010:2013,
emitida por el Instituto Nacional de Normalizacin, INN (www.inn.cl) y el Documento Tcnico N
75: Tcnicas y Herramientas para el Control de Procesos y la Gestin de la Calidad, para su
uso en la Auditora Interna y en la Gestin de Riesgos, disponible en
http://www.auditoriainternadegobierno.cl/.
82
Consejo de Auditora Interna General de Gobierno
ANEXO N 8
Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con
Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones
generales:
Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que
tener presente que los sistemas de informacin informatizados son vulnerables a una
diversidad de amenazas y atentados por parte de:
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
83
Consejo de Auditora Interna General de Gobierno
Por ltimo, es importante destacar que en las organizaciones, cuyas actividades constan en
documentos electrnicos y stos son el respaldo de las transacciones y operaciones que
desarrolla la institucin, pueden presentarse algunos riesgos relacionados con stos
documentos, que deben ser considerados:
Por otra parte, es necesario considerar que pueden existir controles especficos para los
riesgos especficos, a saber:
84
Consejo de Auditora Interna General de Gobierno
85
Consejo de Auditora Interna General de Gobierno
ANEXO N 9
Respecto de los Procesos de Control se pueden decir que corresponden a las polticas,
procedimientos (manuales y automticas) y actividades, los cuales forman parte de un enfoque
de control, diseados y operados para asegurar que los riesgos estn contenidos dentro del las
tolerancias establecidas por el proceso de evaluacin de riesgos nivel que una organizacin
est dispuesta a aceptar25.
Por su parte, el Control se puede considerar como cualquier medida que tome la direccin, el
Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los
objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los
objetivos y metas26.
Se pueden complementar estas definiciones sealando que el control ha sido definido bajo dos
grandes puntos de vista, un punto de vista limitado y un punto de vista amplio.
24
COSO I
25
COSO I
26
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
86
Consejo de Auditora Interna General de Gobierno
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
Controles Fsicos: Los equipos, existencias, valores, efectivo y otros bienes o activos se
resguardan de manera fsica, se contabilizan peridicamente y se comparan con los montos
reflejados en los registros y documento de control.
Ejemplo: bodegas de bienes con acceso restringido y protegidas con guardias o con
vigilancia a travs de cmaras digitales.
Controles sobre Datos Vigentes: Los datos vigentes, como puede ser por ejemplo el
archivo maestro de perfiles de autorizacin en una organizacin, se utilizan a menudo para
contrastar automticamente la autorizacin de determinadas transacciones contra quienes
tienen formalmente esa responsabilidad dentro de un proceso de negocio.
87
Consejo de Auditora Interna General de Gobierno
Ejemplo: Realizar conciliacin diaria sobre el efectivo recibido, con respecto a los saldos
contables, con la finalidad de evaluar su integridad, precisin y validez.
En consideracin a lo anterior, un control, para poder ser declarado como adecuado debe tener
propiedades como las siguientes:
27
Normas Internacionales para el Ejercicio de la Profesin de Auditora Interna - IIA
88
Consejo de Auditora Interna General de Gobierno
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control.
Comprenden las polticas especficas, los procedimientos, los planes de la organizacin
(incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas
contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben
proporcionar una seguridad razonable de que se logren continuamente los objetivos del control
interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema
integrado y no individualmente.
Los controles, para que sean adecuados, deben cumplir con el propsito previsto en la
aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual
no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben
cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su
eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un
esfuerzo adecuado. Los controles que se examinen para verificar su adecuacin deben ser los
89
Consejo de Auditora Interna General de Gobierno
Los elementos que se presentan a continuacin son los que se utilizan generalmente en una
estructura de control interno adecuada. Los mtodos y procedimientos especficos que se
describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser
considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el
registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las
transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y
responsabilidad ante los mismos.
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes
de las transacciones y hechos significativos. Asimismo, la documentacin en papel y
electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal
apropiado y los auditores.
La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y
procedimientos de control. Esta informacin debe figurar en documentos tales como planes o
guas, las polticas administrativas y los manuales de operacin y de contabilidad.
En los casos en que existen sistemas informticos integrados en la institucin, que generen
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
informacin siga siendo relevante y til para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una
transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda
la documentacin con objeto de mantener su validez.
90
Consejo de Auditora Interna General de Gobierno
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o
registro.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la
informacin.
d) Segregacin de Funciones
Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las
funciones y responsabilidades deben asignarse sistemticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos
y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o
eliminar la eficacia de esta tcnica de control interno.
91
Consejo de Auditora Interna General de Gobierno
Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica
plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotacin del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el
uso del perodo vacacional anual para ayudar a reducir estos riesgos.
e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la
comprensin y cumplimiento de las directrices especificas de la direccin.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
92
Consejo de Auditora Interna General de Gobierno
En los casos en que existen sistemas informticos integrados en la institucin, que generan
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
7.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
28
COSO I
29
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
93
Consejo de Auditora Interna General de Gobierno
Existe una relacin directa entre los objetivos, que es lo que una entidad se esfuerza por
alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la
estructura organizacional de la entidad (las unidades operativas, entidades jurdicas y dems).
La relacin puede ser representada en forma de cubo.
En consecuencia, el Marco ERM sigue siendo un marco viable y adecuado para el diseo, la
implementacin, la ejecucin y la evaluacin de la gestin de riesgos corporativos.
El Marco COSO I, versin 2013, establece un total de diecisiete principios que representan los
conceptos fundamentales asociados a cada uno de los cinco componentes integrados. Dado
que estos diecisiete principios proceden directamente de los Componentes, una entidad puede
alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios
son aplicables a los objetivos operativos, de informacin y de cumplimiento. A continuacin se
enumeran los principios que soportan los componentes del control interno.
Entorno de Control
30
En las organizaciones del Sector Pblico el equivalente al Consejo es la Mxima Autoridad o Jefe de Servicio.
94
Consejo de Auditora Interna General de Gobierno
Evaluacin de Riesgos
6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados.
7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cmo se deben
gestionar.
8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la
consecucin de los objetivos.
9. La organizacin identifica y evala los cambios que podran afectar significativamente al
sistema de control interno.
Actividades de Control
Informacin y Comunicacin
13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica la informacin internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control
interno.
15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisin
Para mayor informacin se recomienda leer el Marco Integrado de Control Interno COSO I,
versin 2013, emitido por la organizacin COSO (www.coso.org).
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
95
Consejo de Auditora Interna General de Gobierno
calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se
aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u
ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y
evaluados en trminos del cumplimiento de normas especficas de control.
Los controles deben ser identificados con una descripcin del mismo que contenga al menos
los siguientes antecedentes:
Qu se realiza.
Cmo se realiza el control.
Quin lo realiza.
Cundo lo ejecuta.
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
96
Consejo de Auditora Interna General de Gobierno
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el
grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si stos
adems de cumplir con los elementos de un control adecuado, estn diseados con la finalidad
de mitigar los efectos que se puedan producir ante la materializacin del riesgo.
A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
97
Consejo de Auditora Interna General de Gobierno
El resultado del anlisis muestra en el ejemplo que, el control descrito como El encargado de
remuneraciones lleva un archivador con el detalle del las horas extras por funcionario, no es
un control clave, por lo que no se analizar en cuanto al nivel de cumplimiento con los
requisitos o normas que considera el modelo.
Errores o
irregularidades en Nivel adecuado Nivel Nivel Nivel Nivel
Nivel adecuado
el clculo de las adecuado adecuado adecuado regular
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
El jefe de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
98
Consejo de Auditora Interna General de Gobierno
Si bien el control interno proporciona una seguridad razonable acerca de la consecucin de los
objetivos de la entidad, existen limitaciones. El control interno no puede evitar que se aplique
un deficiente criterio profesional o se adopten malas decisiones, o que se produzcan
acontecimientos externos que puedan hacer que una organizacin no alcance sus objetivos
operacionales. Es decir, incluso en un sistema de control interno efectivo puede haber fallos.
Las limitaciones pueden ser el resultado de:
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema). Adems como ya se
seal, al describir los controles siempre se deben responder las preguntas, qu?, cmo?,
quin? y cundo?, esto es, debera especificarse qu se hace, cmo o de qu forma se lleva
a efecto el control, quin lo ejecuta y cundo.
99
Consejo de Auditora Interna General de Gobierno
ANEXO N 10
Periodo
Efecto potencial Evidencia
Ranking Fuente Descripcin Medicin
Proceso Tipo de en la severidad Responsable que se
de Riesgo del Estrategia de la Indicador del Meta
transversal Proceso riesgo de riesgo y/o de la Plazo observar
procesos Subproceso Etapa Especfic riesgo genrica estrategia a de logro Indicador (16)
(1) (2) (8) efectividad del estrategia (13) (17)
(3) (4) (5) o (6) (7) (9) aplicar (14) (15)
control (11) (12)
(10)
Se establecer Las acciones
una instancia tienden a mejorar
de revisin del el control del
Comit de riesgo que es
Crdito que dbil
deber revisar estableciendo una Porcentaj
cada crdito y instancia que e
cotejar la controle al Comit crditos Carpeta del
garanta de de Crdito y una sin crdito
acuerdo al tipo aplicacin al garanta
Crditos
de crdito sistema. Informacin
Crdito de
Ejecucin Tambin se (N total del sistema
Recuperaci fomento a Recuperacin Falta de Jefe de 6
1 de Interna Procesos Reducir Se adicionar espera disminuir de mensual - 3%
n de mujeres del crdito garantas Operaciones meses
Garantas un mdulo al la probabilidad crditos Actas
prestamos microemp
sistema de que se concrete la mensuale Comit
resarias
informacin de falta de garantas s / N de
crditos, para crditos Actas de
que si un sin revisin
crdito no tiene garanta)
incorporado el * 100
nmero de
pliza de
garanta no
permita cursar
el crdito
100
Consejo de Auditora Interna General de Gobierno
ANEXO N 11 - 1/2
(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras variables relevantes.
(2) Se debe determinar, si es posible asociar una seal de alerta de delito LA/FT/DF al riesgo identificado, si este es el caso, se
debe indicar SI. En el caso que no sea posible asociar una seal de alerta de delito LA/FT/DF al riesgo, debe indicarse que No.
(3) Se debe identificar el o los cargos funcionarios que se relacionan de manera terica y ms directamente con el riesgo y/o Seal
de Alerta LA/FT/DF asociada.
101
Consejo de Auditora Interna General de Gobierno
g El Comit de crdito no
i puede entregar crdito No - - - 1 Mayor 5 medio 3,8 1,33 1 Media 3,8 1
Mayor 4
sin garanta.
n
Qu: Validacin de
a pagos:
Cmo y quin: El
a Tesorero ingresa los
n pagos al sistema que
t autovalida los datos.
Para abonos o pagos S Pe Pr S 5 Menor 2,4 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
e
fuera de plazo se
r requiere autorizacin del
i superior.
o Cundo: Mensualmente
r los reportes los revisa el
jefe de Finanzas
Qu: Validacin de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos 5
fuera de plazo se S Pe Pr S Menor 2,4 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu: Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de S Pd Cr M 3 Menor 2,7 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
. . 2
. . 3
. . . .
102
Consejo de Auditora Interna General de Gobierno
ANEXO N 12
Este anexo ha sido formulado con el aporte de los especialistas de la Unidad de Anlisis
Financiero (UAF), con la finalidad de entregar conceptos y definiciones bsicas sobre delitos de
lavado de activos (LA), financiamiento del terrorismo (FT) y delitos funcionarios (DF).
Para mayor informacin sobre la materia, se recomienda acceder a la pgina web de la UAF
(www.uaf.cl).
El que adquiera, posea, tenga o use los referidos bienes, con nimo de lucro, cuando al
momento de recibirlos ha conocido su origen ilcito.
Segn la Unidad de Anlisis Financiero (UAF), el fenmeno del lavado de activos presenta una
serie de caractersticas que son las que sirven de explicacin al proceso que pretende darle
apariencia de legalidad a recursos que tienen un origen ilcito, entre las que destacan:
Naturaleza internacional
Es prcticamente imposible sealar los montos que genera a escala mundial la delincuencia
organizada, y que son objeto del proceso de lavado de activos, ya que debido a su naturaleza
ilcita no se cuenta con estadsticas.
103
Consejo de Auditora Interna General de Gobierno
Financiera (GAFI), en informes y artculos sobre el tema han puesto de manifiesto que se trata
de sumas verdaderamente considerables.
La cifra ms citada de los montos asociados al lavado de activos es la entregada por el FMI en
el ao 1988, la cual indica que se encontrara entre el 2% y 5% del PIB mundial. Un anlisis de
los resultados de diversos estudios sugiere que esta cifra asciende al 3,6% del PIB mundial,
equivalente a cerca de US$2,1 billones de dlares (2009). Por eso, resulta evidente que el
volumen de la actividad revela la magnitud del fenmeno, por lo que atenta contra el orden
social, econmico y poltico de los pases, as como la estabilidad de los mercados financieros
globales.
Profesionalizacin
Dados los altos volmenes envueltos en el proceso de lavado de activos, y la complejidad que
conlleva la estructuracin de operaciones para tener xito en insertar en el sistema financiero
con apariencia de legalidad activos que tienen un origen ilcito, se requiere que quienes estn
al frente del diseo de las estrategias para tal propsito sean autnticos profesionales, de la
banca, finanzas, contabilidad, leyes, que tengan por dems un amplio conocimiento del entorno
regulatorio internacional sobre la materia, a fin de poder aprovechar las debilidades existentes
en los distintos pases.
El xito del lavado de activos requiere la utilizacin de una amplia gama de tcnicas, a travs
de las cuales, en las distintas etapas del fenmeno, logren eludirse las regulaciones
preventivas dispuestas por la autoridad.
Es por ello que el Grupo de Accin Financiera (GAFI) monitorea y realiza informes anuales
respecto de las tcnicas o tipologas usadas por los lavadores, para proporcionar a las
autoridades del mbito preventivo y persecutorio, las herramientas indispensables para el
diseo de sus polticas. A su vez, proporciona las nuevas seales de alerta que hayan sido
detectadas, de manera que sean utilizadas por las entidades reportantes para la deteccin de
operaciones sospechosas. Esto, debido a que los lavadores van innovando su forma de operar
para evitar ser descubiertos, por lo que las tipologas y seales de alerta tambin van
cambiando.
Tambin conocidos como delitos precedentes o subyacentes. Son aquellos en que se originan
los recursos ilcitos que los lavadores de dinero buscan blanquear. En la normativa chilena
estn descritos en la Ley N 19.913, artculo 27, letras a y b. Entre otros, se incluye al
narcotrfico, financiamiento del terrorismo, el trfico de armas, la malversacin de caudales
pblicos, el cohecho, el trfico de influencias, el contrabando (artculo 168 de la Ordenanza
General de Aduanas), el uso de informacin privilegiada, la trata de personas, la asociacin
ilcita, el fraude y las exacciones ilegales, el enriquecimiento ilcito, la produccin de material
pornogrfico utilizando menores de 18 aos, y el delito tributario (artculo 97, N4, inciso 3 del
Cdigo Tributario), entre otros.
104
Consejo de Auditora Interna General de Gobierno
no les corresponde detectar ningn tipo de delito. Su deber es reportar las operaciones
sospechosas que adviertan en el ejercicio de sus funciones.
Los delitos funcionarios o delitos de corrupcin, son todas aquellas conductas ilcitas cometidas
por funcionarios pblicos en el ejercicio de sus cargos, o aquellas que afectan el patrimonio del
Fisco en sentido amplio. Estos delitos, tipificados principalmente en el Cdigo Penal, pueden
ser cometidos activa o pasivamente por funcionarios pblicos, definidos como todo aquel que
desempee un cargo o funcin pblica, sea en la Administracin Central o en instituciones o
empresas semifiscales, municipales, autnomas u organismos creados por el Estado o
dependientes de l, aunque no sean del nombramiento del Jefe de la Repblica ni reciban
sueldos del Estado.
Entre los delitos precedentes de lavado de activos se contemplan algunos delitos funcionarios,
por lo tanto, no todos los delitos funcionarios son delitos precedentes de lavado de activos.
Los delitos funcionarios precedentes de lavado de activos, segn la ley N 19.913, son:
Cohecho: Tambin conocido como soborno o coima, es cometido por quien ofrece, y por
quien solicita o acepta en su condicin de funcionario pblico, dinero a cambio de realizar u
omitir un acto que forma parte de sus funciones. Se considera que se comete el delito de
cohecho incluso si no se realiza la conducta por la que se recibi dinero.
105
Consejo de Auditora Interna General de Gobierno
Prevaricacin: Delito que comete un juez, una autoridad o un funcionario pblico, por la
violacin a los deberes que les competen cuando se produce una torcida administracin
del derecho.
La Ley N 19.913, en su artculo 3, define como operacin sospechosa todo acto, operacin o
transaccin que, de acuerdo con los usos y costumbres de la actividad de que se trate, resulte
inusual o carente de justificacin econmica o jurdica aparente o pudiera constituir alguna de
las conductas contempladas en el artculo 8 de la ley N 18.314 (de conductas terroristas), o
sea realizada por una persona natural o jurdica que figure en los listados de alguna resolucin
del Consejo de Seguridad de las Naciones Unidas, sea que se realice en forma aislada o
reiterada.
106
Consejo de Auditora Interna General de Gobierno
ANEXO N13
Para mayor informacin sobre la materia, se recomienda acceder a la pgina web de la UAF
(www.uaf.cl).
Las seales de alerta de delitos LA/FT/DF se pueden concebir como; indicadores, indicios,
condiciones, comportamientos o sntomas de ciertas operaciones o personal que podran
permitir potencialmente detectar la presencia de una operacin sospechosa de lavado de
activos, delitos funcionarios o financiamiento del terrorismo31.
Estas materias producto de los cambios de la ley 19.913, que se plasmaron en la ley 20.818, y
del Oficio Circular N 20/2015 del Ministerio de Hacienda, han relevado la necesidad de que
sean conocidas por todo el personal de las organizaciones pblicas incluidas en el alcance de
estas disposiciones.
107
Consejo de Auditora Interna General de Gobierno
Uso de fondos pblicos para la compra de regalos o donaciones que no estn autorizadas
por ley.
Uso del automvil institucional para motivos personales y/o fuera de das laborales sin
justificacin alguna.
108
Consejo de Auditora Interna General de Gobierno
Funcionarios pblicos que, pese a no atender pblico, son visitados regularmente por
clientes externos.
Funcionario pblico que, con frecuencia recibe y acepta obsequios y regalas por parte de
determinadas empresas.
Funcionarios pblicos que con frecuencia permanecen en la oficina ms all de la hora del
cierre o concurren a ella por fuera del horario habitual sin causa justificada.
Funcionarios pblicos que dificultan o impiden que otro personal atienda a determinados
clientes /usuarios.
109
Consejo de Auditora Interna General de Gobierno
Utilizacin de equipos computacionales y tcnicos para trabajar fuera del horario laboral,
sin justificacin.
tems con variaciones de costos mayores a un cierto porcentaje, entre perodos, definidos
por la organizacin.
tems con vida til (antes de la fecha de vencimiento) inferior a un nmero de das,
definidos por la organizacin.
tems depositados en lugares de difcil acceso o sitios inusuales que hacen difcil su
revisin o se encuentran inmovilizados durante mucho tiempo.
110
Consejo de Auditora Interna General de Gobierno
Retiros de dinero con cargo a cuentas pblicas que se realizan en lugares y horas
diferentes o con patrones de comportamiento que no estn acordes a este tipo de cuentas.
Arreglos especiales con bancos para establecer transacciones poco claras (giros,
prstamos, etctera.)
Colocar en la caja chica vales o cheques sin fecha, con fecha adelantada o con fecha
atrasada.
111
Consejo de Auditora Interna General de Gobierno
Cuando se dificulta la distincin entre los flujos de fondos personales y aquellos derivados
de su actividad profesional.
Funcionarios con datos compartidos (nombre, domicilio, RUT) y con distinto nmero de
carpeta o registro.
Pagos realizados a funcionarios pblicos por conceptos distintos a los estipulados para sus
remuneraciones.
Cambios frecuentes de perfiles de cargos y del manual de funciones para ajustar los
requerimientos a los perfiles especficos de las personas que se quiere beneficiar.
Contratacin de personas que no cumplen con los perfiles requeridos para los cargos en
cuestin o con las condiciones e idoneidad requerida para el cargo, especialmente en los
cargos de supervisin, o que demuestren posteriormente una evidente incompetencia en
el ejercicio de sus funciones.
112
Consejo de Auditora Interna General de Gobierno
Inters de una de las contrapartes por acordar servicios sin contrato escrito.
Juntar pedidos y hacer pedidos excesivos y en corto plazo de entrega para beneficiar al
proveedor que tiene un acuerdo especial.
Proveedor presenta vnculos con pases o industrias que cuentan con historial de
corrupcin.
Sociedades que participan de un proceso de licitacin y/o contrato con el sector pblico
que presentan el mismo domicilio, mismos socios o mismos directivos.
113
Consejo de Auditora Interna General de Gobierno
Proveedor carece de experiencia con el producto, servicio, sector o industria, cuenta con
personal insuficiente o mal calificado, no dispone de instalaciones adecuadas, o de alguna
otra forma parece ser incapaz de cumplir con la operacin propuesta.
Adjudicacin del contrato a un proponente que no cumple con los requisitos solicitados en
las bases de licitacin publicadas.
Tiempo entre cierre y adjudicacin muy acotado. Esto puede ser indicativo de 1) la
evaluacin no se hizo adecuadamente o 2) exista un proveedor seleccionado con
anterioridad, a quien le ser adjudicado el proceso.
Usos de trato directo sin causa legal que lo justifique y/o sin resolucin que lo autorice.
Realizacin del proceso de compra sin haber cumplido de manera adecuada con el
procedimiento interno y/o el reglamento de compras pblicas (evaluacin tcnica y
econmica del bien o servicio, constitucin de un comit evaluador, aprobacin de los
estudios tcnicos, entre otros).
114
Consejo de Auditora Interna General de Gobierno
Marcado inters de algn funcionario evaluador por una propuesta en particular, cuando
existen otras propuestas en igualdad de condiciones.
Crecimiento excesivo e injustificado de las cuentas por cobrar de la institucin pblica, con
respecto al comportamiento de los mismos rubros en periodos anteriores.
Diferencias entre orden de compra, informes de recepcin y factura por proveedor, entre
esta ltima y la orden de pago.
Facturas de varios proveedores en un mismo papel, formato y hasta con el mismo detalle.
Proporcin excesiva que representan las notas de dbito y de crdito sobre las compras de
cada proveedor.
115
Consejo de Auditora Interna General de Gobierno
116
Consejo de Auditora Interna General de Gobierno
ANEXO N 14
Sin perjuicio de las seales de alerta de delitos LA/FT/DF incluidas en la Matriz de Riesgos
Estratgica, adicionalmente se deber:
Identificar cuando sea posible, otras seales de alerta de delitos LA/FT/DF relacionados
con procesos, subprocesos, etapas, etc. que por su naturaleza y caractersticas, no se han
podido asociar a los riesgos operativos incluidos en la Matriz de Riesgos Estratgica. Se
recomienda ver ejemplos en Anexo N 13.
Para levantar la informacin sobre estas materias debe considerarse la siguiente estructura:
Proceso,
Cargo(s)
Subproceso, Identificacin/ Nivel de Medidas
Funcionario Control
Etapa, Descripcin de Cobertura de Correctivas y/o
Relacionado(s) Asociado
Sistema, la Seal de la Seal de Preventivas
(4)
Proyecto, etc. Alerta LA/FT/DF Alerta (6)
(3)
(1) (2) (5)
117
Consejo de Auditora Interna General de Gobierno
NIVEL DE DESCRIPCIN
COBERTURA
El control asociado a la seal de alerta de delitos LA/FT/DF es insuficiente, por lo que la
BAJA cobertura es baja, dejando a la organizacin muy expuesta a la materializacin del delito
(riesgo)
El control asociado a la seal de alerta de delitos LA/FT/DF es regular, por lo que la
MEDIA cobertura es media, dejando a la organizacin regularmente expuesta a la materializacin
del delito (riesgo)
El control asociado a la seal de alerta de delitos LA/FT/DF es adecuado, por lo que la
ALTA cobertura es alta, dejando a la organizacin poco expuesta a la materializacin del delito
(riesgo)
118
Consejo de Auditora Interna General de Gobierno
119